Здравствуйте :)

Не могу разобраться в своей проблеме.
В одной OU находится 2 сервера, к одному из них (например сервер 1) политики юзеров и компьютера применяются, а к серверу 2 применяются политики компьютера, но не применяются политики пользователя.

в gpresult на сервере 2 пишется Конфигурация пользователя Параметры не заданы.
в rsop.msc на сервере 2 https://yadi.sk/i/D94mPcV9qC4JJ


Не знаю уже что делать.

Сервак грузил, политики gpupdate обновлял

Вы под одним и тем же пользователем заходите?

Да, настройки в этом плане выставлены "пользователи домена"

Да, настройки в этом плане выставлены "пользователи домена" »
Настройки пользователя берутся из GPO, которая привязывается к OU, где лежат пользователи, если не включен режим замыкания групповой политики. Политика с нужными параметрами показывается у вас в gpresult?

На данном сервер режим замыкания не включён.
в gpresult > сводка > Примененные объекты групповой политики данная политика есть.
Если листать отчёт ниже и смотреть детальную информацию, то "Конфигурация комьютера Данные отсутствуют" "Конфигурация пользователя - политики есть", но по сути они не применяются. К тому же, политики компьютера тоже есть, а не отображаются (написал выше)

Политики прикреплены к корню домена, а сервер, к которому не применяются политики находится в OU на уровень ниже.
Если зайти в эту OU и посмотреть наследование групповой политики, то там все нужные политики тоже отображаются
https://yadi.sk/i/6uUGH0a7qCZPF

смущает тот факт, что в этой же OU есть другой сервер, на котором все политики под этим же пользователем отрабатывают как надо

как-нибудь потраблшутить эту фигню возможно?

При выполнении rsop.msc от обычного пользователя, в отчёте должны показываться политики применённые к компьютеру или будут показаны только политики, применённые к этому пользователю?

у меня при выполнении rsop от обычного пользователя пишет, что не удалось создать результирующие данные компьютера из-за недостаточных прав

Окей, можно оттолкнуться от другого.
Фиг с ней с этой политикой, почему может не применятbся этот параметр?
https://yadi.sk/i/vfAYW-tCqEKsa


Если руками добавлю в свойства обозревателя - безопасность - местная интрасеть эти значения, то работает, а с назначением этого через ГПО не работает(

либо, если эта фигня не работает, пробую через реестр:

политики применяются, а по факту записи в надежные узлы не добавляются (может не отображаются, подумал я) и не работают по факту

https://yadi.sk/i/fVMbb7gyqEVhf

ясн

Мужики, помогайте)

Есть 2 DC - 192.168.1.7 (MSK_SRV17DC) и 192.168.0.7 (DC1 - раньше он назывался DC), они друг друга видят.

что такое 194.67.1.154 194.67.2.114 и откуда оно взялось я не знаю.

Косяк с GPO полез - не применяются новые политики. Вот что нарыл:

dcdiag с хозяина FSMO


Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = MSK-SRV17DC
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site\MSK-SRV17DC
Запуск проверки: Connectivity
......................... MSK-SRV17DC - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site\MSK-SRV17DC
Запуск проверки: Advertising
......................... MSK-SRV17DC - пройдена проверка Advertising
Запуск проверки: FrsEvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... MSK-SRV17DC - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... MSK-SRV17DC - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... MSK-SRV17DC - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... MSK-SRV17DC - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... MSK-SRV17DC - пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... MSK-SRV17DC - пройдена проверка
MachineAccount
Запуск проверки: NCSecDesc
......................... MSK-SRV17DC - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... MSK-SRV17DC - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... MSK-SRV17DC - пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
[Replications Check,MSK-SRV17DC] Сбой при последней попытке
репликации:
Из DC в MSK-SRV17DC
Контекст именования:
CN=Schema,CN=Configuration,DC=MY_FIRM,DC=com
При репликации возникла ошибка (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

