Добрый день всем гуру!!!
Досталась мне интересная конторка, все работает через пинок под ж....у. Ну да ладно вернемся к основной проблеме.
Имеется контролер 2003R2 на старом железе который ни сегодня, завтра сдохнет. Хочу поднять второй КД на новом железе и ОС 2008R2.
В процессе обнаружил что есть еще контролер мертвы т.е ntdutil показал, но физически его нет. Короче все ховосты почистил.
Теперь при попытки добавить второй КД выскакивает окно с текстом
Операция не выполнена по следующей причине:

Не удалось связаться с контроллером для домена intec.tns-intec.kz, содержащим учетную запись для данного компьютера. Сделайте компьютер членом группы, присоединитесь к домену до повторения попытки повышения роли.


"Отказано в доступе."
Не могу понять куда капать? Машину в домен ввел. какие еще права нужны?
DCdiag
C:\adprep>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\TNS-DC
Starting test: Connectivity
......................... TNS-DC passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\TNS-DC
Starting test: Replications
......................... TNS-DC passed test Replications
Starting test: NCSecDesc
......................... TNS-DC passed test NCSecDesc
Starting test: NetLogons
......................... TNS-DC passed test NetLogons
Starting test: Advertising
Warning: TNS-DC is not advertising as a time server.
......................... TNS-DC failed test Advertising
Starting test: KnowsOfRoleHolders
......................... TNS-DC passed test KnowsOfRoleHolders
Starting test: RidManager
......................... TNS-DC passed test RidManager
Starting test: MachineAccount
......................... TNS-DC passed test MachineAccount
Starting test: Services
......................... TNS-DC passed test Services
Starting test: ObjectsReplicated
......................... TNS-DC passed test ObjectsReplicated
Starting test: frssysvol
......................... TNS-DC passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... TNS-DC failed test frsevent
Starting test: kccevent
......................... TNS-DC passed test kccevent
Starting test: systemlog
......................... TNS-DC passed test systemlog
Starting test: VerifyReferences
......................... TNS-DC passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : intec
Starting test: CrossRefValidation
......................... intec passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... intec passed test CheckSDRefDom

Running enterprise tests on : intec.tns-intec.kz
Starting test: Intersite
......................... intec.tns-intec.kz passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 135
5
A Good Time Server could not be located.
......................... intec.tns-intec.kz failed test FsmoCheck

В dcdiag меня смущает вот эта запись
The server holding the PDC role is down.
Хотя все роли на этом контроллере.
C:\adprep>netdom query fsmo
Schema owner tns-dc.intec.tns-intec.kz

Domain role owner tns-dc.intec.tns-intec.kz

PDC role tns-dc.intec.tns-intec.kz

RID pool manager tns-dc.intec.tns-intec.kz

Infrastructure owner tns-dc.intec.tns-intec.kz

The command completed successfully.

с ошибками dcdiag разобрался.
C:\Documents and Settings\v.kuzmichyov>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\TNS-DC
Starting test: Connectivity
......................... TNS-DC passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\TNS-DC
Starting test: Replications
......................... TNS-DC passed test Replications
Starting test: NCSecDesc
......................... TNS-DC passed test NCSecDesc
Starting test: NetLogons
......................... TNS-DC passed test NetLogons
Starting test: Advertising
......................... TNS-DC passed test Advertising
Starting test: KnowsOfRoleHolders
......................... TNS-DC passed test KnowsOfRoleHolders
Starting test: RidManager
......................... TNS-DC passed test RidManager
Starting test: MachineAccount
......................... TNS-DC passed test MachineAccount
Starting test: Services
......................... TNS-DC passed test Services
Starting test: ObjectsReplicated
......................... TNS-DC passed test ObjectsReplicated
Starting test: frssysvol
......................... TNS-DC passed test frssysvol
Starting test: frsevent
......................... TNS-DC passed test frsevent
Starting test: kccevent
......................... TNS-DC passed test kccevent
Starting test: systemlog
......................... TNS-DC passed test systemlog
Starting test: VerifyReferences
......................... TNS-DC passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : intec
Starting test: CrossRefValidation
......................... intec passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... intec passed test CheckSDRefDom

Running enterprise tests on : intec.tns-intec.kz
Starting test: Intersite
......................... intec.tns-intec.kz passed test Intersite
Starting test: FsmoCheck
......................... intec.tns-intec.kz passed test FsmoCheck
Но ошибка при добавлении кд осталась.
dcpromo выдает ошибку
Операция не выполнена по следующей причине:

Не удалось связаться с контроллером для домена intec.tns-intec.kz, содержащим учетную запись для данного компьютера. Сделайте компьютер членом группы, присоединитесь к домену до повторения попытки повышения роли.


