Рабочие станции не видят КД
 

Доброго времени суток.
Столкнулся с следующей проблемой.
Есть сервер КД на котором крутится AD и DNS (WinServ 2003).
Сеть работает нормально ... Доступ к SQL , файл сервер , интернет , прокси сервер все работает прекрасно,но есть одно НО.
Я бы наверное не заметил проблемы покуда не полез бы в групповые политики.
Решил я поднять WSUS(На отдельном сервере под управление Serv 2008r2) . Поднял все нормально. Решил прописать в групповых политиках настройки на Wsus. Прописал сделал на КД gpupdate /force
Все в порядке , показало что все применилось успешно. Оставил это дело на ночь. Пришел с утра и увидел что к Wsus подключился только КД. Проверил политики рабочей станции , соответственно никаких настроек.
Решил запустить обноление групповой политики в ручную.
gpupdate /force выдает результат


Соответственно запусти GPResult /h

И тут я как то не понимаю что такое мне вывелось.





nslookup c клиента



с сервера


dcdiag


Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: ot-site\OT-S1
Starting test: Connectivity
......................... OT-S1 passed test Connectivity

Doing primary tests

Testing server: ot-site\OT-S1
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
OT-S1: Current time is 2011-09-29 07:53:51.
/*Всякая фигня по поводу репликации*/

Check replication from source site to this server.
......................... OT-S1 passed test Replications
Starting test: NCSecDesc
......................... OT-S1 passed test NCSecDesc
Starting test: NetLogons
......................... OT-S1 passed test NetLogons
Starting test: Advertising
......................... OT-S1 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... OT-S1 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... OT-S1 passed test RidManager
Starting test: MachineAccount
......................... OT-S1 passed test MachineAccount
Starting test: Services
......................... OT-S1 passed test Services
Starting test: ObjectsReplicated
......................... OT-S1 passed test ObjectsReplicated
Starting test: frssysvol
......................... OT-S1 passed test frssysvol
Starting test: frsevent
......................... OT-S1 passed test frsevent
Starting test: kccevent
......................... OT-S1 passed test kccevent
Starting test: systemlog
......................... OT-S1 passed test systemlog
Starting test: VerifyReferences
......................... OT-S1 passed test VerifyReferences

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : ot
Starting test: CrossRefValidation
......................... ot passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ot passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom


net diag




Вроде все в порядке вроде все хорошо ... но результата нет .....
Помогите советом а то что то не получается справиться....

да еще
ipconfig c сервера



с клиента

картинки ГП ещё меньше сделайте, это будет намного веселее.
иже как и замазывайте все серые адреса, что бы было совесм всё понятно.

в какой политике вы делали настройки WSUS?
на кого она применяется? фильтрация? группы безопасности?

применяю в общем на домен.
Ну а за картинки извените хоть и серые но открывать не хочется =)

ещё раз:
картинки ГП слишком мелкие что бы там увидеть хоть что-то.

Вот

на клиенте есть ошибки 1030/1058?
или какие есть?
проверьте работает ли служба "рабочая станция"

Служба запущена и работает
Ошибки

Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Будет создано сообщение об успехе после того, как компьютер удастся подключить к контроллеру домена и групповая политика будет обработана успешно. Если в течение нескольких часов это сообщение не появляется, обратитесь к системному администратору.

код 1129

ошибок 1030/1058
на клиенте нет
а на сервере за последний раз появлялись 5 дней назад .

на клиенте:
ping 127.0.0.1
ping %её_ИП_адрес%
ping dc.domain.ru
ping domain.ru

Все пинги есть ... ни одного прерыва

сделайте на клиенте
dfsutil /purgemupcache
потом
gpupdate /force и покажите что он напишет и что будет в ивентлогах.

эм поправочка...

При пинге domain.ru
Показывает что пингуется альтернативный КД..... находящийся в 70 подсети .....
А с клиента из 114 подсети показывает на основной КД.

dfsutil /purgemupcache написал что Успешно
а вот Gpupdate Выдал все туже ошибку в логах системы ошибка 1129 .. как и было ....

хм ... вопрос тут возник ...
Групповая политика по умолчанию которая ,она должна распростроняться только на домен в целом? просто у меня туда еще распростронение на папку с пользователями вставлено .... (папка эта там со времен фиг знает каких ...)

как как вы замазали свои сети, то я не очень поняла о чём речь.
echo %logonserver% что выдаёт?
если вы говорите о Default Domain Policy - то она, по умолчанию, распространяется на всех хосты и всех пользователей в домене.

\\OT-S1
Но подсети то видно.

Вот моя групповая политика см рис

Вот

а какие есть ошибки на КД ,114,11?
и КД в сабнете клиента 70?

Постоянно сапится ошибка

Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе.
Код 13

Ну и
Generate Activation Context завершилась не удачно для C:\Program Files\ESET\ESET NOD32 Antivirus\MFC80U.DLL. Соответствующее сообщение об ошибке: Файл манифеста содержит одну или несколько синтаксических ошибок.

Код 59

Вроде все больше ничего крименального

\\имя_ближайшего_кд\ - открывается?
шары netlogon и sysvol видны?
расхождения во времени между КД и клиентами нет?
так же погялите на репликацю между КД, что-то у меня есть подозрения.

какие либо сторонние фаейрволы есть на хостах?
антивирусы?

Да
Все в порядке

Тут тоже ошибок не возникает да и репликация 100% проходит.... но есть одно НО
Висит у меня один альтернативный КД которого физически нет (предыдущий работник просто тупо перебил винду на хп а понижение роли не сделал) удалить я его не могу так как не являюсь хозяеном леса ... на него репликация соответственно не делается ... а между оставшимися двумя КД все в порядке

Нет фаерволы не используем..

Конечно Стоит NOD32

Альтернативный контроллер находится в сабнете клиента ...
Но проблема в том что контроллер при обновление политики не видит ни один компьютер в 2 сетях .... кроме самого контроллера

сложно как понять ваши мысли.
выполните
netdom query fsmo
на клиенте и обоих КД.
в какой момент контроллер домена должен видить компьютеры при обновлении ГП?

антивирус или Security Suite?

Антивирус.Да

Хозяин схемы mainpdc.s.kem
Хозяин именования доменов mainpdc.s.kem
PDC ot-s1.ot.kem
Диспетчер пула RID ot-s1.ot.kem
Хозяин инфраструктуры ot-s1.ot.kem
Команда выполнена успешно.

теперь я буду угадывать где именно вы это выполнили?
и хотелось бы комментарии по поводу того что это разные домены.


это видимо и есть тот отформатирвоанный КД?

что у вас в AD:SS? все ли сабнеты привязаны к своим сайтам так как надо?

или же у вас много доменная структура? тогда откуда выпал отформатированный КД?
из вашего домена?
тогда остался вопрос о привязках сетей к сайтам.

Да мой домен это один из множества доменов в лесу. MainDc это головной контроллер находящийся в головной компании. Данные одинаковые и на клиенте и на обоих кд. У отформатированного кд записи имеются только в сайтах. И да , кд выпал из моего домена.