Доброго времени суток форумчане. Имею на вооружении windows server 2012r2 в качестве контроллера домена. Вчера настроил резервный, соответственно тоже 2012r2 - уровень леса 2012, оба так же являются dns серверами. Настраивал просто - добавил контроллер в корневой домен существующего леса, то есть у меня один лес, один домен, один "дэфолтный" сайт и теперь два контроллера. Подсетка у основного 1 у резервного 0, сеть территориально не разделена, физически серверы в одной локальной сети. Команда dsquery server –isgc показывает, что они оба серверы глобального каталога, хозяин ролей только "основной контроллер домена" (показала утилита netdom query fsmo) SRV записи резервного контроллера в dns благополучно автоматом прописались, проверил ветку _msdcs.aus.com. Если что ещё нужно уточнить говорите!

Вчера вечером тестировал, не отработало, выключаю "основной" dc, всё, почта outlook + Exchange отваливается! Не лагонится, как только включаю "основной" контроллер так всё лагон возобнавляется. Немного про dns, в dhcp резервный dc стоит и как резервный dns, и имена разрешаются (даже когда основной лежит), беда в логоне! То есть беда в ad, далее, что ещё заметил в результате теста, когда открыл на резервном контроллере оснастку "ad пользователи и компьютеры" мне выдало ошибку, что домен не доступен извините, и каталога нет, как только основной контроллер заработал, то резервный сразу подхватил каталог (грубо говоря он его локально не хранит - как я понимаю).
Подскажите плиз, что я ещё не доделал? Может роли fsmo ещё копировать? Они могут быть на двух серверах одновременно?

Ошибка какая при логине, когда первый DC выключаешь? Если оба DC включены, оснастка ко второму контролеру подключается без ошибок? DCdiag что показывает?

djuwa4,
Покажите для начала вывод ipconfig /all с обоих КД.

Если оба DC включены, оснастка ко второму контролеру подключается без ошибок? » Да совершенно без ошибок!
Ошибка какая при логине, когда первый DC выключаешь? » Ну вот, из журнала событий выковырял: Компьютер не может установить безопасный сеанс связи с контроллером домена AUS по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Покажите для начала вывод ipconfig /all с обоих КД. »
DCdiag что показывает? »
Если вы не против, приложу скрины! Очень извиняюсь, просто вывод в файл получается с кракозябрами.
Запускаю соответственно dcdiag от имени администратора, на основном (его имя share) все тесты пройденны, но есть замечание (За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированны предупреждения или сообщения об ошибках. Сбой при репликации SYSVOL могут стать причиной проблем групповой политики), на резервном (Его имя Serviceserv) ТРИ теста не пройденны:
Advertising (Внимание: DsGetDCName вернул сведения для \\share.domen.com при попытке получения доступа к SERVICESERV. Сервер не отвечает или не считается приемлемым).
DFSREvent (За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированны...
NetLogons (Не удаётся подключится к общему ресурсу NETLOGON. (\\SERVICESERV\netlogon)
[SERVICESERV] Сбой операции net use или LSAPOLICY с ошибкой 67, Не найденно сетевое имя.

Скрины в любом случае прикладываю!! Получилос по два скрина на сервер. Пока просто не получилось.

Подсетка у основного 1 у резервного 0 »
увидела маску, вопрос снят.

e24068c0df7c.png - Это ip конфиг с основного контроллера Share
e5b3568b8439.png и 51f1149225b8.png раскидал по двум файлам ip конфиги с резервного.

так как второй КД у вас multihomed, подозреваю кашу в DNS.
уберите с VMware адаптеров галки "регистровать в DNS", в свойствах DNS сервера на этом КД снимите галочки с обслуживания на адаптерах vmware.
после чего сделайте
ipconfig /registerdns

после чего убедитесь, что в DNS у вас фигурирет только правильный IP адрес этого контроллера домена.

Если вы не против, приложу скрины! Очень извиняюсь, просто вывод в файл получается с кракозябрами. »
в CMD работает буфер и ПКМ.

берите с VMware адаптеров галки "регистровать в DNS" »
Спасибо за советы! Так и сделал, причём и в свойствах ip4 и ip6. Я посмотрел что ни где в dns они не зареганы, у них аж 106 и 143 подсеть, зоны обратного просмотра с 0 по 4, serviceserv - как папка верхнего уровня на 0.236 как ему и положенно. Убрал прослушку в dns с ip адресов v4 и v6 VM-варных. Проверил ещё раз dns, у резервного DC нужный ip адрес.
Опять проверил dcdiag резервный контроллер домена, те же ошибки, проверил как резрешается сам резервный сервер, например мой комп смотрит на dns сервер (которым как раз является резервный сервак) и всё норм имя приобразуется в адрес, другие dns серверы его также преобразуют.

Посмотрел удостоверится есть ли вообще сам файл ntds.dit на резервном контроллере, всё есть всё, сам каталог локально есть.