"Отказано в доступе."

Вот что в файле C:\Windows\debug\DCPROMO
04/14/2014 22:56:46 [INFO] Promotion request for replica domain controller
04/14/2014 22:56:46 [INFO] DnsDomainName intec.tns-intec.kz
04/14/2014 22:56:46 [INFO] ReplicaPartner tns-dc.intec.tns-intec.kz
04/14/2014 22:56:46 [INFO] SiteName Default-First-Site-Name
04/14/2014 22:56:46 [INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS
04/14/2014 22:56:46 [INFO] SystemVolumeRootPath C:\Windows\SYSVOL
04/14/2014 22:56:46 [INFO] Account (NULL)
04/14/2014 22:56:46 [INFO] Options 1179840
04/14/2014 22:56:46 [INFO] Validate supplied paths
04/14/2014 22:56:46 [INFO] Validating path C:\Windows\NTDS.
04/14/2014 22:56:46 [INFO] Path is a directory
04/14/2014 22:56:46 [INFO] Path is on a fixed disk drive.
04/14/2014 22:56:46 [INFO] Validating path C:\Windows\NTDS.
04/14/2014 22:56:46 [INFO] Path is a directory
04/14/2014 22:56:46 [INFO] Path is on a fixed disk drive.
04/14/2014 22:56:46 [INFO] Validating path C:\Windows\SYSVOL.
04/14/2014 22:56:46 [INFO] Path is on a fixed disk drive.
04/14/2014 22:56:46 [INFO] Path is on an NTFS volume
04/14/2014 22:56:46 [INFO] Start the worker task
04/14/2014 22:56:46 [INFO] Request for promotion returning 0
04/14/2014 22:56:46 [INFO] Forcing time sync
04/14/2014 22:56:46 [INFO] Принудительная синхронизация времени с tns-dc.intec.tns-intec.kz
04/14/2014 22:56:46 [INFO] Поиск контроллера для домена intec.tns-intec.kz, который содержит учетную запись KAZ-DC-01$
04/14/2014 22:56:46 [ERROR] Failed to find a DC for domain intec.tns-intec.kz: 5
04/14/2014 22:56:46 [ERROR] Failed to get domain controller for account KAZ-DC-01$ (5)
04/14/2014 22:56:46 [INFO] Error - Не удалось связаться с контроллером для домена intec.tns-intec.kz, содержащим учетную запись для данного компьютера. Сделайте компьютер членом группы, присоединитесь к домену до повторения попытки повышения роли.
(5)
04/14/2014 22:56:46 [INFO] Предпринятая контроллером домена операция завершена
04/14/2014 22:56:46 [INFO] DsRolepSetOperationDone returned 0

IPCONFIG /all с контроллера домена 2003 и с нового контроллера домена 2008

2003
C:\Documents and Settings\v.kuzmichyov>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : tns-dc
Основной DNS-суффикс . . . . . . : intec.tns-intec.kz
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : intec.tns-intec.kz
tns-intec.kz

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
Физический адрес. . . . . . . . . : 00-15-C5-F5-AF-39
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.2
2008 - Виртулка vmware
C:\Users\v.kuzmichev>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : KAZ-DC-01
Основной DNS-суффикс . . . . . . : intec.tns-intec.kz
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : intec.tns-intec.kz

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 00-0C-29-A2-3A-9F
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::2ca2:f263:3c98:2c11%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.216(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1
IAID DHCPv6 . . . . . . . . . . . : 234884137
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-D8-2F-D0-00-0C-29-A2-3A-9F

DNS-серверы. . . . . . . . . . . : 192.168.1.2
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{64CBD7D2-04C7-4271-BEF3-BECB1F06B50D}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2001:0:5ef5:79fb:e5:26be:3f57:fe27(Основн
ой)
Локальный IPv6-адрес канала . . . : fe80::e5:26be:3f57:fe27%13(Основной)
Основной шлюз. . . . . . . . . : ::
NetBios через TCP/IP. . . . . . . . : Отключен

Автонастройка включена. . . . . . : Да Локальный IPv6-адрес канала . . . : fe80::2ca2:f263:3c98:2c11%11(Основной) »
IPv6 включён?
Зачем?
Лучше выключить


Поиск контроллера для домена intec.tns-intec.kz, который содержит учетную запись KAZ-DC-01$ »
Почему-то старый КД не может найти учётную запись нового сервера.
Возможно, он был некорректно зарегистрирован в DNS или в AD. Ведь устранили же вы какие-то ошибки, значит из-за них вполне возможно регистрация могла пойти неправильно.

Попробуйте последовать совету сервера - выведите новый сервер из домена в рабочую группу, удалите все упоминания о нём и попробуйте ввести в домен заново (возможно даже под другим именем).

