[решено] Помогитевосстановить Права доступа системных служб на DC

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

Помогитевосстановить Права доступа системных служб на DC

Доброго времени суток. Очень надеюсь на помощь в решении проблемы.
Имеется: PDC на физ. машине. После сбоя одного HDD в рейде, возникли проблемы:
1) ОТказываются запускаться часть служб: захожу в оснастку services.msc и вижу, что немало системных служб не запущено (которые нужны для нормально работы и работали до этого). При ручном запуске, часть пишет - не удалось запустить дочерную службу - часть - превышено время ожидания... Открыть зависимости нельзя - выводит ошибку с надписью "Класс не зарегистрирован".
2) Скорее всего из-за первого, не запускаются: роли и компоненты сервера, невозможно посмотреть сетевые подключения. Не запускаются установки программ и куча другого веселья.
3) dcdiag выдает ошибки -

Диагностика сервера каталогов Выполнение начальной настройки: Выполняется попытка поиска основного сервера... Основной сервер = ***S1 * Идентифицирован лес AD. Сбор начальных данных завершен. Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\***S1 Запуск проверки: Connectivity ......................... ***S1 - пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\***S1 Запуск проверки: Advertising ......................... ***S1 - пройдена проверка Advertising Запуск проверки: FrsEvent ......................... ***S1 - пройдена проверка FrsEvent Запуск проверки: DFSREvent ......................... ***S1 - пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... ***S1 - пройдена проверка SysVolCheck Запуск проверки: KccEvent Возникло предупреждение. Код события (EventID): 0x80000785 Время создания: 12/06/2011 00:37:14 Строка события: Попытка установки связи репликации для следующего раздела каталога, доступного для изменения, завершилась ошибкой. ......................... ***S1 - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... ***S1 - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... ***S1 - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... ***S1 - пройдена проверка NCSecDesc Запуск проверки: NetLogons [***S1] В учетных данных пользователя отсутствует разрешение на выполнение данной операции. Учетная запись, используемая для этой проверки, должна иметь права на вход в сеть для домена данного компьютера. ......................... ***S1 - не пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... ***S1 - пройдена проверка ObjectsReplicated Запуск проверки: Replications [Проверка репликации,***S1] Сбой функции DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105 "Доступ к репликации отвергнут." ......................... ***S1 - не пройдена проверка Replications Запуск проверки: RidManager ......................... ***S1 - пройдена проверка RidManager Запуск проверки: Services Неверный тип запуска службы: EventSystem на ***S1, текущее значение - DISABLED, ожидаемое значение - AUTO_START Служба EventSystem в [***S1] остановлена Не удалось открыть службу NTDS в ***S1, ошибка 0x5 "Отказано в доступе." Служба NtFrs в [***S1] остановлена ......................... ***S1 - не пройдена проверка Services Запуск проверки: SystemLog Возникла ошибка. Код события (EventID): 0xC0001B58 Время создания: 12/06/2011 00:17:34 Строка события: Сбой при запуске службы "Диспетчер системных ресурсов" из-за ошибки Возникло предупреждение. Код события (EventID): 0x000003F6 Время создания: 12/06/2011 00:17:44 Строка события: Разрешение имен для имени _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.***.LOCAL истекло после отсутствия ответа от настроенных серверов DNS. Возникла ошибка. Код события (EventID): 0xC00038D6 Время создания: 12/06/2011 00:17:45 Строка события: Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на этом контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных. Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:17:52 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:17:53 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:18:00 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:18:07 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:18:08 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:18:08 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:18:08 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:18:08 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:18:08 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:18:08 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:30 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:30 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:30 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:30 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:30 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:30 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:30 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникло предупреждение. Код события (EventID): 0x000727AA Время создания: 12/06/2011 00:19:51 Строка события: Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/***S1.***.local, WSMAN/***S1. Возникла ошибка. Код события (EventID): 0xC0001B59 Время создания: 12/06/2011 00:19:53 Строка события: Служба "Служба уведомления о системных событиях" является зависимой от службы "Система событий COM+", которую не удалось запустить из-за ошибки Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:53 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:53 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:53 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:53 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера с CLSID Возникла ошибка. Код события (EventID): 0xC0002720 Время создания: 12/06/2011 00:19:53 Строка события: Параметры разрешений по умолчанию не дают разрешения Локальный Активация для приложения COM-сервера ....

После трех суток красноглазия, склоняюсь к мысли, что слетели права у системных служб. Как их можно восстановить?

P.S. Архивы делались, но в силу обстоятельств недоступны. Сейчас готовлю виртуалку, чтобы перенести БД АД на новую. И если у кого есть время и возможность ответить на несколько вопросов по виртуализации - буду просто счастлив. Контакты - в профиле

Ошибки простые - не запустить DNS сервер .
Почему однозначно сказать сложно.

Коли нет бэкапов то шанс восстановления почти равен нулю, но попробовать стоит.
1. сделайте копию того что есть сейчас.
2. проверьте диски
3. проверьте WMI.
4. добейтесь запуска DNS-а. После этого сервисы ответственные за службу каталогов хоть как то заработают.

