Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   DC сервер "теряет" установленный контролер домена. (http://forum.oszone.net/showthread.php?t=256305)

pomazan@vk 14-03-2013 16:44 2111184
DC сервер "теряет" установленный контролер домена.
 
Есть GC и DC контролеры.
DC стал "выпадать" с "текущий сервер каталогов", где указан GC.
Месяц работало все нормально, стало вылетать.
После ручной установки необходимого сервера, пользователи синхронизируются нормально, но через пару часов опять связь теряется.
Куда копать?

pomazan@vk 14-03-2013 17:33 2111235
DNS на второстепенном прописан правильно.

exo 14-03-2013 18:05 2111262
Цитата:
Цитата pomazan@vk
Куда копать? »
как всегда: логи + IPCONFIG /ALL с серверов и клиентов.

pomazan@vk 14-03-2013 18:55 2111305
Корневой сервер
Цитата:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : adsrv
Основной DNS-суффикс . . . . . . : belkozin.lan
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : belkozin.lan

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Red Hat VirtIO Ethernet Adapter
Физический адрес. . . . . . . . . : C6-4E-B4-39-DD-7F
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::a56a:aef:2b79:f4ae%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.10(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 247877300
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-18-99-59-02-C6-4E-B4-39-DD-7F

DNS-серверы. . . . . . . . . . . : ::1
192.168.0.10
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{BC2DEA24-AFEF-4A81-A084-D5AF691B4FE3}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Второстепенный

Цитата:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Atom
Основной DNS-суффикс . . . . . . : belkozin.lan
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : belkozin.lan

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Red Hat VirtIO Ethernet Adapter
Физический адрес. . . . . . . . . : D6-51-C8-35-F7-86
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::7c69:5913:d86c:6c3b%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.11(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 248926664
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-18-9A-92-AC-D6-51-C8-35-F7-86

DNS-серверы. . . . . . . . . . . : 192.168.0.10
192.168.0.11
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{C82B76B0-6FB4-4DCA-9F14-A766720710F8}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет

Cruzenshtern 14-03-2013 19:01 2111314
pomazan@vk,

А поробуйте днс сервера на первом поставить 0.11

pomazan@vk 14-03-2013 19:02 2111315
На втором сервер днс не поднят.. Нужно ли?

Cruzenshtern 14-03-2013 19:03 2111317
Ну вообще-то по хорошему на обоих ставить днс, если конешно нет отдельно стоящего днс.

pomazan@vk 14-03-2013 19:08 2111324
Спасибо, учту.

Cruzenshtern 14-03-2013 19:20 2111338
pomazan@vk, И кстати, я так понял, что у Вас глобальный каталог только на первом (по времени установки) сервере???

exo 14-03-2013 19:21 2111340
оба сервера виртуальные что ли? в логах есть ошибки?
DCDIAG с серверов покажите, если есть там ошибки.

pomazan@vk 18-03-2013 13:15 2113556
Да виртуальные. Настроил на втором сервере днс который на данный момент успешно обновился.
Но после этого на первом корневом сервере, в панели выбора текущего контролера он же не доступен, причем на втором первый доступен и выставляется..

pomazan@vk 18-03-2013 13:40 2113573
Служба AD Поднята и на втором сервере. При нормальных связях когда не слетает указание корневого серевера, изменения в AD по пользователям синхронизируются и в обе стороны.

exo 18-03-2013 13:48 2113580
Цитата:
Цитата exo
DCDIAG с серверов покажите, если есть там ошибки. »
?

pomazan@vk 18-03-2013 14:13 2113593
Сейчас сделаю.

pomazan@vk 18-03-2013 14:43 2113614
DCDIAG
Первый сервер:
http://pastebin.com/0yekAn9j
Второй сервер:
http://pastebin.com/JKeMbcXa

exo 18-03-2013 16:02 2113660
скрин оснастки Active Directory Sites and Services c раскрытыми ветками.

pomazan@vk 18-03-2013 16:34 2113677
Вложений: 2
Приложил то, как правильно понял.

pomazan@vk 18-03-2013 16:37 2113680
Вложений: 2
То были пользователи, теперь службы

exo 18-03-2013 16:43 2113682
логи DCDIAG вставляете на форум.
NETDOM QUERY FSMO покажите с обоих серверов.

