Не поднимается AD и DNS если выключаются все контроллеры домена.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

Не поднимается AD и DNS если выключаются все контроллеры домена.

Приветствую сообщество!

Проблема в том, что после миграции, перестал подниматься домен AD и DNS на всех контроллерах домена после выключения и последующего включения всех контроллеров (что в моей местности практически каждую неделю, энергетики электричество выключают UPS не вытягивает), если включать и выключать по отдельности то проблем нет. причем если не включить в сеть старый PDC то новый не поднимется вообще. Чувствую что проблема в DNS, но не могу найти причину. Помогите.

Была схема

dc1 - win2003r2 - DNS, PDC, GC, хозяин всех ролей

dc2- win2003r2 - DNS, Контроллер домена, DHCP

После миграции контроллера домена с Windows 2003 R2 до Windows 2008 R2 и вывода из домена dc2 получилась схема

dc - win2008r2 - DNS, PDC, GC, хозяин всех ролей, DHCP

Код:

Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : DC

   Основной DNS-суффикс  . . . . . . : firma.ru

   Тип узла. . . . . . . . . . . . . : Гибридный

   IP-маршрутизация включена . . . . : Нет

   WINS-прокси включен . . . . . . . : Нет

   Порядок просмотра суффиксов DNS . : firma.ru



Ethernet adapter Подключение по локальной сети:



   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Broadcom BCM5716C NetXtreme II GigE (клиент NDIS VBD Client)

   Физический адрес. . . . . . . . . : 00-26-B9-87-40-C4

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 10.0.0.102(Основной)

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . : 10.0.0.1

   DNS-серверы. . . . . . . . . . . : 10.0.0.102

                                       10.0.0.103

                                       127.0.0.1

   NetBios через TCP/IP. . . . . . . . : Включен

dc1 - win2003r2 - DNS, Контроллер домена

Код:

Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : dc1

   Основной DNS-суффикс  . . . . . . : firma.ru

   Тип узла. . . . . . . . . . . . . : гибридный

   IP-маршрутизация включена . . . . : нет

   WINS-прокси включен . . . . . . . : нет

   Порядок просмотра суффиксов DNS . : firma.ru



kgmu - Ethernet адаптер:



   DNS-суффикс этого подключения . . :

   Описание  . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Ethernet

troller

   Физический адрес. . . . . . . . . : 90-E6-BA-75-9C-53

   DHCP включен. . . . . . . . . . . : нет

   IP-адрес  . . . . . . . . . . . . : 192.168.1.10

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз . . . . . . . . . . : 192.168.1.1

   DNS-серверы . . . . . . . . . . . : 10.0.0.102

                                       10.0.0.103

                                       127.0.0.1

   Основной WINS-сервер  . . . . . . : 192.168.1.10

dc2 - win2008r2 (переставлена OS и введен в домен) - DNS, Контроллер домена, GC

Код:

Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : dc2

   Основной DNS-суффикс  . . . . . . : firma.ru

   Тип узла. . . . . . . . . . . . . : Гибридный

   IP-маршрутизация включена . . . . : Нет

   WINS-прокси включен . . . . . . . : Нет

   Порядок просмотра суффиксов DNS . : firma.ru



Ethernet adapter Подключение по локальной сети:



   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT

   Физический адрес. . . . . . . . . : 00-50-56-92-00-05

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 10.0.0.103(Основной)

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . : 10.0.0.1

   DNS-серверы. . . . . . . . . . . : 10.0.0.103

                                       10.0.0.102

                                       127.0.0.1

   NetBios через TCP/IP. . . . . . . . : Включен

dcdiag с нового контроллера dc значимых ошибок не выдает.

результат dcdiag /test:dns

Код:

Диагностика сервера каталогов



Выполнение начальной настройки:

   Выполняется попытка поиска основного сервера...

   Основной сервер = DC

   * Идентифицирован лес AD.

   Сбор начальных данных завершен.



Выполнение обязательных начальных проверок



   Сервер проверки: Default-First-Site-Name\DC

      Запуск проверки: Connectivity

         ......................... DC - пройдена проверка Connectivity



Выполнение основных проверок



   Сервер проверки: Default-First-Site-Name\DC



      Запуск проверки: DNS



         Проверки DNS выполняются без зависания. Подождите несколько минут...

         ......................... DC - пройдена проверка DNS



   Выполнение проверок разделов на: DomainDnsZones



   Выполнение проверок разделов на: ForestDnsZones



   Выполнение проверок разделов на: Schema



   Выполнение проверок разделов на: Configuration



   Выполнение проверок разделов на: firma



   Выполнение проверок предприятия на: firma.ru

      Запуск проверки: DNS

         Результаты проверки контроллеров домена:



            Контроллер домена: DC.firma.ru

            Домен: firma.ru





               TEST: Dynamic update (Dyn)

                  Warning: Failed to delete the test record dcdiag-test-record in zone firma.ru



               DC                           PASS PASS PASS PASS WARN PASS n/a

         ......................... firma.ru - пройдена проверка DNS

netdom query fsmo

Код:

Хозяин схемы                DC.firma.ru



Хозяин именования доменов   DC.firma.ru



PDC                         DC.firma.ru



Диспетчер пула RID          DC.firma.ru



Хозяин инфраструктуры       DC.firma.ru



Команда выполнена успешно.

Цитата:

Цитата teleonomic

причем если не включить в сеть старый PDC то новый не поднимется вообще. »

А это какой сервер? Он, скорее всего, является глобальным каталогом, а остальные нет. ПОэтому и не поднимается.

