Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Рассинхронизация контроллеров домена Windows 2008 r2 (http://forum.oszone.net/showthread.php?t=243008)

katsman@vk 19-09-2012 20:03 1991668
Рассинхронизация контроллеров домена Windows 2008 r2
 
Вложений: 2
Добрый день.
У меня один лес, один домен, два контроллера на Windows Server 2008 r2: DC1 и TS1
Роли DC1: AD DS, DHCP, DNS, File services.
Роли TS1: AD DS, Terminal Services, Printing and documents, File services
Была настроена синхронизация учетных записей между контроллерами и проходила она без ошибок.

Было необходимо перенести контроллеры на другие виртуальные машины и я имел неосторожность сделать перенос последовательно друг за другом.
При этом время между переносом виртуалок было примерно сутки. После переноса TS1 перестал получать обновления службы каталогов с DC1.
Насколько я понимаю произошла рассинхронизация в kerberos.

Прошу помощи.

Во вложении результаты команд repadmin /showrepl на обоих контроллерах.

katsman@vk 21-09-2012 10:46 1992456
Ребята, ну знаете же как помочь.
Очень надеюсь на Вас.

Подскажите какую еще инфу предоставить для более четкой картины случившегося.

Telepuzik 21-09-2012 10:54 1992458
katsman@vk,
Покажите вывод ipconfig /all с обоих КД и вывод dcdiag c TS1.

katsman@vk 21-09-2012 11:12 1992466
Вложений: 3
вот

Telepuzik 21-09-2012 11:19 1992469
katsman@vk,
Если Вы не используете ipv6 то отключите его совсем на обоих серверах, либо пропишите статические ipv4 адреса в качестве DNS серверов на обоих КД.

katsman@vk 21-09-2012 11:29 1992473
Вложений: 3
проделал, вот результат

Telepuzik 21-09-2012 12:17 1992494
Цитата:
Цитата katsman@vk
проделал, вот результат »
Укажите на каждом КД по два DNS адреса, соотвественно 192.168.45.202 и 192.168.45.203. На TS1 выполните repadmin /syncall вывод покажите.

katsman@vk 21-09-2012 13:47 1992523
Вложений: 1
Сделал, но на TS1 у меня нет роли DNS.
Тем не менее, во вложении результат
На TS1 в AD по прежнему учетки не совпадают с DC1

Telepuzik 21-09-2012 14:21 1992538
Цитата:
Цитата katsman@vk
Сделал, но на TS1 у меня нет роли DNS. »
У Вас роль DNS только на одном сервере в сети?
Цитата:
Цитата katsman@vk
На TS1 в AD по прежнему учетки не совпадают с DC1 »
Вывод repadmin /showrepl после изменений покажите.

katsman@vk 21-09-2012 15:25 1992584
Вложений: 2
Цитата:
Цитата Telepuzik
У Вас роль DNS только на одном сервере в сети? »
Да, только на DC1 (192.168.45.202)

вот результаты:

Telepuzik 21-09-2012 15:50 1992595
katsman@vk,
В логах на КД какие есть ошибки?
Цитата:
Цитата katsman@vk
Да, только на DC1 (192.168.45.202) »
А если DC1 откажет как сеть будет жить без DNS сервера?

katsman@vk 21-09-2012 15:58 1992601
Цитата:
Цитата Telepuzik
А если DC1 откажет как сеть будет жить без DNS сервера? »
Пользуясь случаем, добавил роль DNS на TS1.

Вопрос с синхронизацией все еще не решен.

Telepuzik 21-09-2012 16:05 1992606
Цитата:
Цитата Telepuzik
В логах на КД какие есть ошибки? »

katsman@vk 21-09-2012 19:12 1992707
Вложений: 1
Цитата:
Цитата Telepuzik
В логах на КД какие есть ошибки? » »
Есть, полно

DC1



EVENT ID: 2092

This server is the owner of the following FSMO role, but does not consider it valid. For the partition which contains the FSMO, this server has not replicated successfully with any of its partners since this server has been restarted. Replication errors are preventing validation of this role.

Operations which require contacting a FSMO operation master will fail until this condition is corrected.

FSMO Role: DC=vilomix-orenburg,DC=ru

User Action:

1. Initial synchronization is the first early replications done by a system as it is starting. A failure to initially synchronize may explain why a FSMO role cannot be validated. This process is explained in KB article 305476.
2. This server has one or more replication partners, and replication is failing for all of these partners. Use the command repadmin /showrepl to display the replication errors. Correct the error in question. For example there maybe problems with IP connectivity, DNS name resolution, or security authentication that are preventing successful replication.
3. In the rare event that all replication partners being down is an expected occurance, perhaps because of maintenance or a disaster recovery, you can force the role to be validated. This can be done by using NTDSUTIL.EXE to seize the role to the same server. This may be done using the steps provided in KB articles 255504 and 324801 on http://support.microsoft.com.