Сбой возник в 2016-03-22 10:55:28.
Последняя успешная операция была в 2015-07-29 06:53:13. После
последней успешной операции было
5694 сбоев.
DNS-имя на основе GUID
6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com
не зарегистрировано на одном или нескольких DNS-серверах.
[DC] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
[Replications Check,MSK-SRV17DC] Сбой при последней попытке
репликации:
Из DC в MSK-SRV17DC
Контекст именования: CN=Configuration,DC=MY_FIRM,DC=com
При репликации возникла ошибка (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

Сбой возник в 2016-03-22 10:55:22.
Последняя успешная операция была в 2015-07-29 06:52:52. После
последней успешной операции было
5694 сбоев.
DNS-имя на основе GUID
6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com
не зарегистрировано на одном или нескольких DNS-серверах.
[Replications Check,MSK-SRV17DC] Сбой при последней попытке
репликации:
Из DC в MSK-SRV17DC
Контекст именования: DC=MY_FIRM,DC=com
При репликации возникла ошибка (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

Сбой возник в 2016-03-22 10:55:16.
Последняя успешная операция была в 2015-07-29 07:50:18. После
последней успешной операции было
5694 сбоев.
DNS-имя на основе GUID
6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com
не зарегистрировано на одном или нескольких DNS-серверах.
......................... MSK-SRV17DC - не пройдена проверка
Replications
Запуск проверки: RidManager
......................... MSK-SRV17DC - пройдена проверка RidManager
Запуск проверки: Services
......................... MSK-SRV17DC - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x00009018
Время создания: 03/22/2016 10:46:04
Строка события:
Возникло следующее неустранимое предупреждение: 20. Внутреннее состояние ошибки: 960.
Возникла ошибка. Код события (EventID): 0x00009018
Время создания: 03/22/2016 10:48:29
Строка события:
Возникло следующее неустранимое предупреждение: 20.
Внутреннее состояние ошибки: 960.
Возникла ошибка. Код события (EventID): 0x00009018
Время создания: 03/22/2016 11:45:24
Строка события:
Возникло следующее неустранимое предупреждение: 20. Внутреннее состояние ошибки: 960.
Возникла ошибка. Код события (EventID): 0x00009018
Время создания: 03/22/2016 11:45:33
Строка события:
Возникло следующее неустранимое предупреждение: 20. Внутреннее состояние ошибки: 960.
......................... MSK-SRV17DC - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... MSK-SRV17DC - пройдена проверка
VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: MY_FIRM
Запуск проверки: CheckSDRefDom
......................... MY_FIRM - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... MY_FIRM - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: MY_FIRM.com
Запуск проверки: LocatorCheck
......................... MY_FIRM.com - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... MY_FIRM.com - пройдена проверка
Intersite

ipconfig /all с хозяина FSMO
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : MSK-SRV17DC
Основной DNS-суффикс . . . . . . : MY_FIRM.com
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : MY_FIRM.com

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 M
Физический адрес. . . . . . . . . : 00-50-56-01-00-0D
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.7(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.7
192.168.0.7
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{ADA41031-7829-4111-B0BD-A4949E4130E8}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Даdcdiag /test:dns с хозяина FSMO . какие-то левые ДНС



Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = MSK-SRV17DC
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site\MSK-SRV17DC
Запуск проверки: Connectivity
......................... MSK-SRV17DC - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site\MSK-SRV17DC

Запуск проверки: DNS

Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... MSK-SRV17DC - пройдена проверка DNS

Выполнение проверок разделов на: ForestDnsZones

Выполнение проверок разделов на: DomainDnsZones

Выполнение проверок разделов на: Schema

Выполнение проверок разделов на: Configuration

Выполнение проверок разделов на: MY_FIRM

Выполнение проверок предприятия на: MY_FIRM.com
Запуск проверки: DNS
Отчет о результатах проверки DNS-серверов, используемых приведенными
выше контроллерами домена:

