Здравствуйте!
Какое то время назад практически одновременно упали 2 контроллера домена, тогда еще на 2000 server и 2003 server. В результате каталог был вручную восстановлен на новой машине с 2008R2 с ошибками, от которых и хочу избавиться.
1. На клиентах с ОС Windows XP (SP3 и со всеми возможными обновлениями) не переопределяются групповые политики. В журнале событий каждый раз остается ошибка 1054. Логин при этом идет долго. На машинах с Windows 7, Windows 2008R2 при этом никаких ошибок не возникает, политики работают, вход в систему тоже без задержек.
2. Долго думает ДНС-сервер. При перезагрузке сервера служба DNS не стартует, приходится запускать вручную.
Контроллер в домене один, на нем же DNS и DHCP. Настроена пересылка запросов на DNS провайдера и google.

C:\Users\user>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = AD2
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\AD2
Запуск проверки: Connectivity
......................... AD2 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\AD2
Запуск проверки: Advertising
......................... AD2 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... AD2 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... AD2 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... AD2 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... AD2 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... AD2 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... AD2 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... AD2 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... AD2 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... AD2 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... AD2 - пройдена проверка Replications
Запуск проверки: RidManager
......................... AD2 - пройдена проверка RidManager
Запуск проверки: Services
......................... AD2 - пройдена проверка Services
Запуск проверки: SystemLog
......................... AD2 - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... AD2 - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: remel
Запуск проверки: CheckSDRefDom
......................... remel - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... remel - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: remel.us
Запуск проверки: LocatorCheck
......................... remel.us - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... remel.us - пройдена проверка Intersite

C:\Users\user>


Но бывает и так:
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\user>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = AD2
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\AD2
Запуск проверки: Connectivity
......................... AD2 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\AD2
Запуск проверки: Advertising
......................... AD2 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... AD2 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... AD2 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... AD2 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... AD2 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... AD2 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... AD2 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... AD2 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... AD2 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... AD2 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... AD2 - пройдена проверка Replications
Запуск проверки: RidManager
......................... AD2 - пройдена проверка RidManager
Запуск проверки: Services
......................... AD2 - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0xC0002719
Время создания: 03/30/2015 09:16:30
Строка события:
Не удалось установить связь DCOM с компьютером 8.8.8.8 через один из
настроенных протоколов.
Возникла ошибка. Код события (EventID): 0xC0002719
Время создания: 03/30/2015 09:16:51
Строка события:
Не удалось установить связь DCOM с компьютером 94.190.68.2 через оди
н из настроенных протоколов.
Возникло предупреждение. Код события (EventID): 0x000016AF
Время создания: 03/30/2015 09:18:27
Строка события:
За последние 4.24 часов было зарегистрировано 788 подключений к этом
у контроллеру домена от клиентских компьютеров, чьи IP-адреса не удалось сопоста
вить ни с одним из существующих сайтов сети предприятия. Эти клиенты, тем самым,
не имели определенного сайта и могли подключаться к любому контроллеру домена,
включая те, которые могли находиться на очень далеком расстоянии от клиента. Сай
т клиента определяется на основе сопоставления его маски подсети с масками сущес
твующих сайтов. Чтобы поместить этих клиентов в один из сайтов, возможно, следу
ет создать новые объекты, покрывающие эти IP-адреса и сопоставляемые существующи
м сайтам. Имена и IP-адреса этих клиентов были записаны на этом компьютере в фай
ле журнала '%SystemRoot%\debug\netlogon.log' или, возможно, в файле журнала '%Sy
stemRoot%\debug\netlogon.bak', создаваемом в том случае, если первый из упомянут
ых журналов оказывается заполненным. Журналы могут содержать другую не связанную
с этой проблемой информацию, собираемую для отладки. Чтобы отфильтровать нужные
данные, следует выполнить поиск строк, содержащих текст 'NO_CLIENT_SITE:'. Перв
ое слово после этой строки является именем клиента, а второе - его IP-адресом. М
аксимальный размер журналов определяется следующим DWORD-параметром в реестре: '
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LogFile
MaxSize'; по умолчанию принимается размер 20000000 байт. Текущий максимальный ра
змер - 20000000 байт. Чтобы изменить максимальный размер, следует создать вышеуп
омянутый параметр в реестре и задать желаемый размер в байтах.
......................... AD2 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... AD2 - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: remel
Запуск проверки: CheckSDRefDom
......................... remel - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... remel - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: remel.us
Запуск проверки: LocatorCheck
......................... remel.us - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... remel.us - пройдена проверка Intersite

А у вас раньше контроллеры в разных сайтах были? Возможно в зоне _msdcs остались записи о старых сайтах, тогда нужно будет грохнуть все в этой зоне и перестартовать службу netlogon. Еще ipconfig /all с сервера и проблемных клиентов покажите.

Да не, вроде чистенько всё: в сайтах default-site-name и еще один - с другого домена, его я позже для филиала добавлял. А грохнуть зону - это как? Все записи и каталоги поудалять внутри?

