[katsman@vk]

Цитата Telepuzik:

b3b34f71-0441-4f19-9c38-4b20c2769245._msdcs.vilomix-orenburg.ru » Вот эта запись судя по всему лишняя или ошибочная. »

Удалил эту запись, но DC1 все равно, видимо по ней ищет хосты для репликации

Во вложении результаты repadmin /syncall

Как можно подправить это обращение?

[katsman@vk]

Думаю, что не в ДНС дело. Вернее почти уверен.

Удалось вот что заметить. При выполнении команды repadmin /syncall на DC1 сервер пытается стучаться на старый GUID сервера TS1, т.е. на b3b34f71-0441-4f19-9c38-4b20c2769245
Новый GUID TS1 - 8C036AAA-1227-4745-90F7-3C0B200D3D86

В оснастке AD Sites and Services (скриншоты во вложении) обнаружил, что DC1 ломится по старому ГУИДу.
Руками подправить его невозможно, в реестре записей соответствующих старому ГУИДу нет. Очевидно, должна быть какая-то процедура по которой нужно дать понять DC1 как искать знакомый ему TS1, но по новому ГУИДу.

Все еще жду вашей помощи.



ДОБАВЛЕНО:

С DC1 выполнил команду

repadmin /replicate TS1 DC1 DC=vilomix-orenburg,DC=ru /full

т.е. руками принудительно среплицировал все с DC1 на TS1

руками это процедура выполнилась без ошибок! Новые учетки, созданные на DC1 перетекли на TS1.
Но в ручном режиме эта команда выполняется по хостнэйму, а служба автоматически все еще реплицирует по GUID.

Все еще жду вашей помощи.
Вопрос в том, как показать DC1, что у TS1 новый GUID?

[Telepuzik]

katsman@vk,
Поставьте на TS1 в качесте предпочитаемого DNS ip адрес сервера DC1 и затем выполните на TS1 команду ipconfig /registerdns и перезугрузите TS1. Посмотрите есть ли ошибки на DC1.

[katsman@vk]

Цитата Telepuzik:

katsman@vk, Поставьте на TS1 в качесте предпочитаемого DNS ip адрес сервера DC1 и затем выполните на TS1 команду ipconfig /registerdns и перезугрузите TS1. Посмотрите есть ли ошибки на DC1. »

не помогло

на DC1 регистрируется ошибка 2088

Active Directory Domain Services could not use DNS to resolve the IP address of the source domain controller listed below. To maintain the consistency of Security groups, group policy, users and computers and their passwords, Active Directory Domain Services successfully replicated using the NetBIOS or fully qualified computer name of the source domain controller.

Invalid DNS configuration may be affecting other essential operations on member computers, domain controllers or application servers in this Active Directory Domain Services forest, including logon authentication or access to network resources.

You should immediately resolve this DNS configuration error so that this domain controller can resolve the IP address of the source domain controller using DNS.

Alternate server name:
TS1.vilomix-orenburg.ru
Failing DNS host name:
b3b34f71-0441-4f19-9c38-4b20c2769245._msdcs.vilomix-orenburg.ru

NOTE: By default, only up to 10 DNS failures are shown for any given 12 hour period, even if more than 10 failures occur. To log all individual failure events, set the following diagnostics registry value to 1:

Registry Path:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

User Action:

1) If the source domain controller is no longer functioning or its operating system has been reinstalled with a different computer name or NTDSDSA object GUID, remove the source domain controller's metadata with ntdsutil.exe, using the steps outlined in MSKB article 216498.

2) Confirm that the source domain controller is running Active Directory Domain Services and is accessible on the network by typing "net view \\<source DC name>" or "ping <source DC name>".

3) Verify that the source domain controller is using a valid DNS server for DNS services, and that the source domain controller's host record and CNAME record are correctly registered, using the DNS Enhanced version of DCDIAG.EXE available on http://www.microsoft.com/dns

dcdiag /test:dns

4) Verify that this destination domain controller is using a valid DNS server for DNS services, by running the DNS Enhanced version of DCDIAG.EXE command on the console of the destination domain controller, as follows:

dcdiag /test:dns

5) For further analysis of DNS error failures see KB 824449:
http://support.microsoft.com/?kbid=824449

Additional Data
Error value:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.


