Два контроллера домена, какие должны быть роли fsmo
 

Создал локальный домен firma1.loc с контроллером домена srv(win2008R2). В нем все нормально работало: пользователи без админ прав могли входить в терминал.
Затем решил создать резервный контроллер домена srv2 (win2008R2), чтоб был запасной. Он создался и нормально в оснастке ADUsers&Comps поместился в раздел Domain Controllers.В нем есть DNS,
записи которого перенеслись из srv. DHCP я не использую на серверах. Но srv2 стал пускать в терминал пользователей только с админ.правами.


Потом я отключил первый DC srv на профилактические работы. Начались проблемы. На srv2 стали появляться ошибки, что он не может связаться с srv (на srv2 я менял некоторые права пользователей) Через 2 дня(выходных) srv2 вообще перестал пускать пользователей в терминал(даже тех, что с правами администратора домена).

Только, когда я включил srv, srv2 стал пускать к себе пользователей в терминал. Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? Или из-за того, что контроллер srv на железе, а srv2 - виртуальный?
или надо обязательно включать оба контроллера поработать вместе с какой-то периодичностью? с какой?

Могут ли быть эти 5 ролей fsmo одновременно у обоих контроллеров, чтобы не бояться, что один(первый) сломается окончательно?

Цитата pavsem7:
Потом я отключил первый DC srv на профилактические работы »
Цитата pavsem7:
(на srv2 я менял некоторые права пользователей »
Если отключаешь какой-нить КД, то не стоит вносить изменений, огребешь USN rollback.
Цитата pavsem7:
Через 2 дня(выходных) srv2 вообще перестал пускать пользователей в терминал(даже тех, что с правами администратора домена). »
Цитата pavsem7:
Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? »
ИМХО здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), либо из-за проблем с недоступностью глобального каталога, srv2 таковым является?
Цитата pavsem7:
или надо обязательно включать оба контроллера поработать вместе с какой-то периодичностью?»
Оба КД должны работать постоянно. Можно отключать один КД на обслуживание если не вносить никаких изменений (не менять групповых политик, структуры OU и т.д.), допустимый период 180 дней, но так долго естественно лучше не держать.
Цитата pavsem7:
Или из-за того, что контроллер srv на железе, а srv2 - виртуальный? »
Это неважно.
Цитата pavsem7:
Могут ли быть эти 5 ролей fsmo одновременно у обоих контроллеров, чтобы не бояться, что один(первый) сломается окончательно? »
Нет, не могут. Если один КД (у которого роли FSMO) помер, то делают принудительный захват ролей FSMO.
http://windowsnotes.ru/activedirecto...at-rolej-fsmo/

Я читал у многих и у себя наблюдал: изменения реплицируются. В этом же и смысл репликации, думаю, по временным маркерам каким-нибудь - новое затирает старое при конфликте.
Судя по описаниям, проблема возникает только при восстановлениях из бэкапа старых копий, но у меня не это.

srv2 является GC. А вот как этот PDC эмулятор запускать, если роли FSMO нет необходимости передавать?

глупости какие.
PDC эмулятор тут не при чём.
это больше похоже.
снова глупости.
откуда эта цифра? что будет потом?
верно ;)

pavsem7,
"править домен летит Айболит и одно только слово твердит: DNS! DNS! DNS!" (c) Choks.
ну а вам нужно начать с чтения книжки по администрированию, хотя бы любой.
методом "тыка" вы ничему толковому не научитесь.

Видимо, это про Tombstone Lifetime.
А вы их передавали на srv2?
Цитируя вики: "FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, выполняющего данные операции".
Журнал ошибок, dcdiag, настройки и т.д.?

Может и похоже, но srv2 тоже с глобальным каталогом

Нет, не передавал. Тем более, сказали, что это необязательно, всегда потом можно присвоить при необходимости.
Согласно тому же вики, роль PDC Emulator возможна к неуникальному появлению после захвата.
Можно ли временно передать эту роль от основного контроллера в запасному, а потом вернуть обратно без ущерба, чтобы
попробовать не эта ли роль виновата в плохом поведении моего srv2?

dcdiag выдал ошибку:

Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0xC00A0032
Время создания: 10/20/2015 17:17:41
Строка события:
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и
отключил этого клиента
Возникла ошибка. Код события (EventID): 0xC00A0038
Время создания: 10/20/2015 17:17:41
Строка события:
Уровень безопасности сервера терминалов обнаружил ошибку в потоке пр
отокола и отключил этот клиент. IP-адрес клиента: 192.168.1.205.
......................... srv2 - не пройдена проверка SystemLog

Это видимо про того клиента, который заходил не администратором, а администратора потом пустил и им я сделал dcdiag. Он выкидывает длинную табличку при попытке входа неадмином, что вы не принадлежите к группе админов или другой группе с разрешением и надо дать разрешение вручную. Я давал разрешение и персонально пользователю и включал его в разные группы RDUsers, DomainUsers и т.п. которые есть в Security вкладке RDP-TCP. В разрешенных для RDP все эти юзеры прописаны в свойствах компьютера-Доп.параметрыСистемы, но все равно не пускает. А, дашь Administrators, то пускает.


Про какие настройки спрашиваете? ip-адреса статические в одном сегменте локсети с адресом маршрутизатора в качестве шлюза в интернет.

Что в DNS предлагаете поправить? оба сервера как NS сервера в обеих зонах присутствуют. Сервера пересылки настроены идентично на провайдера и в srv2 и в srv. В журнале DNS srv2 написано, что он завершил фоновую загрузку зон после загрузки сервера (зоны включают в себя доменные пользовательские компьютеры). На сервере srv2 можно смотреть интернет в браузере, если добавлять сайты в безопасные.

У меня конкретные проблемы текущей работы, а вы о книжках. читал я их много.