IPv6 включён?
Зачем?
Лучше выключить »
Можно и выключить, но думаю что это не поможет.
Почему-то старый КД не может найти учётную запись нового сервера.
Возможно, он был некорректно зарегистрирован в DNS или в AD. Ведь устранили же вы какие-то ошибки, значит из-за них вполне возможно регистрация могла пойти неправильно.
Попробуйте последовать совету сервера - выведите новый сервер из домена в рабочую группу, удалите все упоминания о нём и попробуйте ввести в домен заново (возможно даже под другим именем). »
После исправления ошибок я первым делам вывел сервер 2008 из домена, удалил запись в ад и днс. Ввел снова в домен, но ошибка осталась.
В журнале на КД есть такие ошибки
Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5719
Дата: 15.04.2014
Время: 9:12:41
Пользователь: Н/Д
Компьютер: TNS-DC
Описание:
Компьютер не может установить безопасный сеанс связи с контроллером домена TNSINTEC по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 5e 00 00 c0 ^..À

Компьютер не может установить безопасный сеанс связи с контроллером домена TNSINTEC »
Здравствуйте, я - ваша тётя.
А кто такой этот TNSINTEC?

Старый-старый сервер, который давным-давно был назначен самым первым контроллером домена , но благополучно загнулся от старости?
Если его нет, назначьте нынешний сервер эмулятором основного контроллера

Здравствуйте, я - ваша тётя.
А кто такой этот TNSINTEC? »
Вот и я об этом.
Как уже говорилось я получил это все в наследство, сисадмин который все это делал уволен. Начальник ИТ говорил что подымали ДК что бы перейти с 2003 на 2008, но что то не получилось. И они просто забили на это. Подымали на виртуалках, сейчас этих виртуалак нет. При чистки ад от хлама я встречал КД под именами XENDC и TNSDC. TNSINTEC не попадался, откуда он не могу сказать. И теперь как от него избавится тоже не знаю. Вроде все следы вычистил.

И теперь как от него избавится тоже не знаю »
Бл.... нашел, настроены доверительные отношения. Может я чего то не знаю, но на хера настраивать доверительные отношения с доменом хостинга.......?

Порядок просмотра суффиксов DNS . : intec.tns-intec.kz
tns-intec.kz »
у вас два домена? к какому вы подключаетесь?

покажите nslookup _ldap._tcp.DC._msdcs.Имя_домена

у вас два домена? к какому вы подключаетесь? »
нет, домен один. Это видимо эксперименты старого админа.
покажите nslookup _ldap._tcp.DC._msdcs.Имя_домена »
C:\Documents and Settings\v.kuzmichyov>nslookup _ldap._tcp.DC._msdcs.intec.tns-i
ntec.kz
*** Can't find server name for address 192.168.1.2: Non-existent domain
Server: UnKnown
Address: 192.168.1.2

Name: _ldap._tcp.DC._msdcs.intec.tns-intec.kz

после удаление доверительных отношений dcpromo стал выкидывать ошибку, что не может подключится к списку доменов леса. скрин прикрепил

C:\Documents and Settings\v.kuzmichyov>nslookup _ldap._tcp.DC._msdcs.intec.tns-intec.kz
*** Can't find server name for address 192.168.1.2: Non-existent domain
Server: UnKnown
Address: 192.168.1.2
Name: _ldap._tcp.DC._msdcs.intec.tns-intec.kz »
у вас нет PTR записи сервера.
не точную команду попросил, покажите:
nslookup -type=srv _ldap._tcp.DC._msdcs.intec.tns-intec.kz

у вас нет PTR записи сервера. »
Пока нет.
C:\Documents and Settings\v.kuzmichyov>nslookup -type=srv _ldap._tcp.DC._msdcs.i
ntec.tns-intec.kz
*** Can't find server name for address 192.168.1.2: Non-existent domain
Server: UnKnown
Address: 192.168.1.2

_ldap._tcp.DC._msdcs.intec.tns-intec.kz SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = tns-dc.intec.tns-intec.kz
tns-dc.intec.tns-intec.kz internet address = 192.168.1.2

Пока нет. »
добавьте. попробуйте.

так же попробуйте при добавлении в домен указать его NETBIOS имя - intec, без tns-intec.kz (у вас на скрине полное имя)

Добавил запись PTR для КД
C:\Documents and Settings\v.kuzmichyov>nslookup intec
Server: tns-dc.intec.tns-intec.kz
Address: 192.168.1.2

Name: intec.tns-intec.kz
Address: 192.168.1.2


Но dcpromo так же выдает ошибку.

Но dcpromo так же выдает ошибку. »
имя писали FQDN или NETBIOS ?

оба варианта пробовал.