Создал локальный домен firma1.loc с контроллером домена srv(win2008R2). В нем все нормально работало: пользователи без админ прав могли входить в терминал.
Затем решил создать резервный контроллер домена srv2 (win2008R2), чтоб был запасной. Он создался и нормально в оснастке ADUsers&Comps поместился в раздел Domain Controllers.В нем есть DNS,
записи которого перенеслись из srv. DHCP я не использую на серверах. Но srv2 стал пускать в терминал пользователей только с админ.правами.


Потом я отключил первый DC srv на профилактические работы. Начались проблемы. На srv2 стали появляться ошибки, что он не может связаться с srv (на srv2 я менял некоторые права пользователей) Через 2 дня(выходных) srv2 вообще перестал пускать пользователей в терминал(даже тех, что с правами администратора домена).

Только, когда я включил srv, srv2 стал пускать к себе пользователей в терминал. Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? Или из-за того, что контроллер srv на железе, а srv2 - виртуальный?
или надо обязательно включать оба контроллера поработать вместе с какой-то периодичностью? с какой?

Могут ли быть эти 5 ролей fsmo одновременно у обоих контроллеров, чтобы не бояться, что один(первый) сломается окончательно?

Цитата pavsem7:
Потом я отключил первый DC srv на профилактические работы »
Цитата pavsem7:
(на srv2 я менял некоторые права пользователей »
Если отключаешь какой-нить КД, то не стоит вносить изменений, огребешь USN rollback.
Цитата pavsem7:
Через 2 дня(выходных) srv2 вообще перестал пускать пользователей в терминал(даже тех, что с правами администратора домена). »
Цитата pavsem7:
Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? »
ИМХО здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), либо из-за проблем с недоступностью глобального каталога, srv2 таковым является?
Цитата pavsem7:
или надо обязательно включать оба контроллера поработать вместе с какой-то периодичностью?»
Оба КД должны работать постоянно. Можно отключать один КД на обслуживание если не вносить никаких изменений (не менять групповых политик, структуры OU и т.д.), допустимый период 180 дней, но так долго естественно лучше не держать.
Цитата pavsem7:
Или из-за того, что контроллер srv на железе, а srv2 - виртуальный? »
Это неважно.
Цитата pavsem7:
Могут ли быть эти 5 ролей fsmo одновременно у обоих контроллеров, чтобы не бояться, что один(первый) сломается окончательно? »
Нет, не могут. Если один КД (у которого роли FSMO) помер, то делают принудительный захват ролей FSMO.
http://windowsnotes.ru/activedirectory/peredacha-i-zaxvat-rolej-fsmo/

Если отключаешь какой-нить КД, то не стоит вносить изменений, огребешь USN rollback »
Я читал у многих и у себя наблюдал: изменения реплицируются. В этом же и смысл репликации, думаю, по временным маркерам каким-нибудь - новое затирает старое при конфликте.
Судя по описаниям, проблема возникает только при восстановлениях из бэкапа старых копий, но у меня не это.

здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), либо из-за проблем с недоступностью глобального каталога, srv2 таковым является? »

srv2 является GC. А вот как этот PDC эмулятор запускать, если роли FSMO нет необходимости передавать?

Если отключаешь какой-нить КД, то не стоит вносить изменений, огребешь USN rollback. »
глупости какие.
ИМХО здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), »
PDC эмулятор тут не при чём.
либо из-за проблем с недоступностью глобального каталога, srv2 таковым является? »
это больше похоже.
Оба КД должны работать постоянно. Можно отключать один КД на обслуживание если не вносить никаких изменений (не менять групповых политик, структуры OU и т.д. »
снова глупости.
допустимый период 180 дней »
откуда эта цифра? что будет потом?
но так долго естественно лучше не держать. »
верно ;)

pavsem7,
"править домен летит Айболит и одно только слово твердит: DNS! DNS! DNS!" (c) Choks.
ну а вам нужно начать с чтения книжки по администрированию, хотя бы любой.
методом "тыка" вы ничему толковому не научитесь.

откуда эта цифра? что будет потом? »Видимо, это про Tombstone Lifetime (http://serverfault.com/questions/534375/ad-ds-default-tombstone-interval-in-different-versions-of-windows-server).
Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? »А вы их передавали на srv2?
Могут ли быть эти 5 ролей fsmo одновременно у обоих контроллеров, чтобы не бояться, что один(первый) сломается окончательно? »Цитируя вики: "FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, выполняющего данные операции".
Но srv2 стал пускать в терминал пользователей только с админ.правами. »Журнал ошибок, dcdiag, настройки и т.д.?

ИМХО здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), »
PDC эмулятор тут не при чём.
Цитата uel:
либо из-за проблем с недоступностью глобального каталога, srv2 таковым является? »
это больше похоже. »

Может и похоже, но srv2 тоже с глобальным каталогом

Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? »
А вы их передавали на srv2? »
Нет, не передавал. Тем более, сказали, что это необязательно, всегда потом можно присвоить при необходимости.
Цитируя вики: "FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, выполняющего данные операции". »
Согласно тому же вики, роль PDC Emulator возможна к неуникальному появлению после захвата.
Можно ли временно передать эту роль от основного контроллера в запасному, а потом вернуть обратно без ущерба, чтобы
попробовать не эта ли роль виновата в плохом поведении моего srv2?

dcdiag »

dcdiag выдал ошибку:

Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0xC00A0032
Время создания: 10/20/2015 17:17:41
Строка события:
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и
отключил этого клиента
Возникла ошибка. Код события (EventID): 0xC00A0038
Время создания: 10/20/2015 17:17:41
Строка события:
Уровень безопасности сервера терминалов обнаружил ошибку в потоке пр
отокола и отключил этот клиент. IP-адрес клиента: 192.168.1.205.
......................... srv2 - не пройдена проверка SystemLog

Это видимо про того клиента, который заходил не администратором, а администратора потом пустил и им я сделал dcdiag. Он выкидывает длинную табличку при попытке входа неадмином, что вы не принадлежите к группе админов или другой группе с разрешением и надо дать разрешение вручную. Я давал разрешение и персонально пользователю и включал его в разные группы RDUsers, DomainUsers и т.п. которые есть в Security вкладке RDP-TCP. В разрешенных для RDP все эти юзеры прописаны в свойствах компьютера-Доп.параметрыСистемы, но все равно не пускает. А, дашь Administrators, то пускает.


настройки и т.д »

Про какие настройки спрашиваете? ip-адреса статические в одном сегменте локсети с адресом маршрутизатора в качестве шлюза в интернет.

править домен летит Айболит и одно только слово твердит: DNS! DNS! DNS!" »

Что в DNS предлагаете поправить? оба сервера как NS сервера в обеих зонах присутствуют. Сервера пересылки настроены идентично на провайдера и в srv2 и в srv. В журнале DNS srv2 написано, что он завершил фоновую загрузку зон после загрузки сервера (зоны включают в себя доменные пользовательские компьютеры). На сервере srv2 можно смотреть интернет в браузере, если добавлять сайты в безопасные.

чтения книжки по администрированию »
У меня конкретные проблемы текущей работы, а вы о книжках. читал я их много.