The following operations may be impacted:
Schema: You will no longer be able to modify the schema for this forest.
Domain Naming: You will no longer be able to add or remove domains from this forest.
PDC: You will no longer be able to perform primary domain controller operations, such as Group Policy updates and password resets for non-Active Directory Domain Services accounts.
RID: You will not be able to allocation new security identifiers for new user accounts, computer accounts or security groups.
Infrastructure: Cross-domain name references, such as universal group memberships, will not be updated properly if their target object is moved or renamed.


EVENTID: 1864

This is the replication status for the following directory partition on this directory server.

Directory partition:
DC=ForestDnsZones,DC=vilomix-orenburg,DC=ru

This directory server has not recently received replication information from a number of directory servers. The count of directory servers is shown, divided into the following intervals.

More than 24 hours:
1
More than a week:
1
More than one month:
1
More than two months:
0
More than a tombstone lifetime:
0
Tombstone lifetime (days):
180

Directory servers that do not replicate in a timely manner may encounter errors. They may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled.

To identify the directory servers by name, use the dcdiag.exe tool.
You can also use the support tool repadmin.exe to display the replication latencies of the directory servers. The command is "repadmin /showvector /latency <partition-dn>".



EVENTID: 2088

Active Directory Domain Services could not use DNS to resolve the IP address of the source domain controller listed below. To maintain the consistency of Security groups, group policy, users and computers and their passwords, Active Directory Domain Services successfully replicated using the NetBIOS or fully qualified computer name of the source domain controller.

Invalid DNS configuration may be affecting other essential operations on member computers, domain controllers or application servers in this Active Directory Domain Services forest, including logon authentication or access to network resources.

You should immediately resolve this DNS configuration error so that this domain controller can resolve the IP address of the source domain controller using DNS.

Alternate server name:
TS1.vilomix-orenburg.ru
Failing DNS host name:
b3b34f71-0441-4f19-9c38-4b20c2769245._msdcs.vilomix-orenburg.ru

NOTE: By default, only up to 10 DNS failures are shown for any given 12 hour period, even if more than 10 failures occur. To log all individual failure events, set the following diagnostics registry value to 1:

Registry Path:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

User Action:

1) If the source domain controller is no longer functioning or its operating system has been reinstalled with a different computer name or NTDSDSA object GUID, remove the source domain controller's metadata with ntdsutil.exe, using the steps outlined in MSKB article 216498.

2) Confirm that the source domain controller is running Active Directory Domain Services and is accessible on the network by typing "net view \\<source DC name>" or "ping <source DC name>".

3) Verify that the source domain controller is using a valid DNS server for DNS services, and that the source domain controller's host record and CNAME record are correctly registered, using the DNS Enhanced version of DCDIAG.EXE available on http://www.microsoft.com/dns

dcdiag /test:dns

4) Verify that this destination domain controller is using a valid DNS server for DNS services, by running the DNS Enhanced version of DCDIAG.EXE command on the console of the destination domain controller, as follows:

dcdiag /test:dns

5) For further analysis of DNS error failures see KB 824449:
http://support.microsoft.com/?kbid=824449

Additional Data
Error value:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.




Вот последнее, мне кажется, ключевое. Где-то в ДНС косяк, мне кажется.

Прикладываю скриншот окна DNS Manager DC1

Telepuzik 24-09-2012 11:38 1993894
Цитата:
Цитата katsman@vk
EVENTID: 2088
Active Directory Domain Services could not use DNS to resolve the IP address of the source domain controller listed below. To maintain the consistency of Security groups, group policy, users and computers and their passwords, Active Directory Domain Services successfully replicated using the NetBIOS or fully qualified computer name of the source domain controller. »
Покажите вывод dcdiag /test:dns с обоих КД.

katsman@vk 24-09-2012 12:42 1993914
Вложений: 2
Цитата:
Цитата Telepuzik
Покажите вывод dcdiag /test:dns с обоих КД. »
Вроде все красиво

Telepuzik 24-09-2012 12:50 1993920
Цитата:
Цитата katsman@vk
Прикладываю скриншот окна DNS Manager DC1 »
Покажите такой же скрин с сервера TS1 можно ничего не затирать.

katsman@vk 24-09-2012 14:14 1993954
Вложений: 1
Цитата:
Цитата Telepuzik
Покажите такой же скрин с сервера TS1 можно ничего не затирать. »
вот

Telepuzik 24-09-2012 14:26 1993964
Цитата:
Цитата katsman@vk
b3b34f71-0441-4f19-9c38-4b20c2769245._msdcs.vilomix-orenburg.ru »
Вот эта запись судя по всему лишняя или ошибочная.

