Здравствуйте, господа!

У мебя на работе наблюдается одна проблема AD, которая очень мешает работать - не забираются групповые политики с контроллера домена.

Проблема обострилась, когда купили еще один сервер. На него я поставил Win2k3_SP1. На основном контроллере домена стоит Win2k_SP4. Также поднят сервер терминалов. После того как я обновил схему на PDC, мне удалось поднять вторичный контроллер домена. Репликация прошла успешно, но в конце вылезло сообщение, что "не может загрузить групповые полики", и просьба перегрузиться.

И тут начались проблемы. Под обычным юзером на Win2k3 войти не могу, пишет мол, "нельзя осуществить интерактивный логон". Зашел, под домменым админом и полез в редактирование групповых политик и был крайне разочарон тем, что "нельзя отобразить оснастку". Хотя до повышения роли сервера gpedit.msc на win2k3_sp1 открывались.

Полазив по eventlog'у я понял, что система не может забрать в PDC эти самые груп. политики. Причем на других машинах, что входят в домен ситуация схожая - не могут загрузить групповые политики и время входа в систему порядку 2 мин.

Папка Sysvol - расшарена, и права доступа указаны согдасно рекоендация MS. Возможно какая-то из политик блочит загрузку клиентами этих политик с сервера.

Помогите разобрать. Сам два дня не вылазил с TechNet'а и ничего не помогло.

Заранее спасибо.

нельзя осуществить интерактивный логон
Отстутствуют права локального входа на сервер. (Allow logon locally)
gpedit.msc применяется для редактирования локальной политики. Для редактирования доменных политик пользуйтесь соответствующими оснастками. Лучше скачайте с МС GPMC (http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en) Коды ошибок смотрите на eventid.net

Отстутствуют права локального входа на сервер. (Allow logon locally)
gpedit.msc применяется для редактирования локальной политики

Я это знаю и понимаю, но никакие оснастки по работе с политиками домена, локальными политиками не работают, по той причине, что они не реплицируются с основного контроллера AD. Вопрос в том, как сделать доступ этим политикам на контроллере win2k sp4. Какие проверки помогут мне найти причину неполадки? Знающие люди - отзовитесь!!

dmon_s ты бы послушал совет monkkey и не кричал "знающие люди - помогите". Выкладывай номера ошибок из журнала событий с источниками, логи ipconfig /all, dcdiag /v, netdiag /v с обоих контроллеров.

Выкладываю логи.
Сначала Основной контроллер домена на win2000:

Microsoft Windows 2000 [Версия 5.00.2195]
(С) Корпорация Майкрософт, 1985-2000.

C:\Documents and Settings\dmon_s>ipconfig /all

Настройка протокола IP для Windows 2000

Имя компьютера . . . . . . . . . : server-1s
Основной DNS суффикс . . . . . . : promed
Тип узла . . . . . . . . . . . . : Гибридный
Включена IP-маршрутизация . . . . : Нет
Доверенный WINS-сервер . . . . . : Нет
Порядок просмотра суффиксов DNS . : promed

Адаптер Ethernet Адаптер 1000 MBit:

DNS суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connect
ion
Физический адрес. . . . . . . . . : 00-04-23-46-DD-8B
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес . . . . . . . . . . . . : 192.168.0.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.1
192.168.0.100
Основной WINS-сервер . . . . . . : 192.168.0.1

-----------------------------------------------

C:\Documents and Settings\dmon_s>C:\dcdiag.exe /v

DC Diagnosis

Performing initial setup:
* Verifing that the local machine server-1s, is a DC.
* Connecting to directory service on server server-1s.
* Collecting site info.
* Identifying all servers.
* Found 2 DC(s). Testing 1 of them.
Done gathering initial info.