репликация по прежнему не проходит... DC1 ищет TS1 по старому GUID-у

[katsman@vk]

Странное дело, господа.

Решил попробовать через ntdsutil удалить с DC1 информацию о TS1, как о контроллере домена.
По этой инструкции (случай 2): http://support.microsoft.com/kb/216498/ru
Предварительно сделал снэпшоты виртуалок.

Удалилось все корректно, как по методичке.
Ребутнул оба сервака, увидел, что ничего не помогло. Ошибки при repadmin /syncall так и ссылали меня на старый GUID TS1.
Сделал откат до снепшота.

Ребутнул серваки. Сделал тестовое создание пользователя в одном из контейнеров, а он возьми и реплицируйся на TS1.
Т.е. де факто репликация налажена. Хотя на DC1 хранится несколько записей о TS1, видимо.
repadmin /syncall все еще ругается, что не может найти TS1 по старому GUID-у.

Задача, конечно, решена.
Но так и неизвестно в чем была проблема и какие еще трудности может породить такая вот "доброкачественная опухоль" в моем домене.

P.S. может кто-то еще может знать суть проблемы и что рекомендуется предпринять?

[Telepuzik]

Цитата katsman@vk:

Решил попробовать через ntdsutil удалить с DC1 информацию о TS1, как о контроллере домена. По этой инструкции (случай 2): http://support.microsoft.com/kb/216498/ru Предварительно сделал снэпшоты виртуалок. »

При использовании ntdsutil сколько серверов Вам показала утилита с именем TS1?

[katsman@vk]

Цитата Telepuzik:

При использовании ntdsutil сколько серверов Вам показала утилита с именем TS1? »

насколько я помню, один... его я и удалял.

сегодня повторил операцию, сейчас числится один

[sdegtyarev]

1) TS1 удалить dns, dcpromo /forceremoval (http://support.microsoft.com/kb/332199/ru). После удаления выключить...

2) через ntdsutil удалить с DC1 информацию о TS1, как о контроллере домена.
По этой инструкции (случай 2): http://support.microsoft.com/kb/216498/ru

3) с dns DC1 удалить все упоминания о TS1, удалить все входящие и исходящие репликации. dcdiag. настроить службу времени.

4) dc1 отправить в reboot и дождаться загрузки, включить ts1, ввести в домен. на ts1 dcpromo (adv view) не забыв про службу dns на нем.

После всех этих манипуляций проверить dcdiag на обоих ВМ. Разобраться с netlogon с netlogon DC1. Проверить репликацию.

DCDiag с ключом /test:testname и параметром /v (проверить dns) (DCDiag /test:dns /v)

[sdegtyarev]

DC ищет партнеров по репликации не с помощью A-записей (например, dc1.mycompany.com), а путем преобразования общего имени Canonical Name (CNAME) DNS, уникального внутри леса. В данном случае и показано в оснастке "Сайты и службы"

Дим, включи протоколирование NTDS в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ntds\Diagnostics. Выбор параметра зависит от области, которую нужно проанализировать (например, контроль целостности, преобразование имен, события репликации). Значение по умолчанию -- 0, максимальное значение -- 5. Обычно применять значения выше 3 не требуется.

Если получены ошибки, указывающие, что DC не реплицировался в течение более длительного периода, чем время жизни объектов, помеченных на удаление (60 д), то рекомендуется отказаться от попыток диагностики. Необходимо перестроить DC, удалить метаданные из AD и заново назначить DC (что мы с тобой и проделали).

(Repadmin с ключиком /KCC)

[katsman@vk]

Цитата sdegtyarev:

Дим, включи протоколирование NTDS в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ntds\Diagnostics. »

Ок, проделаю в ближайший будний день )
netlogon тоже поковыряю

sdegtyarev, огромное спасибо за помощь. Задачи выполнили на 96%.
Цель достигнута. Можно ставить пометку [РЕШЕНО]