Smoke2k 25-09-2012 03:32 1994317
Я не сильно сталкивался с такими проблемами, но из курса MCSE нам рекомендовали (в случае если у вас нет статических записий в DNS) удалить зоны на обоих серверах, прописать в сетевых картах серверов оба DNS сервера, и сделать ipconfig /registerdns, тогда все ресурсы каждого сервера заного зарегестрируются, включая AD, PDC, GC, а так же exchange и проиче сервисы которые публикуются в DNS. или можно их по очереди перезапустить, тогда каждый зарегестрируется заного при старте

katsman@vk 26-09-2012 11:51 1995023
Вложений: 2
Цитата:
Цитата Telepuzik
b3b34f71-0441-4f19-9c38-4b20c2769245._msdcs.vilomix-orenburg.ru »
Вот эта запись судя по всему лишняя или ошибочная. »
Удалил эту запись, но DC1 все равно, видимо по ней ищет хосты для репликации

Во вложении результаты repadmin /syncall

Как можно подправить это обращение?

katsman@vk 26-09-2012 14:00 1995098
Вложений: 2
Думаю, что не в ДНС дело. Вернее почти уверен.

Удалось вот что заметить. При выполнении команды repadmin /syncall на DC1 сервер пытается стучаться на старый GUID сервера TS1, т.е. на b3b34f71-0441-4f19-9c38-4b20c2769245
Новый GUID TS1 - 8C036AAA-1227-4745-90F7-3C0B200D3D86

В оснастке AD Sites and Services (скриншоты во вложении) обнаружил, что DC1 ломится по старому ГУИДу.
Руками подправить его невозможно, в реестре записей соответствующих старому ГУИДу нет. Очевидно, должна быть какая-то процедура по которой нужно дать понять DC1 как искать знакомый ему TS1, но по новому ГУИДу.

Все еще жду вашей помощи.



ДОБАВЛЕНО:

С DC1 выполнил команду

repadmin /replicate TS1 DC1 DC=vilomix-orenburg,DC=ru /full

т.е. руками принудительно среплицировал все с DC1 на TS1

руками это процедура выполнилась без ошибок! Новые учетки, созданные на DC1 перетекли на TS1.
Но в ручном режиме эта команда выполняется по хостнэйму, а служба автоматически все еще реплицирует по GUID.

Все еще жду вашей помощи.
Вопрос в том, как показать DC1, что у TS1 новый GUID?

Telepuzik 28-09-2012 10:04 1995980
katsman@vk,
Поставьте на TS1 в качесте предпочитаемого DNS ip адрес сервера DC1 и затем выполните на TS1 команду ipconfig /registerdns и перезугрузите TS1. Посмотрите есть ли ошибки на DC1.

katsman@vk 28-09-2012 14:59 1996143
Цитата:
Цитата Telepuzik
katsman@vk,
Поставьте на TS1 в качесте предпочитаемого DNS ip адрес сервера DC1 и затем выполните на TS1 команду ipconfig /registerdns и перезугрузите TS1. Посмотрите есть ли ошибки на DC1. »
не помогло

на DC1 регистрируется ошибка 2088

Active Directory Domain Services could not use DNS to resolve the IP address of the source domain controller listed below. To maintain the consistency of Security groups, group policy, users and computers and their passwords, Active Directory Domain Services successfully replicated using the NetBIOS or fully qualified computer name of the source domain controller.

Invalid DNS configuration may be affecting other essential operations on member computers, domain controllers or application servers in this Active Directory Domain Services forest, including logon authentication or access to network resources.

You should immediately resolve this DNS configuration error so that this domain controller can resolve the IP address of the source domain controller using DNS.

Alternate server name:
TS1.vilomix-orenburg.ru
Failing DNS host name:
b3b34f71-0441-4f19-9c38-4b20c2769245._msdcs.vilomix-orenburg.ru

NOTE: By default, only up to 10 DNS failures are shown for any given 12 hour period, even if more than 10 failures occur. To log all individual failure events, set the following diagnostics registry value to 1:

Registry Path:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

User Action:

1) If the source domain controller is no longer functioning or its operating system has been reinstalled with a different computer name or NTDSDSA object GUID, remove the source domain controller's metadata with ntdsutil.exe, using the steps outlined in MSKB article 216498.

2) Confirm that the source domain controller is running Active Directory Domain Services and is accessible on the network by typing "net view \\<source DC name>" or "ping <source DC name>".