Цитата:

Цитата zero55

добейтесь запуска DNS-а. После этого сервисы ответственные за службу каталогов хоть как то заработают. »

DNS поднял.
Слетали настройки сетевой карты - через консоль сделал. После этого в dcdiag тест Connectify стал проходить.
Поставил в виртуалке WIn2003 serv, сделал его резервным DC, пользователи перенеслись. ДНС на доп. КД поднять теперь не могу.
результаты dcdiag с резервного КД

Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\***S3 Starting test: Connectivity ......................... ***S3 passed test Connectivity Doing primary tests Testing server: Default-First-Site-Name\***S3 Starting test: Replications ......................... ***S3 passed test Replications Starting test: NCSecDesc ......................... ***S3 passed test NCSecDesc Starting test: NetLogons Unable to connect to the NETLOGON share! (\\***S3\netlogon) [***S3] An net use or LsaPolicy operation failed with error 1203, ЌЁ ®¤** Ё§ б«г¦Ў ¤®бвгЇ* Є бҐвЁ *Ґ б¬®Ј«* ®Ўа*Ў®в*вм §*¤***л© бҐвҐў®© Їгвм.. ......................... ***S3 failed test NetLogons Starting test: Advertising Warning: DsGetDcName returned information for \\***S1.***.local, when we were trying to reach ***S3. Server is not responding or is not considered suitable. ......................... ***S3 failed test Advertising Starting test: KnowsOfRoleHolders ......................... ***S3 passed test KnowsOfRoleHolders Starting test: RidManager ......................... ***S3 passed test RidManager Starting test: MachineAccount ......................... ***S3 passed test MachineAccount Starting test: Services ......................... ***S3 passed test Services Starting test: ObjectsReplicated ......................... ***S3 passed test ObjectsReplicated Starting test: frssysvol ......................... ***S3 passed test frssysvol Starting test: frsevent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... ***S3 failed test frsevent Starting test: kccevent ......................... ***S3 passed test kccevent Starting test: systemlog An Error Event occured. EventID: 0xC25A001D Time Generated: 12/06/2011 01:40:08 (Event String could not be retrieved) ......................... ***S3 failed test systemlog Starting test: VerifyReferences ......................... ***S3 passed test VerifyReferences Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : *** Starting test: CrossRefValidation ......................... *** passed test CrossRefValidation Starting test: CheckSDRefDom ......................... *** passed test CheckSDRefDom Running enterprise tests on : ***.local Starting test: Intersite ......................... ***.local passed test Intersite Starting test: FsmoCheck ......................... ***.local passed test FsmoCheck

Цитата:

Цитата zero55

1. сделайте копию того что есть сейчас.
2. проверьте диски »

В первую очередь сделал.

Цитата:

Цитата zero55

3. проверьте WMI. »

Как?

UPD. Репликация на другой КД не работает. Т.к. не удается на PDC (полумертвом) запустить службу репликации

Судя по ошибке у вас либо не работает FRS.

Используйте FRSDiag для диагностики FRS-а + WMIDIAG для диагностики WMI

Есть шанс что вот это http://technet.microsoft.com/en-us/l.../bb727056.aspx поможет, но все же посмотрите на ошибки от FRS

zero55,

Цитата:

Цитата xome

запустить службу репликации »

Цитата:

Цитата xome

Т.к. не удается на PDC (полумертвом) запустить службу репликации »

Я и говорю, что не запускается FRS, как и DFSr, "не удается запустить дочернюю службу". Из дочерних - лежит COM+

Вообще проблема похоже в связке com+ и Dcom. Потому что часто выходят ошибки класс не зарегистрирован, dcomcnfg - на "Моем Компьютере" горит красная стрелочка, в "приложения COm+" не пускает (класс не зарегистрирован). В DCOMе всем записям добавил Network service и localservice с полным доступом.

Установка программ тоже не работает, поэтому не могу накатить МСовские патчи, помогающие разобраться в ситуации

WMI - работает.

Цитата:

Цитата zero55

http://support.microsoft.com/kb/315296 »

пробовал.

Цитата:

Дважды щелкните значок Установка и удаление программ и выберите пункт Добавление и удаление компонентов Windows.

Вот здесь затык. В компонентах, как и в ролях пусто :( То есть ничего не отображается, и добавить\удалить ничего нельзя

Ясно
Вариантов множество, но начать стоит с sfc /scannow

Возможно поможет дистрибутив и распакованный с него sysoc.inf
expand X:\i386\sysoc.in_ -r c:\windows\inf\sysoc.inf

Цитата:

Цитата zero55

Вариантов множество, но начать стоит с sfc /scannow »

ошибок не найдено :(

Цитата:

Цитата zero55

Возможно поможет дистрибутив и распакованный с него sysoc.inf
expand X:\i386\sysoc.in_ -r c:\windows\inf\sysoc.inf »

Это для 7ки? У дистрибутива сервера нет папки i386, есть sources и там нет такого файла

Цитата:

Цитата xome

Дважды щелкните значок Установка и удаление программ и выберите пункт Добавление и удаление компонентов Windows »

А через консоль как-нибудь это можно осуществить?

Цитата:

Цитата xome

пользователи перенеслись. »

забавно.

Цитата:

Цитата xome

ДНС на доп. КД поднять теперь не могу. »

почему? что пишет?

Цитата:

Цитата cameron

почему? что пишет? »

поднял уже, ошибки были из-за настроек сетевой карты на основном КД,
Сейчас идет (тьфу-тьфу) репликация, служба репликации поднята. Сижу, скрестив пальцы. Если все пройдет удачно, отпишу что делал

Репликация прошла, проблемы устранены. Осталась одна - как убить бывший PDC, если dcpromo на нем вываливается с ошибкой "класс не зарегистрирован". Если ли какие-нибудь варианты "мягкого" удаления без ntdsutil?

UPD. Перенос завершен. Все следы старого DC удалены через ADSI. netdiag и dcdiag ошибок не выдает. На виртуальном контроллере. Поднят новый контроллер домена, и данные АД возвращены туда. Все работает тьфу-тьфу. Кому интересно, служба репликации ntFRS была запущена так: программой sc.exe с нее были убраны зависимости, после этого она провела репликацию.

Тему можно закрывать