Doing initial non skippeable tests

Testing server: Default-First-Site-Name\SERVER-1S
Starting test: Connectivity
* Active Directory LDAP Services Check
SERVER-1S's server GUID DNS name could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(73ac8e18-9401-468b-999e-79bd83f8b149._msdcs.promed) couldn't be
resolved, the server name (server-1s.promed) resolved to the IP
address (192.168.0.100) and was pingable. Check that the IP address
is registered correctly with the DNS server.
......................... SERVER-1S failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER-1S
Skipping all tests, because server SERVER-1S is
not responding to directory service requests
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Test omitted by user request: OutboundSecureChannels

Running enterprise tests on : promed
Starting test: Intersite
Skipping site Default-First-Site-Name, this site is outside the scope
provided by the command line arguments provided.
......................... promed passed test Intersite
Starting test: FsmoCheck
GC Name: \\server-1s.promed
Locator Flags: 0xe00001fd
PDC Name: \\server-1s.promed
Locator Flags: 0xe00001fd
Time Server Name: \\server-1s.promed
Locator Flags: 0xe00001fd
Preferred Time Server Name: \\server-1s.promed
Locator Flags: 0xe00001fd
KDC Name: \\server-1s.promed
Locator Flags: 0xe00001fd
......................... promed passed test FsmoCheck

---------------------------------------------------------
Interfaces of the binding path:
-Interface Name: ndis5
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: Intel(R) PRO/1000 MT Network Connection

Owner of the binding path : ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndiswanip
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: ¦шэшяюЁЄ WAN (IP)


Component Name : ¦ышхэЄ фы* ёхЄхщ Microsoft
Bind Name: LanmanWorkstation
Binding Paths:
Owner of the binding path : ¦ышхэЄ фы* ёхЄхщ Microsoft
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios_smb
Upper Component: ¦ышхэЄ фы* ёхЄхщ Microsoft
Lower Component: ¦ЁюЄюъюы ёююс•хэшщ TCP/IP (ёхрэё SMB)

Owner of the binding path : ¦ышхэЄ фы* ёхЄхщ Microsoft
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: ¦ышхэЄ фы* ёхЄхщ Microsoft
Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndis5
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: Intel(R) PRO/100 Network Connection

Owner of the binding path : ¦ышхэЄ фы* ёхЄхщ Microsoft
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: ¦ышхэЄ фы* ёхЄхщ Microsoft
Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndis5
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: Intel(R) PRO/1000 MT Network Connection

Owner of the binding path : ¦ышхэЄ фы* ёхЄхщ Microsoft
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: ¦ышхэЄ фы* ёхЄхщ Microsoft
Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndiswanip
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: ¦шэшяюЁЄ WAN (IP)


Component Name : +хёяЁютюфэр* ъюэЇшуєЁрЎш*
Bind Name: wzcsvc
Binding Paths:

Component Name : Steelhead
Bind Name: RemoteAccess
Binding Paths:

Component Name : TхЁтхЁ єфрыхээюую фюёЄєяр
Bind Name: msrassrv
Binding Paths:

Component Name : -шёяхЄўхЁ яюфъы¦ўхэшщ єфрыхээюую фюёЄєяр
Bind Name: RasMan
Binding Paths:

Component Name : ¦ышхэЄ єфрыхээюую фюёЄєяр
Bind Name: msrascli
Binding Paths:

Component Name : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft
Bind Name: LanmanServer
Binding Paths:
Owner of the binding path : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Mi
crosoft
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios_smb
Upper Component: Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft

Lower Component: ¦ЁюЄюъюы ёююс•хэшщ TCP/IP (ёхрэё SMB)

Owner of the binding path : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Mi
crosoft
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft

Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndis5
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: Intel(R) PRO/100 Network Connection

Owner of the binding path : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Mi
crosoft
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft

Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndis5
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: Intel(R) PRO/1000 MT Network Connection

Owner of the binding path : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Mi
crosoft
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft

Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndiswanip
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: ¦шэшяюЁЄ WAN (IP)


Component Name : LэЄхЁЇхщё NetBIOS
Bind Name: NetBIOS
Binding Paths:
Owner of the binding path : LэЄхЁЇхщё NetBIOS
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: LэЄхЁЇхщё NetBIOS
Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndis5
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: Intel(R) PRO/100 Network Connection

Owner of the binding path : LэЄхЁЇхщё NetBIOS
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: LэЄхЁЇхщё NetBIOS
Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndis5
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: Intel(R) PRO/1000 MT Network Connection