pomazan@vk 18-03-2013 16:46 2113684
1.
Код:
Хозяин схемы                adsrv.belkozin.lan
Хозяин именования доменов  adsrv.belkozin.lan
PDC                        adsrv.belkozin.lan
Диспетчер пула RID          Atom.belkozin.lan
Хозяин инфраструктуры      adsrv.belkozin.lan
Команда выполнена успешно.
2.
Код:
Хозяин схемы                adsrv.belkozin.lan
Хозяин именования доменов  adsrv.belkozin.lan
PDC                        adsrv.belkozin.lan
Диспетчер пула RID          Atom.belkozin.lan
Хозяин инфраструктуры      adsrv.belkozin.lan
Команда выполнена успешно.
Вывод одинаковый.

exo 18-03-2013 16:50 2113689
на время перенесите роль RID на adsrv сервере.
В сетевых картах установите ДНС - сам на себя, второй - партнёр, третий - петля 127.0.0.1
перезагрузите АТОМ. после входа на него, перезагрузите ADSRV
после этого DCDIAG

ещё - фаерволы включены на DC ?

pomazan@vk 18-03-2013 17:12 2113711
Вложений: 1
Печалька. На обеих серваках

exo 18-03-2013 17:16 2113715
тогда пока без передачи роли настройте сетевые интерфейсы. между перезагрузками пусть пройдёт хоть пол часа.
И что с фаерволами?

pomazan@vk 18-03-2013 17:22 2113720
По ходу делал
Цитата:
Нажмите кнопку Пуск, выберите команду Выполнить и введите cmd.
В командной строке введите:ntdsutil.
В командной строке ntdsutil введите roles.
В командной строке fsmo maintenance введите connections.
В командной строке server connections введите connect to server, затем введите полное имя узла.
В командной строке server connections введите quit.
В командной строке fsmo maintenance введите seize RID master.
В командной строке fsmo maintenance введите quit.
В командной строке ntdsutil введите quit.
На этапе connect to server Ошибка при анализе синтактического ввода.

Ок. Перегружу, как люди выйдут после работы. Так что итог будет только завтра.
Фаерволы выключил.

pomazan@vk 19-03-2013 13:25 2114317
Вложений: 1
Порезало так как лог сфайла в непонятной кодировке, пропускал через дешифратор.

adsrv:
http://pastebin.com/mQdmmauN Бешенный размер лога (, сам лог файл приложил

atom:

Код:
Диагностика сервера каталогов

Выполнение начальной настройки:
  Выполняется попытка поиска основного сервера...
  Основной сервер = Atom
  * Идентифицирован лес AD.
  Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

  Сервер проверки: Default-First-Site-Name\ATOM
      Запуск проверки: Connectivity
        ......................... ATOM - пройдена проверка Connectivity