Почитаю пока, аналогичная тема http://forum.oszone.net/post-2392701.html камрад Telepuzik » принимал участие.
Автор статьи пишет, что выполнил следующее "wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="338B7795-1374-11E4-93F8-806E6F6E6963" call ResumeReplication".
В моём случае попробую wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="5ED2AEBA-788A-410E-A73C-5CD6126F41D3"

Ошибка какая при логине » Кстати, когда открываю оснастку пользователи и компьютеры на резервном, вот такая ошибка http://forum.oszone.net/attachment.php?attachmentid=116253&d=1408683207

Народ, как нормально выводить ответ полученный от команд в cmd, в том числе в файл? Просто у меня английский нормально, а вот русский кракозябрами, как исправить?

Просто у меня английский нормально, а вот русский кракозябрами, как исправить? »
Используйте powershell вместо cmd.
djuwa4,
Вывод команды nslookup aus.local с обоих КД покажите и вывод этой же команды когда первый КД выключен.

Вывод команды nslookup aus.local »
Share соответственно аля "основной" - он же рабочий. Скрин с резервного при отключенном основном только вечером.

Там dns server 192.168.1.15 тоже был dc и dns но я его понижал, службу dns - тоже удалил, затем просто удалил зпись компа в dc (вроде с 2008 сервера - этого достаточно, то есть не нужно с помощью NTDSUTIL шаманить) все записи в dns почистил в ручную после него и ns и srv, перед nslookup локально на серваках чистил кэш dns.
Удали покуда он тоже был кривой и не отрабатывал, да ещё и на виртуалке. Чтоб не путаться при настройке и диагностике нового резервного контроллера, предварительно снёс тот.

Используйте powershell вместо cmd » Ух ты, я смотрю dcdiag работает в powershell .

Там dns server 192.168.1.15 »
Так все таки не понятно сервер с ip адресом 192.168.1.15 это живой КД или это просто запись в DNS? Сколько на данный момент у Вас рабочих КД?
nslookupShare.png »
Судя по выводу на данном КД нет обратной зоны.
Ух ты, я смотрю dcdiag работает в powershell . »
В PowerShell-е работают все внешние команды так же как и в консоле cmd.

Так все таки не понятно сервер с ip адресом 192.168.1.15 это живой КД или это просто запись в DNS? Сколько на данный момент у Вас рабочих КД? »
Мёртвый! Но вот где я ещё запись мог не подчистить, не знаю, вроде всё зачистил.
Судя по выводу на данном КД нет обратной зоны. »
Да только сейчас заметил UnKnown, а что значит нет? Я не совсем понял? Как это исправить? Нет обратной зоны именно на share?

Мёртвый! »
Вы его как из домена выводили через понижение роли или он просто сломался и пришлось чистить AD руками???
Но вот где я ещё запись мог не подчистить, не знаю, вроде всё зачистил. »
Смотрите NS записи на DNS сервере.
Да только сейчас заметил UnKnown, а что значит нет? »
У Вас либо нет записей в обратной DNS зоне для данного КД либо проблема с репликацией. Можете руками добавить запись для данного КД в обратную зону.
Как это исправить? »
Покажите вывод команды repadmin /showrepl с обоих КД.

Вы его как из домена выводили через понижение роли или он просто сломался и пришлось чистить AD руками??? »
Он тоже 2012, через понижение, но после перезагрузки вышло сообщение, что из ад придётся чистить ручками. Посмотрел свежие статьи по очистке метаданных ad от мёртвого контроллера домена, с версии 2008, достаточно просто удалить учётную запись контроллера из ad, так и сделал.

repadmin /showrepl
Основной:
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом

Default-First-Site-Name\SHARE

Параметры DSA: IS_GC

Параметры сайта: (none)

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

DSA - код вызова: 1ef5df98-c94e-4121-a334-f89b6b56a1fe



==== ВХОДЯЩИЕ СОСЕДИ ======================================



DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.



CN=Configuration,DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.



CN=Schema,CN=Configuration,DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.



DC=DomainDnsZones,DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.



DC=ForestDnsZones,DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.

Резервный:
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом

Default-First-Site-Name\SERVICESERV

Параметры DSA: IS_GC

Параметры сайта: (none)

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

DSA - код вызова: 1e145136-798f-470d-8c54-f0c68291ac19



==== ВХОДЯЩИЕ СОСЕДИ ======================================



DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:57:27 успешна.



CN=Configuration,DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:53:48 успешна.



CN=Schema,CN=Configuration,DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:53:48 успешна.



DC=ForestDnsZones,DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:53:48 успешна.



DC=DomainDnsZones,DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:53:48 успешна.

с версии 2008, достаточно просто удалить учётную запись контроллера из ad, »
Видно этого не достаточно так как у Вас в DNS остались NS записи данного сервера. Покажите еще вывод команды netdom query fsmo с КД.