Owner of the binding path : LэЄхЁЇхщё NetBIOS
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: LэЄхЁЇхщё NetBIOS
Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndiswanip
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: ¦шэшяюЁЄ WAN (IP)


Component Name : QoS RSVP
Bind Name: RSVP
Binding Paths:

Component Name : +с•шщ ъырёёшЇшърЄюЁ яръхЄют
Bind Name: Gpc
Binding Paths:

Component Name : Intel(R) PRO/100 Network Connection
Bind Name: {18380FE0-707C-4EC3-AE5C-6A554E70973A}
Binding Paths:

Component Name : Intel(R) PRO/1000 MT Network Connection
Bind Name: {A53C2EFD-CC5B-4DCA-BADB-B7CBCBB04121}
Binding Paths:

Component Name : ¦шэшяюЁЄ WAN (TхЄхтющ ьюэшЄюЁ)
Bind Name: NdisWanBh
Binding Paths:

Component Name : ¦шэшяюЁЄ WAN (IP)
Bind Name: NdisWanIp
Binding Paths:

Component Name : ¦Ё*ьющ ярЁрыыхы№эvщ яюЁЄ
Bind Name: {AAB3C471-72A8-46D6-8DDD-E50968186139}
Binding Paths:

Component Name : ¦шэшяюЁЄ WAN (PPTP)
Bind Name: {7344DFF9-B3C6-4208-BF53-C995B781E761}
Binding Paths:

Component Name : ¦шэшяюЁЄ WAN (L2TP)
Bind Name: {10D3E76F-44C1-4987-BB1E-969AB91DACB8}
Binding Paths:

Component Name : RAS рёшэїЁюээvщ рфряЄхЁ
Bind Name: {D531D6F9-60CC-46B1-8CCB-AF710C867FCC}
Binding Paths:



WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Passed
IPSec policy service is active, but no policy is assigned.

IPSec Statistics

Oakley Main Modes : 0
Oakley Quick Modes : 0
Active Associations : 0
Soft Associations : 0
Authenticated Bytes Sent : 0
Authenticated Bytes Received : 0
Confidential Bytes Sent : 0
Confidential Bytes Received : 0
ReKeys : 0

Authentication Failures : 0
Negotiation Failures : 0
Packets not decrypted : 0
Packets not authenticated : 0
Invalid Cookies Rcvd : 0
Acquire fail : 0
Receive fail : 0
Send fail : 0
GetSpiFail : 0
KeyAddFail : 0
KeyUpdateFail : 0

Active Acquire : 1
Active Rcv : 0
Active Send : 0
Total Acquire : 0
TotalGetSpi : 0
TotalKeyAdd : 0
TotalKeyUpdate : 0
Inactive Associations : 0
Dead Associations : 0
Pending Keys : 0
Key Flushes : 0
Key Additions : 0
Key Deletes : 0

Phase 1 offers count is 4
OFFER #1:
PFS : No, Encryption : 3DES, Hash : SHA1, Group : Medium (2)
Quickmodes per MainMode : 0, Lifetime Seconds : 28800
OFFER #2:
PFS : No, Encryption : 3DES, Hash : MD5, Group : Medium (2)
Quickmodes per MainMode : 0, Lifetime Seconds : 28800
OFFER #3:
PFS : No, Encryption : DES, Hash : SHA1, Group : Low (1)
Quickmodes per MainMode : 0, Lifetime Seconds : 28800
OFFER #4:
PFS : No, Encryption : DES, Hash : MD5, Group : Low (1)
Quickmodes per MainMode : 0, Lifetime Seconds : 28800

Current Phase 1 SAs:
No SAs.


Current Phase 2 SAs:
No SAs.