Нашел запись в папке _msdcs, той что внутри зоны с именем домена - она указывала на один из старых КД. Удалил эту папку, однако перезапуск netlogon её не восстановил.
C:\Users\user>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : AD2
Основной DNS-суффикс . . . . . . : remel.us
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : remel.us

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер D-Link DGE-528T Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-11-95-61-CF-C7
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.2.50
DNS-серверы. . . . . . . . . . . : 192.168.2.2
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{6B68D521-DE8B-4187-85E5-2EAB25055409}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\user>
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\user>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : r111
Основной DNS-суффикс . . . . . . : remel.us
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : remel.us
remel.us

Подключение по локальной сети - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet A
dapter
Физический адрес. . . . . . . . . : 00-13-46-EB-4E-71

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . : remel.us
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connect
ion
Физический адрес. . . . . . . . . : 00-13-D4-F0-63-F7
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.2.61
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.2.50
DHCP-сервер . . . . . . . . . . . : 192.168.2.2
DNS-серверы . . . . . . . . . . . : 192.168.2.2
Основной WINS-сервер . . . . . . : 192.168.2.2
Аренда получена . . . . . . . . . : 30 марта 2015 г. 14:13:33
Аренда истекает . . . . . . . . . : 2 апреля 2015 г. 14:13:33

C:\Documents and Settings\user>

dcdiag /test :Dns /fix, net stop netlogon && net start netlogon. Выключить фаерволы, на время если имеются.

Выполнилось с ошибками:

C:\Users\user>dcdiag /test:dns /fix

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = AD2
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\AD2
Запуск проверки: Connectivity
......................... AD2 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\AD2

Запуск проверки: DNS

Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... AD2 - пройдена проверка DNS

Выполнение проверок разделов на: ForestDnsZones

Выполнение проверок разделов на: DomainDnsZones

Выполнение проверок разделов на: Schema

Выполнение проверок разделов на: Configuration

Выполнение проверок разделов на: remel

Выполнение проверок предприятия на: remel.us
Запуск проверки: DNS
Результаты проверки контроллеров домена:

Контроллер домена: AD2.remel.us
Домен: remel.us


TEST: Dynamic update (Dyn)
Warning: Failed to delete the test record dcdiag-test-record i
n zone remel.us

AD2 PASS PASS PASS PASS WARN PASS n/a
......................... remel.us - пройдена проверка DNS

C:\Users\user>net stop netlogon & net start netlogon
Служба "Сетевой вход в систему" останавливается.
Служба "Сетевой вход в систему" успешно остановлена.

Служба "Сетевой вход в систему" запускается........
Служба "Сетевой вход в систему" успешно запущена.


C:\Users\user>

Может его полностью перегрузить?

Warning: Failed to delete the test record dcdiag-test-record i
n zone remel.us »Попробуйте для зон _msdsc.remel.us и remel.us сделать: Свойства -> Динамическое обновление -> Только безопасные. И произвести повторную проверку.

User001[/b], ]Попробуйте для зон _msdsc.remel.us и remel.us сделать: Свойства -> Динамическое обновление -> Только безопасные. И произвести повторную проверку.
Помогло, ошибки не возникло. Но зона не пересоздалась. А вот такие ошибки пишет после проверки dcdiag, запущенный без ключей:
C:\Users\user>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = AD2
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\AD2
Запуск проверки: Connectivity
......................... AD2 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\AD2
Запуск проверки: Advertising
......................... AD2 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... AD2 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... AD2 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... AD2 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... AD2 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... AD2 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... AD2 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... AD2 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... AD2 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... AD2 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... AD2 - пройдена проверка Replications
Запуск проверки: RidManager
......................... AD2 - пройдена проверка RidManager
Запуск проверки: Services
......................... AD2 - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 04/01/2015 16:33:20
Строка события:
Драйвер Xerox Phaser 3117 для принтера Xerox Phaser 3117 не опознан.
Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
Возникла ошибка. Код события (EventID): 0xC0002719
Время создания: 04/01/2015 16:35:03
Строка события:
Не удалось установить связь DCOM с компьютером 8.8.8.8 через один из
настроенных протоколов.
Возникла ошибка. Код события (EventID): 0xC0002719
Время создания: 04/01/2015 16:35:24
Строка события:
Не удалось установить связь DCOM с компьютером 94.190.68.2 через оди
н из настроенных протоколов.
Возникло предупреждение. Код события (EventID): 0x000016AA
Время создания: 04/01/2015 16:36:31
Строка события:
Ни один из IP-адресов (192.168.2.2) этого контроллера домена не сопо
ставляется с настроенным сайтом 'Default-First-Site-Name'. Хотя это может быть в
ременным явлением из-за изменения IP-адреса, рекомендуется, чтобы IP-адрес контр
оллера домена (доступного для других компьютеров в этом домене) сопоставлялся с
сайтом, который он обслуживает. Если приведенный выше список IP-адресов не измен
яется, возможно, следует переместить этот сервер в такой сайт (или создать новый
, если он не существует), чтобы эти IP-адреса сопоставлялись выбранному сайту. Э
то может потребовать создания нового объекта-подсети (чей диапазон будет включат
ь указанный IP-адрес), сопоставляемого выбранному объекту-сайту.
......................... AD2 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... AD2 - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: remel
Запуск проверки: CheckSDRefDom
......................... remel - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... remel - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: remel.us
Запуск проверки: LocatorCheck
......................... remel.us - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... remel.us - пройдена проверка Intersite

C:\Users\user>