Контроллер домена умирает - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - Контроллер домена умирает (http://forum.oszone.net/showthread.php?t=295813)

Контроллер домена умирает

Приветствую всех.
Есть единственный контроллер домена. На нем же развернут DNS, DHCP. С самого начала на нем глючил рейд массив, при каждой перезагрузке он пересобирал массив (RAID1), дальше работал штатно без сбоев. Позже, когда появилась возможность, начали миграцию на новое железо server 2012. Но что-то пошло не так (не смог корректно работать Exchange), и вернули все как было. Разумеется по инструкциям с зачисткой следов после неудачной миграции.
И после очередной перезагрузки сервер перестал работать, DHCP не раздает, к общим ресурсам доступа нет, групповые политики не работают, DFS не работает, Exchange не работает (не видит КД).
Воскресился с бекапа днем ранее до перезагрузки, ничего не изменилось. Два месяца назад специально поправил все мелкие ошибки, которые показал dcdiag, сделал бекап (подготавливал к очередной миграции). Но и при воскрешении с этого архива ничего не изменилось. Я в тупике.
Или это последствия неудачной миграции или последствия развала рейда.
Прошу помощи в воскрешении сервера.
DCDIAG

ipconfig сервера

ipconfig клиента

DNS проверил, левых записей вроде нет.

Добавлю данных для разбора.
На разные шлюзы не обращаете внимания, поднят VLAN с несколькими подсетями.
Ошибки Kerberos в dcdiag, я оставил только 2, по факту они кажется на каждого клиента в сети (их очень много).
Пинги проходят нормально и на сервере и на клиенте.
nslookup

netdom query fsmo

Цитата:

Цитата barchester

Два месяца назад специально поправил все мелкие ошибки, которые показал dcdiag, сделал бекап»
Ошибки Kerberos в dcdiag, я оставил только 2, по факту они кажется на каждого клиента в сети (их очень много).

Очень плохая идея восстанавливать двухмесячный DC. По умолчанию каждый доменный комп устанавливает траст с контроллером, используя свою учетку в домене. Каждые 30 дней пароль этой учетки меняется. Пароль этот является необходимой частью для работы кербероса, а поскольку на компах у вас пароль используется новый, а на DC - двухмесячный, все трасты поломались. Для начала я посоветовал бы восстановить бекап перед ребутом и запустить dcdiag там, из 2 месячного вы ничего не сделаете уже, если только не переводить все машины в домен.

О самом трасте подробнее

Ошибки одинаковы и в двухмесячном бекапе и перед ребутом.

Выполните на любом клиенте

Код:

nltest /sc_query:<имя домена>

и выложите результат

Выполнил и со скобками и без, не знаю синтаксис

Код:

PS C:\Users\bar> nltest /sc_query:<mydomen.ru>

Ошибка в I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN



PS C:\Users\bar> nltest /sc_query:mydomen.ru

Флаги: 0

Имя доверенного контроллера домена

Состояние подключения доверенного контроллера домена Status = 1311 0x51f ERROR_NO_LOGON_SERVERS

На контроллере попробуйте выполнить

Код:

ipconfig /registerdns

nltest /dsregdns

Когда на клиенте логиниться пытаетесь ошибки какие в логах есть?

ipconfig /registerdns уже делал, после перезагружал

результат nltest /dsregdns

Код:

PS C:\Users\Администратор> nltest /dsregdns

Флаги: 0

Подключение Status = 0 0x0 NERR_Success

Команда выполнена успешно.

Ошибки на клиенте:

Код:

Источник: GroupPolicy (Microsoft-Windows-GroupPolicy)

Код: 1129

Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением.

Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе.

Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.

Код:

Источник: NETLOGON

Код: 5719

Компьютер не может установить безопасный сеанс связи с контроллером домена MYDOMEN по следующей причине: 

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. 

Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.  



Дополнительные сведения 

Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена.

В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

Эти думаю не критичные (не гуглил их)

Код:

Источник: DistributedCOM

Код: 10010

Регистрация сервера {1B1F472E-3221-4826-97DB-2C2324D389AE} DCOM не выполнена за отведенное время ожидания.

Код:

Источник: DistributedCOM

Код: 10016

Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID 

{D63B10C5-BB46-4990-A94F-E40B9D520160}

 и APPID 

{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

 пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC),

выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно).

Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

Попробуйте включить netlogon лог на клиенте, возможно будет понятно, почему именно он не может найти контроллер.
SRV запись _ldap._tcp.DnsDomainName с клиента разрешается?

Прикрепил netlogon.log, упаковал в zip. Громоздкий получился.
Если я правильно понял про SRV запись, то вот с клиента результат

Код:

C:\Windows\system32>nslookup _ldap._tcp.mydomen.ru

╤хЁтхЁ:  sun.mydomen.ru

Address:  192.168.3.200



╚ь*:     _ldap._tcp.mydomen.ru

Сейчас проверил роль ActiveDirectory Анализатором соответствия, показал 2 ошибки:

Скрытый текст

Название:
Анализатор AD DS BPA должен иметь возможность сбора данных о имя узла корневого основного контроллера домена леса на корневой основной контроллер домена леса

Серьезность:
Ошибка

Дата:
20.02.2015 21:58:51

Категория:
Настройка

Проблема:
Анализатору соответствия рекомендациям доменных служб Active Directory (AD DS BPA) не удается собрать данные о имя узла корневого основного контроллера домена леса на корневой основной контроллер домена леса.

Воздействие:
Анализатору AD DS BPA не удастся проверить данные конфигурации имя узла корневого основного контроллера домена леса.

Разрешение:
Устраните неполадки с корневой основной контроллер домена леса, чтобы определить главную причину проблемы.

Дополнительные сведения об этой рекомендации и подробные процедуры: http://go.microsoft.com/fwlink/?LinkId=142188

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Название:
Политика контроллеров домена по умолчанию в домене mydomen.ru должна применяться к подразделению OU=Domain Controllers,DC=mydomen,DC=ru

Серьезность:
Ошибка

Дата:
20.02.2015 21:58:51

Категория:
Настройка

Проблема:
Политика контроллеров домена по умолчанию сейчас не применяется к подразделению OU=Domain Controllers,DC=mydomen,DC=ru.

Воздействие:
Если параметры групповой политики, определенные в политике контроллеров домена по умолчанию, не применяются к контроллерам домена, операции Active Directory могут завершаться ошибкой.

Разрешение:
Свяжите политику контроллеров домена по умолчанию с подразделением OU=Domain Controllers,DC=mydomen,DC=ru.

Дополнительные сведения об этой рекомендации и подробные процедуры: http://go.microsoft.com/fwlink/?LinkId=168840

Плюс ко всему остановлена и не запускается служба репликации файлов.

Скрытый текст

Источник: NtFrs
Код: 13575
Этот контроллер домена был мигрирован с целью использования службы репликации DFS для репликации общего ресурса SYSVOL. Использование службы репликации файлов для репликации наборов содержимого, не являющегося содержимым SYSVOL, было отключено, и поэтому служба была остановлена. Для репликации папок, общего ресурса SYSVOL на контроллерах домена и объектов ссылок DFS рекомендуется использовать службу репликации DFS.

Насколько я понимаю, клиент не может подключиться к контроллеру. Попробуйте выключить фаервол на контроллере, пинги идут от клиента туда?
На контроллере какие ошибки в логах есть (Проверьте также секьюрити лог в момент включения клиентской машины)?
Вводятся ли новые машины в домен?

Пинги идут с клиента, и на другие сервера и на другие клиенты (с других подсетей), как положено по имени машины.
Машины в домен не заводятся, ошибки ссылаются на DNS. Завтра приду на работу отпишу что конкретно пишет.
Так же отпишу по ошибкам на сервере. На данный момент (за последний час) висит 15 ошибок Kerberos

Скрытый текст

Возникла ошибка. Код события (EventID): 0x40000004
Время создания: 02/20/2015 11:21:49
Строка события:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера APOLTEVA$. Использовалось конечное имя cifs/APO
LTEVA.mydomen.ru. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это може
т быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учет
ной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, ис
пользуемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной
записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы
. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не пол
ностью и конечный домен (mydomen.RU) отличен от домена клиента (mydomen.RU), проверьте, нет ли серверных учетных запис
ей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.

Сейчас прошло 6 часов с окончания рабочего дня и видимо ошибки сыпятся на каждый не выключенный комп в сети.