The command completed successfully

Теперь смотрим логи доп. контроллера домена win2k3_sp1
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\dmon_s>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : file-server
Primary Dns Suffix . . . . . . . : promed
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : promed

Ethernet adapter Подключение по локальной сети:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration
Physical Address. . . . . . . . . : 00-15-17-11-C4-C0
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.200
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.100

-----------------------------------------------

C:\Documents and Settings\dmon_s>D:\dcdiag.exe /v

Domain Controller Diagnosis

Performing initial setup:
* Verifying that the local machine file-server, is a DC.
* Connecting to directory service on server file-server.
на этом повисло
-----------------------------------------------

C:\Documents and Settings\dmon_s>D:\netdiag.exe /v

Gathering IPX configuration information.
Querying status of the Netcard drivers... Passed
Testing Domain membership... Passed
Gathering NetBT configuration information.
Testing for autoconfiguration... Passed
Testing IP loopback ping... Passed
Testing default gateways... Passed
Enumerating local and remote NetBT name cache... Passed
Testing the WINS server
¦юфъы¦ўхэшх яю ыюъры№эющ ёхЄш
There is no primary WINS server defined for this adapter.
There is no secondary WINS server defined for this adapter.
Gathering Winsock information.
Testing DNS
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.0.100'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.
Testing redirector and browser... Passed
Testing DC discovery.
Looking for a DC
Looking for a PDC emulator
Looking for a Windows 2000 DC
Gathering the list of Domain Controllers for domain 'PROMED'
Testing trust relationships... Passed
Testing Kerberos authentication... Failed
Testing LDAP servers in Domain PROMED ...
на этом повисло


Невооруженным глазом видно, что не все впорядке. Подскажите, что делать. Если можно, давайте конкретные рекомендации, а не "иди читай статьи", времени не очень много, да и надоела мне эта вся возня.

Спасибо!!!

1. Этим же самым невооружённым глазом видно, что у тебя имя домена состоит всего из одной метки. В связи с этим может (и обычно возникает) ряд трудностей.
Почитай вот эту статью - Сведения о настройке Windows для доменов с DNS-именем, состоящим из одной метки (http://support.microsoft.com/kb/300684/ru) .

2. Опиши более подробно структуру своей сети. Всё написанное мной ниже - без этого, только догадки.

3. Что у тебя находится по адресу "192.168.0.1"? Компьютер, выполняющий функции интернет-шлюза и основного DNS-сервера предприятия? Укажи на конроллере домена W2000 в настройках сетевого интерфейса первым DNS-сервером - его собственный адрес, дабы он обращался к другому DNS-серверу только в том случае, когда не может сам у себя найти запись.

4. Проверь, чтобы на DNS-серверах включено и разрешено динамическое обновление адресов, так как ни основной на "192.168.0.1", ни дополнительный на "192.168.0.100" не смогли зарегистрироваться.

5. В настройках дополнительного контроллера добавь адрес своего WINS-сервера.

Если можно, давайте конкретные рекомендации, а не "иди читай статьи", времени не очень много, да и надоела мне эта вся возня.

Без обид - не надо ёрничать. Если бы перед тем как задать вопрос, ты сначала соизволил прочитай правила данного раздела (http://forum.oszone.net/announcement-5-8.html) форума и согласно им изначально описал проблему, то скорость её решения сразу же возрасла в разы.

Да и номера ошибок из системного "Просмотра событий" (Журнала событий) с их источниками с обоих контроллеров ты так и не указал.

Выкладываю номера ошибок из журнала основного контроллера:


Тип события: Предупреждение
Источник события: SceCli
Категория события: Отсутствует
Код события: 1202
Дата: 31.01.2007
Время: 16:14:09
Пользователь: Нет данных
Компьютер: SERVER-1S
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.

--------

Тип события: Предупреждение
Источник события: MRxSmb
Категория события: Отсутствует
Код события: 3019
Дата: 31.01.2007
Время: 16:06:35
Пользователь: Нет данных
Компьютер: SERVER-1S
Описание:
Перенаправитель не смог определить тип подключения.