3) Verify that the source domain controller is using a valid DNS server for DNS services, and that the source domain controller's host record and CNAME record are correctly registered, using the DNS Enhanced version of DCDIAG.EXE available on http://www.microsoft.com/dns

dcdiag /test:dns

4) Verify that this destination domain controller is using a valid DNS server for DNS services, by running the DNS Enhanced version of DCDIAG.EXE command on the console of the destination domain controller, as follows:

dcdiag /test:dns

5) For further analysis of DNS error failures see KB 824449:
http://support.microsoft.com/?kbid=824449

Additional Data
Error value:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.


репликация по прежнему не проходит... DC1 ищет TS1 по старому GUID-у

katsman@vk 01-10-2012 09:57 1997577
Странное дело, господа.

Решил попробовать через ntdsutil удалить с DC1 информацию о TS1, как о контроллере домена.
По этой инструкции (случай 2): http://support.microsoft.com/kb/216498/ru
Предварительно сделал снэпшоты виртуалок.

Удалилось все корректно, как по методичке.
Ребутнул оба сервака, увидел, что ничего не помогло. Ошибки при repadmin /syncall так и ссылали меня на старый GUID TS1.
Сделал откат до снепшота.

Ребутнул серваки. Сделал тестовое создание пользователя в одном из контейнеров, а он возьми и реплицируйся на TS1.
Т.е. де факто репликация налажена. Хотя на DC1 хранится несколько записей о TS1, видимо.
repadmin /syncall все еще ругается, что не может найти TS1 по старому GUID-у.

Задача, конечно, решена.
Но так и неизвестно в чем была проблема и какие еще трудности может породить такая вот "доброкачественная опухоль" в моем домене.

P.S. может кто-то еще может знать суть проблемы и что рекомендуется предпринять?

Telepuzik 04-10-2012 16:46 1999586
Цитата:
Цитата katsman@vk
Решил попробовать через ntdsutil удалить с DC1 информацию о TS1, как о контроллере домена.
По этой инструкции (случай 2): http://support.microsoft.com/kb/216498/ru
Предварительно сделал снэпшоты виртуалок. »
При использовании ntdsutil сколько серверов Вам показала утилита с именем TS1?

katsman@vk 23-10-2012 10:31 2010602
Вложений: 1
Цитата:
Цитата Telepuzik
При использовании ntdsutil сколько серверов Вам показала утилита с именем TS1? »

насколько я помню, один... его я и удалял.

сегодня повторил операцию, сейчас числится один

sdegtyarev 03-11-2012 17:48 2017942
1) TS1 удалить dns, dcpromo /forceremoval (http://support.microsoft.com/kb/332199/ru). После удаления выключить...

2) через ntdsutil удалить с DC1 информацию о TS1, как о контроллере домена.
По этой инструкции (случай 2): http://support.microsoft.com/kb/216498/ru

3) с dns DC1 удалить все упоминания о TS1, удалить все входящие и исходящие репликации. dcdiag. настроить службу времени.

4) dc1 отправить в reboot и дождаться загрузки, включить ts1, ввести в домен. на ts1 dcpromo (adv view) не забыв про службу dns на нем.

После всех этих манипуляций проверить dcdiag на обоих ВМ. Разобраться с netlogon с netlogon DC1. Проверить репликацию.

DCDiag с ключом /test:testname и параметром /v (проверить dns) (DCDiag /test:dns /v)

sdegtyarev 03-11-2012 18:08 2017957
DC ищет партнеров по репликации не с помощью A-записей (например, dc1.mycompany.com), а путем преобразования общего имени Canonical Name (CNAME) DNS, уникального внутри леса. В данном случае и показано в оснастке "Сайты и службы"

Дим, включи протоколирование NTDS в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ntds\Diagnostics. Выбор параметра зависит от области, которую нужно проанализировать (например, контроль целостности, преобразование имен, события репликации). Значение по умолчанию -- 0, максимальное значение -- 5. Обычно применять значения выше 3 не требуется.

Если получены ошибки, указывающие, что DC не реплицировался в течение более длительного периода, чем время жизни объектов, помеченных на удаление (60 д), то рекомендуется отказаться от попыток диагностики. Необходимо перестроить DC, удалить метаданные из AD и заново назначить DC (что мы с тобой и проделали).

(Repadmin с ключиком /KCC)

katsman@vk 04-11-2012 13:26 2018435
Цитата:
Цитата sdegtyarev
Дим, включи протоколирование NTDS в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ntds\Diagnostics. »
Ок, проделаю в ближайший будний день )
netlogon тоже поковыряю

sdegtyarev, огромное спасибо за помощь. Задачи выполнили на 96%.
Цель достигнута. Можно ставить пометку [РЕШЕНО]


Время: 09:38.

Время: 09:38.
© OSzone.net 2001-