На данный момент вот такая ситуация, юзеры заходят в домен без проблем, ГП срабатывает!
Но я так понимаю не работает репликация, если создаю пользователя в домене, не могу зайти потом, и не могу ввести ПК в домен!
Привожу ошибки...
Вот по ролям сервера :
По ошибкам:
- 2092
Скрытый текст
Код:
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 06.03.2015 16:32:48
Код события: 2092
Категория задачи:Репликация
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: ANONYMOUS LOGON
Компьютер: 411server01.mvk.slav.gov.ua
Описание:
Этот сервер является владельцем следующей роли FSMO, но не считает назначение правильным. Для раздела, содержащего FSMO, этот сервер не выполнил успешной репликации ни с одним из партнеров репликации с момента перезапуска этого сервера. Ошибки репликации мешают выполнению проверки для этой роли.
Операции, требующие обращения хозяина операции FSMO, не смогут выполняться, пока это состояние не будет исправлено.
Роль FSMO: DC=mvk,DC=slav,DC=gov,DC=ua
Действие пользователя:
1. Начальная синхронизация является самой первой репликацией, выполняемой системой при запуске. Ошибка при выполнении начальной синхронизации может быть причиной того, что роль FSMO не может быть проверена. Описание этого процесса содержится в статье базы знаний 305476.
2. У этого сервера есть один или несколько партнеров репликации, и репликация завершается ошибкой для всех этих партнеров. Используйте команду "repadmin /showrepl" для отображения ошибок репликации. Исправьте возможную ошибку. Например, это могут быть проблемы связи IP, разрешения DNS-имен, проверки подлинности, которые мешают успешному выполнению репликации.
3. В том редком случае, когда известно, что все партнеры репликации были неработоспособны, возможно из-за выполнения обслуживания или восстановления после ошибки, можно принудительно выполнить проверку роли. Это можно сделать с помощью утилиты NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-сайте http://support.microsoft.com.
Могут быть затронуты следующие операции:
Схема: нельзя будет изменять схему для этого леса.
Именование доменов: нельзя будет добавлять или удалять домены из этого леса.
PDC: нельзя будет выполнять операции, исполняемые основным контроллером домена, например, обновление групповой политики и сброс паролей для учетных записей, не принадлежащих доменным службам Active Directory.
RID: нельзя будет выделять новые SID для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности.
Инфраструктура: междоменные ссылки на имена, например, членство в универсальных группах, не будут правильно обновляться, если конечный объект будет перемещен или переименован.
-2087
Скрытый текст
Код:
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 06.03.2015 16:32:19
Код события: 2087
Категория задачи:DS RPC-клиент
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: ANONYMOUS LOGON
Компьютер: 411server01.mvk.slav.gov.ua
Описание:
Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в доменные службы Active Directory с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях будет не согласована между контроллерами домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.
Исходный контроллер домена:
411server11
Ошибочное имя узла DNS:
cac7f790-17fe-4035-abb8-a2187e021cc4._msdcs.mvk.slav.gov.ua
Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Действие пользователя:
1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в сети, введя команду "net view \\<имя исходного DC>" или "ping <имя исходного DC>".
3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns
dcdiag /test:dns
4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
dcdiag /test:dns
5) Для дальнейшего анализа ошибок DNS ознакомьтесь со статьей базы знаний 824449:
http://support.microsoft.com/?kbid=824449
Дополнительные данные
Значение ошибки:
11004 The requested name is valid, but no data of the requested type was found.
-2886
Скрытый текст
Код:
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 06.03.2015 16:31:48
Код события: 2886
Категория задачи:Интерфейс LDAP
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: ANONYMOUS LOGON
Компьютер: 411server01.mvk.slav.gov.ua
Описание:
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование, Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом. Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера.
В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано такое изменение конфигурации. Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки. Как только соответствующие события перестанут регистрироваться в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок.
Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923.
Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.
-13508
Скрытый текст
Код:
Имя журнала: File Replication Service
Источник: NtFrs
Дата: 06.03.2015 16:47:28
Код события: 13508
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: 411server01.mvk.slav.gov.ua
Описание:
Служба репликации файлов столкнулась с проблемами при включении репликации с "411SERVER11" на "411SERVER01" для "d:\windows\sysvol\domain", использующего DNS-имя "411server11.mvk.slav.gov.ua". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.
[1] FRS не может разрешить DNS-имя "411server11.mvk.slav.gov.ua" с этого компьютера.
[2] FRS не запущена на "411server11.mvk.slav.gov.ua".
[3] Сведения о топологии в доменных службах Active Directory для этой реплики реплицированы еще не на все контроллеры домена.
Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.
|