-----------

Тип события: Предупреждение
Источник события: NTDS KCC
Категория события: Проверка согласованности знаний
Код события: 1265
Дата: 31.01.2007
Время: 16:32:05
Пользователь: Нет данных
Компьютер: SERVER-1S
Описание:
Неудачная попытка установить связь репликации с параметрами

Раздел: CN=Schema,CN=Configuration,DC=promed
DN исходного DSA: CN=NTDS Settings,CN=FILE-SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=promed
Адрес исходного DSA: e7429f61-0947-4b26-ab18-21b7f2c5e0ef._msdcs.promed
Межсайтовый транспорт (если есть):

прервана в следующем состоянии:

Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

В данных содержится ход состояния. Операция будет повторена.
Данные:
0000: 4c 21 00 00 L!..


Логи доп. контроллера куда долее посущественней:

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1030
Дата: 31.01.2007
Время: 16:17:09
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: FILE-SERVER
Описание:
Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

--------------

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1097
Дата: 31.01.2007
Время: 16:22:09
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: FILE-SERVER
Описание:
Не удалось найти учетную запись компьютера, Не удается установить связь с локальным администратором безопасности .

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

------------

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1090
Дата: 31.01.2007
Время: 16:22:40
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: FILE-SERVER
Описание:
Windows не удалось записать в журнал состояние сеанса RSoP. Попытка подключения к WMI не удалась. Дальнейшее протоколирование RSoP не будет выполняться для этого применения политики.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

-------------

Тип события: Ошибка
Источник события: DCOM
Категория события: Отсутствует
Код события: 10005
Дата: 31.01.2007
Время: 14:25:45
Пользователь: PROMED\vika
Компьютер: FILE-SERVER
Описание:
Ошибка DCOM "Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены. " при попытке запуска службы StiSvc с аргументами "" для запуска сервера:
{A1F4E726-8CF1-11D1-BF92-0060081ED811}

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

----------------

Тип события: Ошибка
Источник события: NTDS Replication
Категория события: Репликация
Код события: 1864
Дата: 31.01.2007
Время: 10:26:35
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: FILE-SERVER
Описание:
Состояние репликации для следующего раздела каталога на локальном контроллере домена.

Раздел каталога:
CN=Configuration,DC=promed

Локальный контроллер домена давно не получал данные репликации с нескольких контроллеров домена. Далее приведено количество контроллеров домена с разделением по интервалам.

Более 24 часов:
1
Более недели:
1
Более месяца:
0
Более двух месяцев:
0
Более времени жизни захоронения:
0
Время жизни захоронения (в днях):
60
Возможно, контроллеры домена не выполняют репликацию вовремя из-за ошибок. Возможно, они пропустили смену пароля и не могут пройти проверку подлинности. Возможно, контроллер домена, не выполнивший репликацию в течение времени жизни захоронения, пропустил удаление некоторых объектов и был автоматически заблокирован до согласования.

Чтобы идентифицировать контроллеры домена по именам, установите средства поддержки с установочного компакт-диска и запустите программу dcdiag.exe.
Также можно использовать средство поддержки repadmin.exe для отображения задержек репликации контроллеров домена в лесе. Команда: "repadmin /showvector /latency <partition-dn>".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

-------------------

Тип события: Ошибка
Источник события: NTDS Inter-site Messaging
Категория события: Служба межсайтовых сообщений
Код события: 1824
Дата: 31.01.2007
Время: 9:29:13
Пользователь: Н/Д
Компьютер: FILE-SERVER
Описание:
Служба межсайтовых сообщений получила указание выполнить операцию привязки LDAP. Операция не выполнена.
Сообщение об ошибке:

Служба не ответила на запрос своевременно.

Дополнительные данные
Значение ошибки:
1053

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

-----------------

Тип события: Предупреждение
Источник события: DNS
Категория события: Отсутствует
Код события: 4013
Дата: 31.01.2007
Время: 16:11:38
Пользователь: Н/Д
Компьютер: FILE-SERVER
Описание:
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для использования информации службы каталогов и не может работать без доступа к данному каталогу. Для запуска DNS-cервера необходимо дождаться доступа к каталогу. Если DNS-сервер был запущен, а соответствующее событие не отражено в журнале, это означает, что он все еще ждет получения доступа к данному каталогу, чтобы начать работу.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: f5 25 00 00 õ%..

