[barchester]

Добавлю данных для разбора.
На разные шлюзы не обращаете внимания, поднят VLAN с несколькими подсетями.
Ошибки Kerberos в dcdiag, я оставил только 2, по факту они кажется на каждого клиента в сети (их очень много).
Пинги проходят нормально и на сервере и на клиенте.
nslookup

читать дальше »

PS C:\Users\Администратор> nslookup sun.mydomen.ru
╤хЁтхЁ: sun.mydomen.ru
Address: 192.168.3.200

╚ь*: sun.mydomen.ru
Address: 192.168.3.200

PS C:\Users\Администратор> nslookup -ty=srv _ldap._tcp.dc._msdcs.mydomen.ru
╤хЁтхЁ: sun.mydomen.ru
Address: 192.168.3.200

_ldap._tcp.dc._msdcs.mydomen.ru SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = sun.mydomen.ru
sun.mydomen.ru internet address = 192.168.3.200

netdom query fsmo

читать дальше »

PS C:\Users\Администратор> netdom query fsmo
Хозяин схемы..........................sun.mydomen.ru
Хозяин именования доменов...sun.mydomen.ru
PDC........................................ sun.mydomen.ru
Диспетчер пула RID................sun.mydomen.ru
Хозяин инфраструктуры.........sun.mydomen.ru
Команда выполнена успешно.

[ko4evneg]

Цитата barchester:

Два месяца назад специально поправил все мелкие ошибки, которые показал dcdiag, сделал бекап» Ошибки Kerberos в dcdiag, я оставил только 2, по факту они кажется на каждого клиента в сети (их очень много).

Очень плохая идея восстанавливать двухмесячный DC. По умолчанию каждый доменный комп устанавливает траст с контроллером, используя свою учетку в домене. Каждые 30 дней пароль этой учетки меняется. Пароль этот является необходимой частью для работы кербероса, а поскольку на компах у вас пароль используется новый, а на DC - двухмесячный, все трасты поломались. Для начала я посоветовал бы восстановить бекап перед ребутом и запустить dcdiag там, из 2 месячного вы ничего не сделаете уже, если только не переводить все машины в домен.

О самом трасте подробнее

[barchester]

Ошибки одинаковы и в двухмесячном бекапе и перед ребутом.

[ko4evneg]

Выполните на любом клиенте

Код:

nltest /sc_query:<имя домена>

и выложите результат

[barchester]

Выполнил и со скобками и без, не знаю синтаксис

Код:

PS C:\Users\bar> nltest /sc_query:<mydomen.ru>
Ошибка в I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

PS C:\Users\bar> nltest /sc_query:mydomen.ru
Флаги: 0
Имя доверенного контроллера домена
Состояние подключения доверенного контроллера домена Status = 1311 0x51f ERROR_NO_LOGON_SERVERS

[ko4evneg]

На контроллере попробуйте выполнить

Код:

ipconfig /registerdns
nltest /dsregdns

Когда на клиенте логиниться пытаетесь ошибки какие в логах есть?

[barchester]

ipconfig /registerdns уже делал, после перезагружал

результат nltest /dsregdns

Код:

PS C:\Users\Администратор> nltest /dsregdns
Флаги: 0
Подключение Status = 0 0x0 NERR_Success
Команда выполнена успешно.

Ошибки на клиенте:

Код:

Источник: GroupPolicy (Microsoft-Windows-GroupPolicy)
Код: 1129
Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением.
Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе.
Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.

Код:

Источник: NETLOGON
Код: 5719
Компьютер не может установить безопасный сеанс связи с контроллером домена MYDOMEN по следующей причине: 
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. 
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.  

Дополнительные сведения 
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена.
В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

Эти думаю не критичные (не гуглил их)

Код:

Источник: DistributedCOM
Код: 10010
Регистрация сервера {1B1F472E-3221-4826-97DB-2C2324D389AE} DCOM не выполнена за отведенное время ожидания.

Код:

Источник: DistributedCOM
Код: 10016
Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID 
{D63B10C5-BB46-4990-A94F-E40B9D520160}
 и APPID 
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
 пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC),
выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно).
Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

[ko4evneg]

Попробуйте включить netlogon лог на клиенте, возможно будет понятно, почему именно он не может найти контроллер.
SRV запись _ldap._tcp.DnsDomainName с клиента разрешается?

[barchester]

Прикрепил netlogon.log, упаковал в zip. Громоздкий получился.
Если я правильно понял про SRV запись, то вот с клиента результат

Код:

C:\Windows\system32>nslookup _ldap._tcp.mydomen.ru
╤хЁтхЁ:  sun.mydomen.ru
Address:  192.168.3.200

╚ь*:     _ldap._tcp.mydomen.ru

Сейчас проверил роль ActiveDirectory Анализатором соответствия, показал 2 ошибки:

Скрытый текст

Название:
Анализатор AD DS BPA должен иметь возможность сбора данных о имя узла корневого основного контроллера домена леса на корневой основной контроллер домена леса

Серьезность:
Ошибка

Дата:
20.02.2015 21:58:51

Категория:
Настройка

Проблема:
Анализатору соответствия рекомендациям доменных служб Active Directory (AD DS BPA) не удается собрать данные о имя узла корневого основного контроллера домена леса на корневой основной контроллер домена леса.

Воздействие:
Анализатору AD DS BPA не удастся проверить данные конфигурации имя узла корневого основного контроллера домена леса.

Разрешение:
Устраните неполадки с корневой основной контроллер домена леса, чтобы определить главную причину проблемы.

Дополнительные сведения об этой рекомендации и подробные процедуры: http://go.microsoft.com/fwlink/?LinkId=142188

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Название:
Политика контроллеров домена по умолчанию в домене mydomen.ru должна применяться к подразделению OU=Domain Controllers,DC=mydomen,DC=ru

Серьезность:
Ошибка

Дата:
20.02.2015 21:58:51

Категория:
Настройка

Проблема:
Политика контроллеров домена по умолчанию сейчас не применяется к подразделению OU=Domain Controllers,DC=mydomen,DC=ru.

Воздействие:
Если параметры групповой политики, определенные в политике контроллеров домена по умолчанию, не применяются к контроллерам домена, операции Active Directory могут завершаться ошибкой.

Разрешение:
Свяжите политику контроллеров домена по умолчанию с подразделением OU=Domain Controllers,DC=mydomen,DC=ru.

Дополнительные сведения об этой рекомендации и подробные процедуры: http://go.microsoft.com/fwlink/?LinkId=168840

Плюс ко всему остановлена и не запускается служба репликации файлов.

Скрытый текст

Источник: NtFrs
Код: 13575
Этот контроллер домена был мигрирован с целью использования службы репликации DFS для репликации общего ресурса SYSVOL. Использование службы репликации файлов для репликации наборов содержимого, не являющегося содержимым SYSVOL, было отключено, и поэтому служба была остановлена. Для репликации папок, общего ресурса SYSVOL на контроллерах домена и объектов ссылок DFS рекомендуется использовать службу репликации DFS.