Имеется следующая проблема.

В сети присутствовали 3 сервера – 1 основной контроллер домена (PDCServ ) и два дополнительных (Server и VideoServer).

В один прекрасный день доп. контроллер Server приказал долго жить.

В свете данных событий решил почистить AD и DNS от записей про Server.

Все вроде прошло успешно. Но затем руководство поставило задачу создать доп. контроллер домена с тем же именем (server)

Но в связи с тем , что старые записи о Server были уже удалены, это стало нетривиальной задачей.

При запуске DCPROMO и ввода всех необходимых параметров(имя домена, учетная запись с правами админа и т.д.) выдается ошибка о невозможности произвести изменения для записи Server$ из-за отсутствия прав. При этом на PDCServ появляется учетная запись Server в разделе Computers и сам Server становится членом домена.

Также в логах Server появляются след. записи об ошибках:



source: w32time

ID 60



the time server videoserver.<имя домена>.ru (ip-адрес) returned an insecure(unsigned) time stamp.

this likely means that the server experienced an error attempting to validate this client’s computer account.



source: netlogon

id 5788

attempt to update HOST Service Principal Names (SPNs) of the computer object in AD failed. The updated values were ‘<UNAVALABLE>’ and ‘<UNAVALABLE>’ . The following error occurred : The security context could not be established due to a failure in the requested quality of service (e.g. mutual authentication or delegation)



source: netlogon

id 5789

attempt to update DNS Host Name of the computer object in AD failed. The update value was ‘server.<имя домена>.ru’ . . The following error occurred : The security context could not be established due to a failure in the requested quality of service (e.g. mutual authentication or delegation)



На videoserver



source: 63

ID 63



The time service cannot provide secure (signed) time to client ip-адрес because the attempt to validate its computer account failed with error 1317. Failing back to insecure (unsigned) time for with client



Перевод Server обратно в рабочую группу и повторный запуск DCPROMO приводит к такому же результату.



может кто имеет какие-нибудь соображения поэтому поводу?

Записи в AD руками убирали или через ntdsutil ?
Но в связи с тем , что старые записи о Server были уже удалены, это стало нетривиальной задачей
Если бы они были полностью удалены, то задача была бы как раз тривиальной. Кстати, не пробовали сначала сделать новый сервер членом домена, а потом уже dcpromo?

Перед влючением в домен синхронизируйте время на серверах.

А для избежания подобных казусов (начальству захотелось...) имеет смысл пользоваться dfs, тогда настоящий путь к ресурсу не будет зависеть от сервера.

Время на серверах синхронизированно, по поводу DFS прочитал, похоже штука стоящая

Включение в домен не помогает, тот же Access denied

Записи удалял вручную с помощью ADSI Edit, а также из оснастки AD Site and Service, плюс из DNS убил запись, в DHCP тоже.

Использование утилиты ntdsutil не помогает, т.к. найти инфу об отсутствующем котр. домена она не может.

И смущает след. строчки для событий 5788 и 5789: The following error occurred : The security context could not be established due to a failure in the requested quality of service (e.g. mutual authentication or delegation), т.к. был на сайте Microsoft, там описаны данные события, но причина для них указана немного по другому