----------

Тип события: Предупреждение
Источник события: NtFrs
Категория события: Отсутствует
Код события: 13565
Дата: 31.01.2007
Время: 9:26:49
Пользователь: Н/Д
Компьютер: FILE-SERVER
Описание:
Служба репликации файлов инициализирует системный том с помощью данных с другого контроллера домена. Компьютер FILE-SERVER не может принять роль контроллера домена, пока этот процесс не будет завершен. Этот системный том станет общим ресурсом под именем SYSVOL.

Чтобы проверить наличие общего ресурса SYSVOL, введите:
net share

После завершения процесса инициализации службой репликации файлов должен появиться общий ресурс SYSVOL.

Для инициализации системного тома требуется некоторое время. Оно зависит от объема данных на системном томе, от наличия других контроллеров домена, и от частоты репликаций между контроллерами доменов.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Что у тебя находится по адресу "192.168.0.1"? Компьютер, выполняющий функции интернет-шлюза и основного DNS-сервера предприятия?
Да инет-шлюз (kerio winroute 6). DNS-сервака нет.
Укажи на конроллере домена W2000 в настройках сетевого интерфейса первым DNS-сервером - его собственный адрес, дабы он обращался к другому DNS-серверу только в том случае, когда не может сам у себя найти запись
Указал. Только помоему толку мало:
Microsoft Windows 2000 [Версия 5.00.2195]
(С) Корпорация Майкрософт, 1985-2000.

C:\Documents and Settings\dmon_s>ipconfig /all

Настройка протокола IP для Windows 2000

Имя компьютера . . . . . . . . . : server-1s
Основной DNS суффикс . . . . . . : promed
Тип узла . . . . . . . . . . . . : Широковещательный
Включена IP-маршрутизация . . . . : Нет
Доверенный WINS-сервер . . . . . : Нет
Порядок просмотра суффиксов DNS . : promed

Адаптер Ethernet Адаптер 1000 MBit:

DNS суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connect
ion
Физический адрес. . . . . . . . . : 00-04-23-46-DD-8B
DHCP разрешен . . . . . . . . . . : Нет
IP-адрес . . . . . . . . . . . . : 192.168.0.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.100

------------------------

C:\Documents and Settings\dmon_s>c://dcdiag /v

DC Diagnosis

Performing initial setup:
* Verifing that the local machine server-1s, is a DC.
* Connecting to directory service on server server-1s.
* Collecting site info.
* Identifying all servers.
* Found 2 DC(s). Testing 1 of them.
Done gathering initial info.

Doing initial non skippeable tests

Testing server: Default-First-Site-Name\SERVER-1S
Starting test: Connectivity
* Active Directory LDAP Services Check
SERVER-1S's server GUID DNS name could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(73ac8e18-9401-468b-999e-79bd83f8b149._msdcs.promed) couldn't be
resolved, the server name (server-1s.promed) resolved to the IP
address (192.168.0.100) and was pingable. Check that the IP address
is registered correctly with the DNS server.
......................... SERVER-1S failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER-1S
Skipping all tests, because server SERVER-1S is
not responding to directory service requests
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Test omitted by user request: OutboundSecureChannels

Running enterprise tests on : promed
Starting test: Intersite
Skipping site Default-First-Site-Name, this site is outside the scope
provided by the command line arguments provided.
......................... promed passed test Intersite
Starting test: FsmoCheck
GC Name: \\server-1s.promed
Locator Flags: 0xe00001fd
PDC Name: \\server-1s.promed
Locator Flags: 0xe00001fd
Time Server Name: \\server-1s.promed
Locator Flags: 0xe00001fd
Preferred Time Server Name: \\server-1s.promed
Locator Flags: 0xe00001fd
KDC Name: \\server-1s.promed
Locator Flags: 0xe00001fd
......................... promed passed test FsmoCheck


Проверь, чтобы на DNS-серверах включено и разрешено динамическое обновление адресов, так как ни основной на "192.168.0.1", ни дополнительный на "192.168.0.100" не смогли зарегистрироваться.

Проверил. На 192.168.0.100 включил на зоне ".".