DNS-сервер: 194.67.1.154 (<name unavailable>)
1 - проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 194.67.1.154
DNS-сервер: 194.67.2.114 (<name unavailable>)
1 - проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 194.67.2.114
......................... MY_FIRM.com - пройдена проверка DNS

dcdiag со 2го контроллера домена


Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = DC1
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site\DC1
Запуск проверки: Connectivity
......................... DC1 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site\DC1
Запуск проверки: Advertising
......................... DC1 - пройдена проверка Advertising
Запуск проверки: FrsEvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... DC1 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... DC1 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... DC1 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... DC1 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... DC1 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... DC1 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... DC1 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... DC1 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... DC1 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
[Replications Check,DC1] Сбой при последней попытке репликации:
Из DC в DC1
Контекст именования:
CN=Schema,CN=Configuration,DC=MY_FIRM,DC=com
При репликации возникла ошибка (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

Сбой возник в 2016-03-22 08:54:17.
Последняя успешная операция была в 2015-07-29 07:49:59. После
последней успешной операции было
5657 сбоев.
DNS-имя на основе GUID
6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com
не зарегистрировано на одном или нескольких DNS-серверах.
[DC] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
[Replications Check,DC1] Сбой при последней попытке репликации:
Из DC в DC1
Контекст именования: CN=Configuration,DC=MY_FIRM,DC=com
При репликации возникла ошибка (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

Сбой возник в 2016-03-22 08:54:11.
Последняя успешная операция была в 2015-07-29 07:49:38. После
последней успешной операции было
5657 сбоев.
DNS-имя на основе GUID
6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com
не зарегистрировано на одном или нескольких DNS-серверах.
[Replications Check,DC1] Сбой при последней попытке репликации:
Из DC в DC1
Контекст именования: DC=MY_FIRM,DC=com
При репликации возникла ошибка (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

Сбой возник в 2016-03-22 08:54:05.
Последняя успешная операция была в 2015-07-29 07:50:15. После
последней успешной операции было
5657 сбоев.
DNS-имя на основе GUID
6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com
не зарегистрировано на одном или нескольких DNS-серверах.
......................... DC1 - не пройдена проверка Replications
Запуск проверки: RidManager
......................... DC1 - пройдена проверка RidManager
Запуск проверки: Services
......................... DC1 - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x00000422
Время создания: 03/22/2016 08:40:49
Строка события:
Ошибка при обработке групповой политики. Попытка чтения файла "\\MY_FIRM.com\SysVol\MY_FIRM.com\Policies\{F4AD26CF-E69B-4B81-BB1C-066DA554FB63}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
......................... DC1 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... DC1 - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: MY_FIRM
Запуск проверки: CheckSDRefDom
......................... MY_FIRM - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... MY_FIRM - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: MY_FIRM.com
Запуск проверки: LocatorCheck
......................... MY_FIRM.com - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... MY_FIRM.com - пройдена проверка
Intersite


оснастка домены и службы https://yadi.sk/i/-wp4MKBFqMTqd

С чего начать?

Ну, по ходу у меня проблемы из-за этой лабуды
FRS DomainControllerName: (null)

подправлял по этой инструкции
http://forum.ru-board.com/topic.cgi?forum=8&topic=25131#17

Краткое содержание:

1. В сети было два DC. Одному из них пришло время помирать по железу.
2. Поднял новый DC. Раскидал роли с помирающего DC.
3. Понизил старый DC. Убил на нем CA и поднял новый на другом сервере.
4. Вывел старый сервер из домена и выключил нах.
5. На новом сервере перестали шариться Sysvol и Netlogon
6. Долго курил разные мануалы. Потом выложил логи сюда.
7. Добрые люди поглядели в ntfrsutl ds и ткнули пальцем в отсутствующий в реплике
Primary Member, каковой за каким-то хреном встал в (null).
8. При помощи adsiedit прописал туда адрес сервера с правильным Sysvol.
9. На обоих серверах погасил Ntfrs.
10. Прописал в регистри в HKLM/SYSTEM/Current Control Set/Services/Ntfrs/Parameters/
"Backup/Restore"/Process at startup/Burflags значение D4 на сервере с правильным Sysvol и D2 на втором.