Выполнение основных проверок

  Сервер проверки: Default-First-Site-Name\ATOM
      Запуск проверки: Advertising
        Внимание: DsGetDcName вернул сведения для \\adsrv.belkozin.lan при
        попытке получения доступа к ATOM.
        СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
        ......................... ATOM - не пройдена проверка Advertising
      Запуск проверки: FrsEvent
        ......................... ATOM - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
        За последние 24 часа после предоставления SYSVOL в общий доступ
        зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
        репликации SYSVOL могут стать причиной проблем групповой политики.
        ......................... ATOM - не пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
        ......................... ATOM - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
        ......................... ATOM - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
        ......................... ATOM - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
        ......................... ATOM - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
        ......................... ATOM - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
        [ATOM] В учетных данных пользователя отсутствует разрешение на
        выполнение данной операции.
        Учетная запись, используемая для этой проверки, должна иметь права на
        вход в сеть
        для домена данного компьютера.
        ......................... ATOM - не пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
        ......................... ATOM - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
        [Проверка репликации,Replications Check] Входящая репликация
        отключена.
        Для исправления выполните "repadmin /options ATOM
        -DISABLE_INBOUND_REPL"
        [Проверка репликации,ATOM] Исходящая репликация отключена.
        Для исправления выполните "repadmin /options ATOM
        -DISABLE_OUTBOUND_REPL"
        ......................... ATOM - не пройдена проверка Replications
      Запуск проверки: RidManager
        ......................... ATOM - пройдена проверка RidManager
      Запуск проверки: Services
            Не удалось открыть службу NTDS в ATOM, ошибка 0x5
            "Отказано в доступе."
            Служба w32time в [ATOM] остановлена
            Служба NETLOGON в [ATOM] приостановлена
        ......................... ATOM - не пройдена проверка Services
      Запуск проверки: SystemLog
        Возникло предупреждение. Код события (EventID): 0x000003F6
            Время создания: 03/19/2013  10:37:00
            Строка события:
            Разрешение имен для имени a8b563a2-24bf-4ed0-9f85-138bf7b38061._msdc
s.belkozin.lan истекло после отсутствия ответа от настроенных серверов DNS.
        Возникла ошибка. Код события (EventID): 0x00000457
            Время создания: 03/19/2013  10:40:41
            Строка события:
            Драйвер hp LaserJet 1010 для принтера !!513BUH!hp LaserJet 1010 Seri
es Driver не опознан. Обратитесь к сетевому администратору, чтобы он установил н
ужный драйвер.
        Возникла ошибка. Код события (EventID): 0x00000457
            Время создания: 03/19/2013  10:40:44
            Строка события:
            Драйвер hp LaserJet 1010 для принтера !!SVETULJA!hp LaserJet 1010 Se
ries Driver не опознан. Обратитесь к сетевому администратору, чтобы он установил
 нужный драйвер.
        Возникла ошибка. Код события (EventID): 0x00000457
            Время создания: 03/19/2013  10:40:45
            Строка события:
            Драйвер HP LaserJet 1100 (MS) для принтера HP LaserJet 1100 (MS) не
опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер
.
        Возникла ошибка. Код события (EventID): 0x40000004
            Время создания: 03/19/2013  10:46:00
            Строка события:
            Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера adsrv$.
 Использовалось конечное имя RPCSS/adsrv.belkozin.lan. Это означает, что конечно
му серверу не удалось расшифровать билет, предоставленный клиентом. Это может бы
ть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано
 на учетной записи, отличной от учетной записи, используемой конечной службой. У
бедитесь, что конечное имя SPN зарегистрировано только на учетной записи, исполь
зуемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба и
спользует другой пароль для учетной записи конечной службы, отличный от пароля ц
ентра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Уб
едитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий па
роль. Если имя сервера задано не полностью и конечный домен (BELKOZIN.LAN) отлич
ен от домена клиента (BELKOZIN.LAN), проверьте, нет ли серверных учетных записей
 с таким же именем в этих двух доменах, или используйте полное имя для идентифик
ации сервера.
        Возникла ошибка. Код события (EventID): 0xC0002719
            Время создания: 03/19/2013  10:46:00
            Строка события:
            Не удалось установить связь DCOM с компьютером 192.168.0.10 через од
ин из настроенных протоколов.
        Возникла ошибка. Код события (EventID): 0x40000004
            Время создания: 03/19/2013  11:08:53
            Строка события:
            Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера adsrv$.
 Использовалось конечное имя HOST/adsrv.belkozin.lan. Это означает, что конечном
у серверу не удалось расшифровать билет, предоставленный клиентом. Это может быт
ь из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано
на учетной записи, отличной от учетной записи, используемой конечной службой. Уб
едитесь, что конечное имя SPN зарегистрировано только на учетной записи, использ
уемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба ис
пользует другой пароль для учетной записи конечной службы, отличный от пароля це
нтра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убе
дитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пар
оль. Если имя сервера задано не полностью и конечный домен (BELKOZIN.LAN) отличе
н от домена клиента (BELKOZIN.LAN), проверьте, нет ли серверных учетных записей
с таким же именем в этих двух доменах, или используйте полное имя для идентифика
ции сервера.
        ......................... ATOM - не пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
        ......................... ATOM - пройдена проверка VerifyReferences


  Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
        ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
        ......................... Schema - пройдена проверка
        CrossRefValidation

  Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
        ......................... Configuration - пройдена проверка
        CheckSDRefDom
      Запуск проверки: CrossRefValidation
        ......................... Configuration - пройдена проверка
        CrossRefValidation

  Выполнение проверок разделов на: belkozin
      Запуск проверки: CheckSDRefDom
        ......................... belkozin - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
        ......................... belkozin - пройдена проверка
        CrossRefValidation

  Выполнение проверок предприятия на: belkozin.lan
      Запуск проверки: LocatorCheck
        ......................... belkozin.lan - пройдена проверка
        LocatorCheck
      Запуск проверки: Intersite
        ......................... belkozin.lan - пройдена проверка Intersite

pomazan@vk 19-03-2013 14:55 2114399
Жесть в общем.
Есть бекап adsrv где работает все еще работает правильно. Но там нет пользователей новых.
Попробую поднять новый сервер и перегнать на него пользователей, и сделать его ведущим. Все равно я дальше хотел виртуалку одну с AD продублировать на какойто другой физический сервер. Так что пока помучаюсь с поднятием третьего сервака с нуля. Возможно на нем продублирую нужную функциональность и выкину первый. Там только был сервер терминальных лицензий, а он должен быть один.

pomazan@vk 19-03-2013 17:41 2114513
Без захвата DC1 (adsrv)(или вторым) RID новый AD не поднимишь то) Почему то сейчас получилось захватить.


Время: 20:44.

Время: 20:44.
© OSzone.net 2001-