Ребят, я самое главное упустил! Рассинхрон времени в час, на контроллерах. Сейчас это исправлю.

Время сделал нормальным проблемма осталась.
Покажите еще вывод команды netdom query fsmo с КД. »
Я так понял с любого компа в домене??? Хозяин fsmo только share условный "основной".

Вывод ошибок с dcdiag /v /a:


Сервер проверки: Default-First-Site-Name\SERVICESERV

Запуск проверки: Advertising

Внимание: DsGetDcName вернул сведения для \\SHARE.aus.local при

попытке получения доступа к SERVICESERV.

СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.

......................... SERVICESERV - не пройдена проверка

Advertising

Проверка пропущена по запросу пользователя: CheckSecurityError

Проверка пропущена по запросу пользователя: CutoffServers

Запуск проверки: FrsEvent

* Проверка журнала событий службы репликации файлов
Пропустить тест, так как на сервере выполняется репликация DFSR.

......................... SERVICESERV - пройдена проверка FrsEvent

Запуск проверки: DFSREvent

The DFS Replication Event Log.
За последние 24 часа после предоставления SYSVOL в общий доступ

зафиксированы предупреждения или сообщения об ошибках. Сбои при

репликации SYSVOL могут стать причиной проблем групповой политики.
Возникло предупреждение. Код события (EventID): 0x80001396

Время создания: 05/28/2015 09:21:51

Строка события:

Служба репликации DFS останавливает подключение к партнеру SHARE группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение.

Дополнительные сведения:

Ошибка: 1726 (Сбой при удаленном вызове процедуры.)

Идентификатор подключения: C43E6CEE-81F6-467A-9D52-3B94B5C42FC8

Идентификатор группы репликации: 1EEF2372-F50E-4D58-9F49-7460C6C693A9

Возникла ошибка. Код события (EventID): 0xC0001390

Время создания: 05/28/2015 09:22:05

Строка события:

Службе репликации DFS не удалось установить подключение к партнеру SHARE по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.



DNS-адрес партнера: SHARE.aus.local

Дополнительные сведения:

Ошибка: 1722 (Сервер RPC недоступен.)

Идентификатор подключения: C43E6CEE-81F6-467A-9D52-3B94B5C42FC8

Идентификатор группы репликации: 1EEF2372-F50E-4D58-9F49-7460C6C693A9

Возникла ошибка. Код события (EventID): 0xC0001204

Время создания: 05/28/2015 09:45:21

Строка события:

Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером SHARE.aus.local. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена.



Дополнительные сведения:

Имя реплицированной папки: SYSVOL Share

Идентификатор реплицированной папки: 122077AA-D80E-4D11-A202-E74644DC2B22

Имя группы репликации: Domain System Volume

Идентификатор группы репликации: C43E6CEE-81F6-467A-9D52-3B94B5C42FC8

Код участника: 7BE97FBF-E374-4EAC-B7E9-E225642B4056

Только для чтения: 0

Возникла ошибка. Код события (EventID): 0xC0001390

Время создания: 05/28/2015 10:19:09

Строка события:

Службе репликации DFS не удалось установить подключение к партнеру SHARE по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.

DNS-адрес партнера: SHARE.aus.local



Доступные дополнительные сведения:

WINS-адрес партнера: SHARE

IP-адрес партнера:



Служба периодически будет пытаться установить подключение.



Дополнительные сведения:

Ошибка: 1722 (Сервер RPC недоступен.)

Идентификатор подключения: 7B77DF7E-9FB3-4A56-9E3A-BCA077692688

Идентификатор группы репликации: 1EEF2372-F50E-4D58-9F49-7460C6C693A9

Возникла ошибка. Код события (EventID): 0xC0001204

Время создания: 05/28/2015 10:19:09

Строка события:

Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером SHARE.aus.local. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена.



Дополнительные сведения:

Имя реплицированной папки: SYSVOL Share

Идентификатор реплицированной папки: 122077AA-D80E-4D11-A202-E74644DC2B22

Имя группы репликации: Domain System Volume

Идентификатор группы репликации: 7B77DF7E-9FB3-4A56-9E3A-BCA077692688

Код участника: 7BE97FBF-E374-4EAC-B7E9-E225642B4056

Только для чтения: 0

......................... SERVICESERV - не пройдена проверка DFSREvent


Запуск проверки: NetLogons

* Network Logons Privileges Check
Не удается подключиться к общему ресурсу NETLOGON.

(\\SERVICESERV\netlogon)

[SERVICESERV] Сбой операции net use или LsaPolicy с ошибкой 67,

Не найдено сетевое имя..

......................... SERVICESERV - не пройдена проверка NetLogons

Я так понимаю трабл связан с RPC?

Я так понимаю трабл связан с RPC? »
Вывод команды nslookup share.aus.local с обоих КД покажите. Вы лишние записи NS связанные с адресом 192.168.1.15 решили?