в ADSI запись реплицировалась и на другой сервер, флаги D4 и D2 после изменения на серверах выставились в 0, но вывод ntfsr ds всё равно пишет FRS DomainControllerName: (null)

NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
FRS DomainControllerName: (null)
Computer Name : MSK-SRV17DC
Computer DNS Name : MSK-SRV17DC.MY_FIRM.com

BINDING TO THE DS:
ldap_connect : MSK-SRV17DC.MY_FIRM.com
DsBind : MSK-SRV17DC.MY_FIRM.com

NAMING CONTEXTS:
SitesDn : CN=Sites,cn=configuration,dc=MY_FIRM,dc=com
ServicesDn : CN=Services,cn=configuration,dc=MY_FIRM,dc=com
DefaultNcDn: DC=MY_FIRM,DC=com
ComputersDn: CN=Computers,DC=MY_FIRM,DC=com
DomainCtlDn: OU=Domain Controllers,DC=MY_FIRM,DC=com
Fqdn : CN=MSK-SRV17DC,OU=Domain Controllers,DC=MY_FIRM,DC=com
Searching : Fqdn

COMPUTER: MSK-SRV17DC
DN : cn=msk-srv17dc,ou=domain controllers,dc=MY_FIRM,dc=com
Guid : 1934be18-749d-427d-b81a4c410499c22c
UAC : 0x00082000
Server BL : CN=MSK-SRV17DC,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=MY_FIRM,DC=com
Settings : cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
DNS Name : MSK-SRV17DC.MY_FIRM.com
WhenCreated : 12/6/2013 10:58:0 RTZ 2 (
WhenChanged : 3/20/2016 19:56:18 RTZ 2 (

SUBSCRIPTION: NTFRS SUBSCRIPTIONS
DN : cn=ntfrs subscriptions,cn=msk-srv17dc,ou=domain controllers,dc=MY_FIRM,dc=com
Guid : 2bb37985-8b8a-40ad-8d35a75fd22eb05b
Working : c:\windows\ntfrs
Actual Working: c:\windows\ntfrs
WhenCreated : 12/8/2013 19:18:14 RTZ 2 (
WhenChanged : 12/8/2013 19:18:14 RTZ 2 (

SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn=msk-srv17dc,ou=domain controllers,dc=MY_FIRM,dc=com
Guid : 527a8ade-cf54-4707-98c09e7776f40776
Member Ref: CN=MSK-SRV17DC,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=MY_FIRM,DC=com
Root : c:\windows\sysvol\domain
Stage : c:\windows\sysvol\staging\domain
WhenCreated : 12/8/2013 19:18:14 RTZ 2 (
WhenChanged : 12/8/2013 19:18:14 RTZ 2 (
Subscriber Member Back Links:
cn=msk-srv17dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com

SETTINGS: FILE REPLICATION SERVICE
DN : cn=file replication service,cn=system,dc=MY_FIRM,dc=com
Guid : 456995e2-cc92-4791-9f725c6a23992617
WhenCreated : 6/21/2007 16:0:7 RTZ 2 (
WhenChanged : 12/8/2013 19:14:1 RTZ 2 (

SET: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com
Guid : dc5fa9e5-352f-469b-b7c7dfc470bea746
Type : 2
Primary Member: CN=MSK-SRV17DC,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=MY_FIRM,DC=com
File Filter : *.tmp, *.bak, ~*
Dir Filter : (null)
FRS Flags : (null)
WhenCreated : 6/21/2007 16:7:56 RTZ 2 (
WhenChanged : 3/22/2016 10:23:44 RTZ 2 (

MEMBER: DC
DN : cn=dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com
Guid : 8c70bb59-4162-4a69-85ee9c28a78229cb
Server Ref : CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=MY_FIRM,DC=com
Computer Ref : cn=dc,ou=domain controllers,dc=MY_FIRM,dc=com
Cracked Domain : MY_FIRM.com
Cracked Name : 00000002 MY_FIRM\DC$
Cracked Domain : MY_FIRM.com
Cracked Name : fffffff4 S-1-5-21-12947018-2755733833-2693536531-1005
Computer's DNS : dc.MY_FIRM.com
WhenCreated : 6/19/2015 19:11:55 RTZ 2 (
WhenChanged : 6/19/2015 19:27:0 RTZ 2 (