Думаю у вас две разные проблемы - DNS и керберос (месячный пароль secure channel).
Если сможете - проверьте можно ли вывести/ввести машину в домен, которая фигурирует в ошибках за последний час. Судя по всему, как минимум коммуникация от ДЦ к клиенту (в последнем случае к APOLTEVA$) работает. Ну и логи машины с ошибкой DNS при попытке ввода в домен.

Сегодня первым делом проверил ошибки на сервере, висели 2 Kerberos, вывел машину с домена без проблем (с админискими правами домена). Но завести так и не удалось.

Вот ошибка

DNS успешно запросила запись ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена "mydomen.ru":
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdsc.mydomen.ru
Этим запросом были идентифицированы следующие контроллеры домена Active Directory:
sun.mydomen.ru
к возможным причинам этой ошибки относятся:
- Записи узлов (А) или (АААА), которые сопоставляют имя контроллера домена Active Directory его IP-адресам, утеряны или содержат неправильные адреса.
- Контроллеры доменов Active Directory, зарегистрированные в DNS, не подключены к сети или не запущены.

Но это цветочки. Решил еще раз провести тест Анализатором соответствия Active Directory, появилась еще одна ошибка

Скрытый текст

Название:
Контроллер домена sun.sakhniro.ru должен иметь возможность обращения к DNS-серверу и извлечения записей DNS, связанных с этим контроллером домена

Серьезность:
Ошибка

Дата:
21.02.2015 10:52:56

Категория:
Настройка

Проблема:
Анализатору соответствия рекомендациям доменных служб Active Directory (AD DS BPA) не удается извлечь информацию о контроллере домена sun.sakhniro.ru с сервера. Служба DNS определяет порядок обнаружения контроллера домена sun.sakhniro.ru другими контроллерами и компьютерами-членами домена или леса.

Воздействие:
Анализатору AD DS BPA не удается собрать данные и проверить конфигурацию зарегистрированных в DNS записей локатора контроллера домена (DC Locator) (Netlogon) для контроллера домена sun.sakhniro.ru.

Разрешение:
Проведите диагностику DNS-клиента и DNS-сервера, чтобы определить основную причину проблемы.

Дополнительные сведения об этой рекомендации и подробные процедуры: http://go.microsoft.com/fwlink/?LinkId=126964

Решил перезагрузить сервер, проверить новые ошибки, проверить состояние рейда, и вообще его поведение.
После долгой прогрузки все стало еще хуже. Теперь даже оснастку DNS не могу запустить,

Скрытый текст

---------------------------
DNS
---------------------------
Не удалось подключиться к серверу SUN.

Произошла следующая ошибка:

В доступе было отказано.

Продолжить добавление в любом случае?
---------------------------
Да Нет
---------------------------

При нажатии либо Да либо Нет, открывается с красным крестом.
Я вообще в недоумении.

Почитал похожие проблемы у людей после воскрешения Active Directory. Выводы из них, создание нового домена.
Уже неделю моя госконтора колом стоит. После праздника меня начнут на части резать ((
Я уже думал о создании нового, но боюсь за Exchange, как его подружить с новым доменом?

Цитата:

Цитата barchester

Выводы из них, создание нового домена.

Этот вывод можно было сделать и из бэкапа старше 30 дней :)

Цитата:

Цитата barchester

Я уже думал о создании нового, но боюсь за Exchange, как его подружить с новым доменом? »

А в чем проблема? У вас ведь есть бэкапы баз? Единственное - конечно придется выполнить начальную настройку Exchange.

Думаю создание с нуля будет быстрее чем разбиратеьство с ошибками, тем более уже душит руководство.
Но с Exchange пока так и недопонимаю как воплотиться в рабочее состояние, если учетные записиси планирую обозвать так как и было (хотя это врядли проблема).
Пока образно представляю это так, корректое удаление Excahange - установка Echange (без переустановки windows) - проверка на работоспособность - восстановление баз из бекапа.
Сейчас нет воможности запустить Exchange, т.к. из-за недоступности AD он не хочет запускаться. Выключил его пару дней назад, чтоб не копил в себе тучу ошибок. Был установлен, настроен и забыт года 4 назад и настроена ли архивация базы уже и не припомню, архив образа винды точно есть.
Ладно буду разбираться по ходу работы, завтра-послезавтра думаю дойду до этого момента, обязательно отпишусь по результатам.
Спасибо Вам за неравнодушие :)