Цитата:

Цитата teleonomic

127.0.0.1 »

Убери loopback-адрес из адресов DNS, это ни к чему.

И почему у тебя один контроллер в сети 192.168.1.*, а второй в 10.0.0.* ? Они вообще видят друг друга?

Цитата:

А это какой сервер? Он, скорее всего, является глобальным каталогом, а остальные нет. ПОэтому и не поднимается

Это старый сервер dc1. Глобальным каталогом он уже не является

Код:

C:\Program Files\Support Tools>nltest /server:dc1.firma.ru /dsgetdc:firma.ru

           DC: \\dc1.firma.ru

      Address: \\192.168.1.10

     Dom Guid: 0e830877-9bc2-4a21-8d62-9d7306a23882

     Dom Name: firma.ru

  Forest Name: firma.ru

 Dc Site Name: Default-First-Site-Name

Our Site Name: Default-First-Site-Name

        Flags: DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_

SITE

The command completed successfully

Новый контроллер dc. Является глобальным каталогом

Код:

PS C:\Users\Администратор.FIRMA> nltest /server:dc.firma.ru /dsgetdc:firma.ru

           Контроллер домена: \\DC.firma.ru

      Адрес: \\10.0.0.102

     GUID DOM: 0e830877-9bc2-4a21-8d62-9d7306a23882

     Имя DOM: firma.ru

  Имя леса: firma.ru

 Имя сайта контроллера домена: Default-First-Site-Name

Имя нашего сайта: Default-First-Site-Name

        Флаги: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS

Команда выполнена успешно.

лупбэк адрес убирал, не помогло.
Вместе с переездом контроллера решено было выделить отдельную подсеть для серверов. Контроллеры друг друга видят.

Цитата:

Цитата teleonomic

перестал подниматься домен AD и DNS на всех контроллерах домена »

Что значит не поднимается ?? не запусукаются службы ??? Что за ошибки в логах на КД?

Ошибка AD на сервере DC

Код:

Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного  контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в доменные службы Active Directory с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях будет не согласована между контроллерами  домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам. 

 

Исходный контроллер домена: 

 dc2 

Ошибочное имя узла DNS: 

 78bcfde3-4f4f-4084-a0da-2377a134b80b._msdcs.firma.ru 

 

Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше.  Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1: 

 

Раздел реестра: 

HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client 

 

Действие пользователя: 

 

 1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB. 

 

 2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в  сети, введя команду "net view \\<имя исходного DC>" или   "ping <имя исходного DC>". 

 

 3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для  служб DNS и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на  http://www.microsoft.com/dns 

 

  dcdiag /test:dns 

 

 4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду: 

 

  dcdiag /test:dns 

 

 5) Для дальнейшего анализа ошибок DNS ознакомьтесь со статьей базы знаний 824449: 

   http://support.microsoft.com/?kbid=824449 

 

Дополнительные данные 

Значение ошибки: 

 11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

Oшибка DNS на сервере DC

Код:

DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

На сервере DC2 ошибки такие-же.

На сервере DC1 (Старый контроллер)

Код:

Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам. 

 

Исходный контроллер домена: 

 DC 

Ошибочное имя узла DNS: 

 b1fd47b6-fda2-4ef6-89be-d77b23ac1393._msdcs.firma.ru 

 

Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1: 

 

Раздел реестра: 

HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client 

 

Действие пользователя: 

 

 1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB. 

 

 2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду "net view \\<source DC name>" или  "ping <source DC name>". 

 

 3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на  http://www.microsoft.com/dns 

 

  dcdiag /test:dns 

 

 4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду: 

 

  dcdiag /test:dns 

 

 5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449: 

   http://support.microsoft.com/?kbid=824449 

 

Дополнительные данные 

Значение ошибки: 

 11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

В DNS на DC1 ошибок не нашел.

Цитата:

Цитата Telepuzik

Что значит не поднимается ?? не запусукаются службы ??? »

Да, службы AD и DNS не запускаются.

Цитата:

Цитата teleonomic

Ошибка AD на сервере DC »

Покажите вывод команды repadmin /showrepl с данного КД. Зона DNS интегрированая в AD?

Кажется DNS не может запустится потому-что не может достучатся до AD, а AD не может потому что DNS не запустился. Как бы эту рекурсию разорвать?

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступ
Default-First-Site-Name\DC
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: b1fd47b6-fda2-4ef6-89be-d77b23ac1393
DSA - код вызова: cf00fea1-ee31-44b9-a269-1b0a180a0540

==== ВХОДЯЩИЕ СОСЕДИ ======================================

DC=firma,DC=ru
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 14:11:30 успешна.
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 14:12:16 успешна.

CN=Configuration,DC=firma,DC=ru
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 13:55:10 успешна.
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 13:55:10 успешна.

CN=Schema,CN=Configuration,DC=firma,DC=ru
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 13:55:10 успешна.
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 13:55:10 успешна.

DC=ForestDnsZones,DC=firma,DC=ru
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 13:55:10 успешна.
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 14:11:43 успешна.

DC=DomainDnsZones,DC=firma,DC=ru
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: c04a6ad5-4894-44ce-ac21-a4b7340009af
Последняя попытка @ 2011-10-11 14:10:01 успешна.
Default-First-Site-Name\DC2 через RPC
DSA - GUID объекта: 78bcfde3-4f4f-4084-a0da-2377a134b80b
Последняя попытка @ 2011-10-11 14:10:07 успешна.

зона DNS интегрирована