CXTION: 49EE8CA1-51A7-4E8F-99F9-9372831D3CBD
DN : cn=49ee8ca1-51a7-4e8f-99f9-9372831d3cbd,cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Guid : 7ef15d9d-d974-4291-812c6b11bcb789a9
Partner Dn : cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 6/19/2015 19:16:45 RTZ 2 (
WhenChanged : 7/3/2015 14:13:40 RTZ 2 (
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111

CXTION: 5B057248-3F3F-4153-95A3-C79CA9826D69
DN : cn=5b057248-3f3f-4153-95a3-c79ca9826d69,cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Guid : 167706e2-a321-4037-b4fb4ac69cb1a248
Partner Dn : cn=ntds settings,cn=dc1,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 7/22/2015 5:13:52 RTZ 2 (
WhenChanged : 7/22/2015 5:14:10 RTZ 2 (
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111

CXTION: 7BCDC1B0-8FC0-45B6-9AA4-361A172359A3
DN : cn=7bcdc1b0-8fc0-45b6-9aa4-361a172359a3,cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Guid : fedf985e-260d-4f0d-92c20816623e04b7
Partner Dn : cn=ntds settings\0adel:9cd3eff5-9154-4113-b66e-5782121e51fb,cn=tmg-spb,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Partner Rdn : NTDS SETTINGS\0ADEL:9CD3EFF5-9154-4113-B66E-5782121E51FB
Enabled : TRUE
WhenCreated : 6/19/2015 19:16:45 RTZ 2 (
WhenChanged : 7/22/2015 5:14:10 RTZ 2 (
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111

MEMBER: DC1
DN : cn=dc1,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com
Guid : a69cb481-6d09-48ec-ac01311e83211504
Server Ref : CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=MY_FIRM,DC=com
Computer Ref : cn=dc1,ou=domain controllers,dc=MY_FIRM,dc=com
Cracked Domain : MY_FIRM.com
Cracked Name : 00000002 MY_FIRM\DC1$
Cracked Domain : MY_FIRM.com
Cracked Name : fffffff4 S-1-5-21-12947018-2755733833-2693536531-12655
Computer's DNS : DC1.MY_FIRM.com
WhenCreated : 2/16/2014 16:56:58 RTZ 2 (
WhenChanged : 2/17/2014 18:13:13 RTZ 2 (

CXTION: 35EF0574-4920-4DEC-A1E7-090A4E6D8B48
DN : cn=35ef0574-4920-4dec-a1e7-090a4e6d8b48,cn=ntds settings,cn=dc1,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Guid : 33766c55-ad35-46fe-b85a35e31cda9b2d
Partner Dn : cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 2/16/2014 17:1:46 RTZ 2 (
WhenChanged : 12/4/2015 11:20:52 RTZ 2 (
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111

CXTION: 86ACD6AA-6D4C-4EE1-B52A-46E07F64CB42
DN : cn=86acd6aa-6d4c-4ee1-b52a-46e07f64cb42,cn=ntds settings,cn=dc1,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Guid : 82923249-a0f3-431c-8eedd00081e7d61c
Partner Dn : cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 6/19/2015 19:12:40 RTZ 2 (
WhenChanged : 7/29/2015 9:54:44 RTZ 2 (
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111

MEMBER: EKB-SRV01DC
DN : cn=ekb-srv01dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com
Guid : 3b0f635c-4b57-42e2-8dd48d0d46c284b2
Server Ref : (null)
Computer Ref : (null)
WhenCreated : 4/1/2010 12:51:16 RTZ 2 (
WhenChanged : 12/8/2013 19:14:17 RTZ 2 (
WARN - EKB-SRV01DC lacks a settings reference