Ссылки по ошибкам:
1202 (http://eventid.net/display.asp?eventid=1202&eventno=348&source=SceCli&phase=1)
3019 (http://eventid.net/display.asp?eventid=3019&eventno=149&source=MRxSmb&phase=1)
1265 (http://eventid.net/display.asp?eventid=1265&eventno=346&source=NTDS%20KCC&phase=1)
1542 (http://eventid.net/display.asp?eventid=1030&eventno=1542&source=Userenv&phase=1)
1097 (http://eventid.net/display.asp?eventid=1097&eventno=2126&source=Userenv&phase=1)
1090 (http://eventid.net/display.asp?eventid=1090&eventno=1881&source=Userenv&phase=1)
10005 (http://eventid.net/display.asp?eventid=10005&eventno=612&source=DCOM&phase=1)
1864 (http://eventid.net/display.asp?eventid=1864&eventno=4849&source=NTDS%20Replication&phase=1)
1824 (http://eventid.net/display.asp?eventid=1824&eventno=4155&source=NTDS&phase=1)
4013 (http://eventid.net/display.asp?eventid=4013&eventno=2189&source=DNS&phase=1)
13565 (http://eventid.net/display.asp?eventid=13565&eventno=1980&source=NtFrs&phase=1)

Статью, ссылку на которую давал тебе выше читал?

Динамическое обновление надо было включать на зоне, которая к твоей локальной сети относится, а не на корне ("."). Кстати - так и не понял, для чего ты добавил на свой локальный сервер корневую зону, если не трудно - поясни.

Подозреваю, что на шлюзе и WINS-сервер не установлен, если это так - вбей в настройки сетевого интерфейса правильный адрес или убери его вообще, если WINS-сервера нет.

По-моему все твои проблемы из-за неправильно настроенного DNS.

Статью, ссылку на которую давал тебе выше читал?
Да, сегодня поэкспериментирую.
Динамическое обновление надо было включать на зоне, которая к твоей локальной сети относится, а не на корне ("."). Кстати - так и не понял, для чего ты добавил на свой локальный сервер корневую зону, если не трудно - поясни.
На зоне promed я включил динамическое обновление перед установкой доп. контроллера. А корневая зона была создана еще до меня. Кто и как настраивал - неясно.
Подозреваю, что на шлюзе и WINS-сервер не установлен, если это так - вбей в настройки сетевого интерфейса правильный адрес или убери его вообще, если WINS-сервера нет.
WINS-сервера нет. С настроек убрал, что и видно с последних логов.
По-моему все твои проблемы из-за неправильно настроенного DNS.
Однозначно сказать нельзя, но буду копать в этом направлении.
О результатах обязательно расскажу.

После длительных експериментов, я могу сделать вывод, что 90% ошибок AD - это ошибки DNS. Разрешение динамического обновления убрало кучу ошибок.
Но тем не менее, мне остаются непонятными некоторые вещи, которые возникают на доп. контроллере домена :
1. Почему при диагностике dcdiag.exe /v выдает результат, что не может подключится к локальному LDAP сервису.
В журнале ошибок я не нашел инф. про ошибки LDAP.
2. Почему когда я создал в DNS зону основного просмотра и стянул ее с основного сервера, после перезагрузки все слетело.
3. Папка Sysvol до сих пор пуста и не реплицируется с основного сервера.

Возможно мне стоит скачать и поставить пре-SP2 для win2k3 с официального сайта? Что еще посоветуете?

Я конечно не специалист в таком вопросе, но судя по такому количеству проблем, лучше с нуля поднять два контроллера домена (при чем, оба желательно с сервер 2003)... На это есть несколько причин, собственно исправить проблему, второе репликации на вин 2003 более оптимизированы (меньше трафика кушают), третье полная репликация DNS сервера...

судя по такому количеству проблем, лучше с нуля поднять два контроллера домена (при чем, оба желательно с сервер 2003)
Похоже так и сделаю. Мне проще будет создать новый домен типа domen.local и при помощи ADMT стянуть аккаунты юзеров, чем рыться в глюках репликации и еще хрен знает чего! Тема закрывается.