MEMBER: ML-SRV02DC
DN : cn=ml-srv02dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com
Guid : 432494ee-95ee-4334-987e4608f102690f
Server Ref : (null)
Computer Ref : (null)
WhenCreated : 4/4/2011 10:17:0 RTZ 2 (
WhenChanged : 12/8/2013 19:14:17 RTZ 2 (
WARN - ML-SRV02DC lacks a settings reference

MEMBER: MSK-SRV17DC
DN : cn=msk-srv17dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com
Guid : 331939c7-d645-42de-bef2c77b883b51e3
Server Ref : CN=NTDS Settings,CN=MSK-SRV17DC,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=MY_FIRM,DC=com
Computer Ref : cn=msk-srv17dc,ou=domain controllers,dc=MY_FIRM,dc=com
Cracked Domain : MY_FIRM.com
Cracked Name : 00000002 MY_FIRM\MSK-SRV17DC$
Cracked Domain : MY_FIRM.com
Cracked Name : fffffff4 S-1-5-21-12947018-2755733833-2693536531-12625
Computer's DNS : MSK-SRV17DC.MY_FIRM.com
WhenCreated : 12/8/2013 19:18:14 RTZ 2 (
WhenChanged : 12/8/2013 19:18:14 RTZ 2 (

CXTION: 058849D9-519A-40C6-B8BD-1F6B61BC2EC0
DN : cn=058849d9-519a-40c6-b8bd-1f6b61bc2ec0,cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Guid : 7c11dcbd-f913-49de-81287ff3c1cb6187
Partner Dn : cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 6/19/2015 19:11:57 RTZ 2 (
WhenChanged : 7/29/2015 9:57:52 RTZ 2 (
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111

CXTION: B01ACF1E-7BFA-43BF-87FB-4B0FC84699CF
DN : cn=b01acf1e-7bfa-43bf-87fb-4b0fc84699cf,cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Guid : eb6b6206-9085-402f-9f17cdbc669e9b79
Partner Dn : cn=ntds settings,cn=dc1,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 2/16/2014 16:57:41 RTZ 2 (
WhenChanged : 10/15/2015 9:1:33 RTZ 2 (
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111

MEMBER: SPB-SRV12TS
DN : cn=spb-srv12ts,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com
Guid : deb6e64b-f3b9-4e4e-b34d83ca420b7d76
Server Ref : (null)
Computer Ref : (null)
WhenCreated : 1/13/2013 19:27:28 RTZ 2 (
WhenChanged : 12/8/2013 19:14:17 RTZ 2 (
WARN - SPB-SRV12TS lacks a settings reference

В общем, получил следующее:

хотя сейчас ntfrsutl ds выдаёт FRS DomainControllerName: (null) , а в ADSI параметр fRSPrimaryMember установлен как надо, а не null. На 2й DC данная настройка реплицировалась и в реестре HKLM/SYSTEM/Current Control Set/Services/Ntfrs/Parameters/
"Backup/Restore"/Process at startup/Burflags флаги сбросились на 0. Возможно, это связано с тем, что я не перезагружал сервак.

+ Из ДНС я вычистил все лишние записи DC в моих зонах и зонах обратного просмотра.

По сути, на данный момент, мне эти советы помогли - политики применяются и реплицируются между КД.
Единственная проблема осталась с оснастка домены и службы https://yadi.sk/i/-wp4MKBFqMTqd . Может знает кто почему так?
Накидаю сюда ссылок, мало ли кому поможет.


http://sysadmins.ru/post13315112.html#13315112
http://forum.ru-board.com/topic.cgi?forum=8&topic=25131&start=20
http://winitpro.ru/index.php/2011/04/08/udalyaem-neispravnyj-kontroller-domena-pri-pomoshhi-utility-ntdsutil/
https://social.technet.microsoft.com/Forums/ru-RU/cbd7580a-0198-48e3-b81f-cfa7d35ec3f3/-sysvol-share?forum=ws2008r2ru
https://social.technet.microsoft.com/Forums/ru-RU/dce976e7-3a49-4e70-bf0a-3f50222eec8f/-ad?forum=WS8ru
https://support.microsoft.com/en-us/kb/312862

:tongue: