|
Не реплицируются sysvol и netlogon между двумя КД на windows ser 2012
Не реплицируются sysvol и netlogon между двумя КД на windows server 2012 r2
В общем доступе (на проблемном контроллере домена) отсутствуют папки SysVol и netLogon Код:
C:\Windows\system32>repadmin /showreps1. В Windows Server 2012 используется DFS-R, а FRS отключена 2. Действительно на 2-м Контроллере домена , на котором в общем доступе отсутствовали SysVol и netLogon , отсутствовали папки \SYSVOL\domain\Policies \SYSVOL\domain\scripts 3. Утилита linkd не совместима с windows Server 2012,тогда как восстанавливаются связи? 4. Ошибку выявил dcdiag Код:
C:\Windows\system32>dcdiag /test:DFSREventКод:
Код:
C:\Windows\system32>ipconfig /allпочему такое может случится, как выявить причину и как это можно исправить ? Не претендую на полный мануал или решение проблемы за меня, просто прошу помочь разобраться, хочу понять схему решения данной проблемы. Спасибо |
Утилита AD Replication Staus Tool показала полное отсутствие ошибок на обоих КД.
|
Это у вас тестовая сеть?
Цитата:
Подробнее: 1) Схему сети в студию. 2) Покажите dcdiag /test:dns 3) Зачем на КД повесили столько сетей? 4) Почему у "основного" (10.0.0.2) подключения нет DNS-суффикса подключения? 5) У "Ethernet adapter Internet" убирайте сторонние DNS-сервера в сервера пересылки (forwaders). Цитата:
|
Цитата:
Цитата:
Цитата:
172.16.12.1 и 172.16.12.2 указаны в качестве серверов пересылке на DNS серверах 1-го и 2-го Контроллера домена Код:
dcdiag /test:dnsКод:
C:\Windows\system32> dcdiag /test:dnsКод:
Ethernet adapter Internet:Код:
Код:
Ethernet adapter Internet:Цитата:
Их что разве нужно вручную писать, они должны автоматически быть установлены,почему их нет не знаю,если знаете как и эту ошибку исправить, подскажите |
Запустил диагностический тест DFS
Код:
OFFICESERVER (1 ошибка) (Просмотреть описание сервера) Код:
OFFICESERVER (1 предупреждение) (Просмотреть описание сервера) - проверить не заполнен ли диск - больше 10 гб свободно - chkdsk /scan /perf c: - ошибок не обнаружено - sfc /scanos - целостность системы не нарушена, ошибок нет Код:
Службе репликации DFS не удалось восстановиться после внутренней |
Схема сети (рис прикреплен)
На каждом Контроллере домена равернут DNS-сервер Каждый Контроллер домена является маршрутизатором Каждый Контроллер домена это dhcp - сервер с резервированием Вся система развернута на Hyper-V Созданы 5 виртуальных коммутаторов: 5 подсетей internal (частная сеть) berlin london korea Первые 4 подсети, mask 255.255.254.0 internet (внешняя сеть - на основе сетевого адаптера хостовой машины) - данная подсеть, находится за корпоративным брандмауэром и получает динамический-ip, используется только для выхода в интернет и получения обновлений для WSUS Контроллер домена Officeserver имеет все 5 ролей мастеров операций В частной сети и работает "лес предприятия". |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
В настройках DNS -серверов указал прослушивание DNS-запросов только с Интерфейсов подсетей (внутрениих),то есть теперь это: DNS-1 10.0.0.1 10.0.2.1 10.0.4.1 10.0.6.1 DNS-2 10.0.0.2 10.0.2.2 10.0.4.2 10.0.6.2 Настроил зоны обратного просмотра для внутренних подсетей на одном DNS, чрез некотрое время они появились и на втором DNS -сервере DNS журналы были полны ошибок 4004 и 4015 Код:
Не найдено описание для события с кодом ( 4004 ) в источнике ( Microsoft-Windows-DNS-Server-Service ). Либо вызывающий данное событие компонент не установлен на этот локальный компьютер, либо установка повреждена. Установите или восстановите компонент на локальном компьютере либо обратитесь к производителю компонента за новой версией.Код:
C:\Windows\system32>ipconfig /allКод:
C:\Windows\system32>dcdiag /test:dnsКод:
C:\Windows\system32>ipconfig /allКод:
C:\Windows\system32>dcdiag /test:dns |
Windows 2012 Multihomed Domain Controller (перевод)В поисках того можно ли запускать Контроллер домена на Windows Server 2012 c несколькими сетевыми картами (как «подключённый к нескольким сетям»). Я исследовал много старых сообщений для Windows 2003, Windows 2000 и даже NT4, но не нашел много новой информации. Все из них говорят, что-то вроде о «много сетевой конфигурации» что это – «не рекомендуется» или «не поддерживается»; не многие из страниц адресованы к тому в действительности ли это будет работать. Здесь изложен мой недавний опыт. Да, вы можете запустить Контроллер домена на много сетевом компьютере, но вам нужно сделать некоторые изменения конфигурации для его работы. Для целей демонстрации с фактическим примером, предположим, что у вас есть машина с 2-мя сетевыми картами: - NIC 1: “PUBLIC” 192.x.x.x network (клиенты используют этот интерфейс для доступа к Контроллеру домена) - NIC 2: “PRIVATE” 10.x.x.x network (частная сеть, только для серверов или файловых хранилищ) Я пометил 192.x.x.x сети как PUBLIC, только чтобы стало ясно, что клиентские машины используют эти сети, чтобы связаться с Контроллером домена, это не означает, что IP-адрес обязательно публично маршрутизируемый. Здесь изложены нужные изменения 1. [Обязательно] Не допускать чтобы Контроллер домена предлагал службы DNS на интерфейсе PRIVATE - Запускаем regedit - Открываем ветку HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters - Добавим строковый параметр: PublishAddresses - В качестве значения, установить для PUBLIC (192.x) статический IP address Я указал все свои внутренние подсети через пробел 10.0.0.1 10.0.2.1 10.0.4.1 10.0.6.1 Насколько я понял здесь указываются адреса интерфейсов которые публикуют свои адреса в качестве Srv-записей 2. [необязательно] Удалите лишние пункты из интерфейса PRIVATE (у меня это интерфейс для выхода во внешнюю сеть - интерфейс Internet) Некоторые из них могут варьироваться в зависимости от вашей системы. Вы должны знать, что вам нужно в вашей сети PRIVATE; нам только нужен TCP/IPv4, поэтому ниже указано то , было запрещено: 1. Откройте Центр управления сетями и общим доступом 2. Выберите свойство подключения сети PRIVATE 3. Отключите «Служба доступа к файлам и принтерам сетей Microsoft» 4. Отключите Протокол мультиплексора сетевого адаптера(Microsoft) 5. Отключите “Ответчик обнаружения топологии канального уровня” 6. Отключите “TCP/IPv6″ 3. [Требуется] Остановить адрес интерфейса e PRIVATE от добавления в качестве записи DNS для данного хоста: 1. Откройте Центр управления сетями и общим доступом 2. Откройте свойства интерфейса PRIVATE 3. Выбирете TCP/IPv4 > Свойства > Дополнительно 4. На закладке DNS, отключите «Зарегистрировать адреса этого в DNS» 4. [Требуется] Удалите адреса интерфейса PRIVATE которые уже зарегистрированы - Откройте Server Manager - Откройте Средства > DNS - Щелкните по папке для каждой из зон прямого просмотра, и везде, что вы найдете адрес интерфейса PRIVATE, щелкните правой кнопкой мыши и удалите его - Откройте папку для каждой из зон прямого просмотра и в каждой из вложенных папок также удалите любые адреса интерфейса PRIVATE, которые вы найдете (изучите все дерево) 5. [Требуется] Перезагрузите ваши Контроллеры домена Это необходимо чтобы все, описанные выше изменения вступили в силу. Выполнил эти требования вот выводы тестов. Код:
C:\Windows\system32>ipconfig /flushdns && ipconfig /allКод:
C:\Windows\system32>dcdiag /test:dnsДля 2-го сервера Код:
C:\Windows\system32>ipconfig /flushdns && ipconfig /all |
Цитата:
да, КО подсказывает, что 10.0.6.1/23 никогда не достучится до 10.0.0.1 без шлюза. если вы делаете региональные представительства (судя по названиям сетей), то это делается не так. если вы делаете вланы (но называете их так, чтобы хацкеры не поломали), то это тоже делается не так. в общем и целом такой конфиг контроллеров домена = гарантированным фееричным граблям. что вы и имеете. и делать так не надо, тем более что сборок *nix (с гуем, КАРЛ!!)для маршрутизации полно и почти все они так или иначе живут в HV. |
Цитата:
|
Цитата:
У меня есть выход во внешнюю сеть только так . Но в сеть я и так выхожу,а проблемы с sysvol появились скорей из-за разницы вовремени наобоих контроллеоах. От эталонного на сутки. |
Цитата:
- настройте КД с ролью PDC-Emulator на синхронизацию с внешним источником времени. - если вы не пытались как-то корректировать работу службы времени в пределах домена, то все остальные серверы и ПК получат правильное точное время с PDC-emulator. после чего рестартните проблемный КД и проверьте. ещё раз спрашиваю: чего вы добиваетесь такой схемой сети? я почти уверена, что вы сделали ошибочный дизайн и теперь пытаетесь натянуть его на всё остальное, мужественно решая проблемы на ровном месте. |
Цитата cameron:
- отключите в гостевых ВМ службу синхронизации времени Hyper-V. - настройте КД с ролью PDC-Emulator на синхронизацию с внешним источником времени. - если вы не пытались как-то корректировать работу службы времени в пределах домена, то все остальные серверы и ПК получат правильное точное время с PDC-emulator. после чего рестартните проблемный КД и проверьте. ещё раз спрашиваю: чего вы добиваетесь такой схемой сети? я почти уверена, что вы сделали ошибочный дизайн и теперь пытаетесь натянуть его на всё остальное, мужественно решая проблемы на ровном месте. » Схема будет трансформирорваться впоследствии на сайты и т.д. На ней отрабатывается работа филиалов , это тестовая конфигурация. Я согласен что необходим виртуальный маршрутизатор, я и ранее подумывал об VMware там больше возможностей. Я предполагал что Hyper-v не сможет работать с виртуальными маршрутизаторами. Уже рассматриваю pfSense Но это позже Но сейчас я хочу понять как исправить проблему Раньше все работало. Но ведь теперь групповые поитики применяютяс и без ошибок, хотя тест DFS сигнализирует об ошибке в базе данных , repadmin /showreps сигнализирует об успешной репликации, но при этом на добавочном контроллерерв папке Sysvol отсутсвует каталог Groupe Policy В крайнем случае переставлю добавочный контроллер, прежде понизив его до роли рядового сервера. если это не ришит проблему произведу захват ролей от хозяина опреаций и переставлю его,в общем есть варианты, но зачем, считаю лучше понять проблему чтоб впоследсвии избежать ее повторения Что касается эталона времени то это было сразу сделано. Ошибка была в том что что применил политику написанную для эталона для обоих контроллеров,так как менял настройки Default Domain Policy , поэтому политики для клиентов сервера времени включенные в Default Domain Controllers Policy , не отработали на добавочном контроллере так как как он находится в контейнере Domain Controller, позже уже создал внутри этого контейнера другой и к нему применил политику эталона времени и туда поместил эмулятор PDC, просто забыл чем глубже политика , тем выше ее приоритет. настройки синхронизации c хостовой машиной были убраны везде, кроме виртуальной машины, которая является эмулятором PDC. Клиенты автоматически получили время с эталона Да еще посчитал что при выключении хостоой машины виртуальные автоматически сохранятся и при включении возобновят работу, но произошла рассинхронизаци во времени так что пришлось менять и дату и время. |
Цитата:
Цитата:
Цитата:
|
Да я сразу исправил и команды показывают что клиент синхронизируется с эталоном
В журнале DNS 4004, 4015 В системном 3 - FilterManager - Код:
Диспетчеру фильтров не удалось подключиться к тому "\Device\HarddiskVolume16". Этот том будет недоступен для фильтрации до выполнения перезагрузки. Конечное состояние было 0xC03A001C.Код:
Не удалось установить связь DCOM с компьютером 10.0.0.2 через какой-либо из настроенных протоколов; запрос от PID 830 (C:\Windows\system32\dcdiag.exe).Код:
RoutingDomainID {00000000-0000-0000-0000-000000000000}: не удалось добавить интерфейс {54C60DB7-274D-4372-83F7-BAFD07874511} с помощью диспетчера маршрутизации для протокола IPV6. Произошла следующая ошибка: Не удается завершить выполнение функции.Код:
Не удается найти описание для идентификатора события 56 из источника Application Popup. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.Код:
{Восстановленный куст реестра} Куст реестра (файл) "\SystemRoot\System32\Config\RegBack\SYSTEM" был поврежден и восстановлен. Возможно, некоторые данные были утеряны.Код:
Служба DHCP не смогла обнаружить папку для авторизации сервера.На добавочном КД то же самое и еще 7009 - Service Control Manager Код:
Превышение времени ожидания (30000 мс) при ожидании подключения службы "Репликация файлов". |
Цитата:
и время настраивается через реестр только на PDC-emulator. что, зачем и как вы сделали - гадайте сам. Цитата:
оставьте АД в покое, пока не будуте понимать что вы делаете. а вы, увы и ах, похоже совсем не понимаете что делаете. Цитата:
у филиальных КД будет один интерфейс и один маршрут (общий случай), а не то месиво настроек, которое есть сейчас у вас. Цитата:
windows server 2003+RRAS (1*vCPU+256MB) вполне разрулит вам маршрутизацию этого теста. есть варианты проще - с KWF. в общем вы неправильно смоделировали неправильную инфраструктуру, при этом понаделали дополнительных ошибок. мой совет - это удалять. потом делать правильно, сперва подумав. |
Насчет системных журналов - я не вижу ошибок, связанных с репликацией. Как вариант - перезапустите службу dfsr на контроллерах, далее - смотрите ошибки.
Цитата:
|
Цитата:
пусть даже несколько интерфейсов, но тогда их нужно как-то корректно настраивать. сообщить АД у неё есть какая-то топология с каким-то сайтами, сабнетами, нарисовать ей топологию репликации (ну или понадеяться на KCC). потом разобраться с DNS'ами, понять что нужно регать, что не нужно, какие интерфейсы обслуживаются. это всё дело получаса, в общем-то, но начать то нужно с этого. |
Цитата:
|
Цитата cameron:
Цитата:
PDC-emulator является эталоном и незачем реестр трогать Настраивал через Groupe Policy и все прекрасно работает за исключением ошибки которую допустил(ну и потом исправил) Реестр не трогал. Считаю В реестр нужно вмешиваться только в крайнем случае. Я заметил в ваших постах только и слышится то не умеет, этого не понимает, оставьте пож это при себе, если хотите помочь помогите,уважайте участников форума, не все считают себя специалистами поэтому и просят совета Цитата User001: Цитата:
|
maslinaV, вы пробовали перезапускать dfsr? Ошибки появляются? Попробуйте посмотреть в отладочном логе %windir%/debug/dfsr****.log
Цитата:
|
Я по вашему совету уже настраиваю pfsense
Ссылки изучу. Но я уже понизил роль проблемного Контроллера до рядового сервера (правильнее было переустанвоить заново систему) и заново ввел в домен и сделал 2-м КД, после этого нужно было бы захватить роли , и проделать то же самое с другим КД, чтобы сохранить Глобальный каталог Ничего не получилось, но после увиденных логов , появились мысли, буду что нибудь пробовать Позже их выложу Что успел просмотреть так это удаленные параметры реестр и сообщение что их не нужно было удалять, но как ключи реестра исчезли пока не знаю log файлы хранятся в формате *.gz Спасибо позже напишу |
Решение Решение проблемы по отсутствию в общем доступе папок Sysvol и NetLogon Статьи для изучения 1. Как перестроить дерево SYSVOL и его содержимое в домене. (How to rebuild the SYSVOL tree and its content in a domain) 2. Использование ключа реестра BurFlags, чтобы повторно инициализировать (то есть установить исходный режим работы) службы Репликации файлов D2 и D4. (Using the BurFlags registry key to reinitialize File Replication Service replica sets) 3. DFS Репликация: Как диагностировать отсутствие ресурсов общего доступа SYSVOL и Netlogon (статья 2958414) (DFS Replication: How to troubleshoot missing SYSVOL and Netlogon shares) 4. How to force an authoritative and non-authoritative synchronization for DFSR-replicated SYSVOL (like "D4/D2" for FRS) (Как вызвать принудительную или непринудительную синхронизацию для DFSR-реплицированной SYSVOL (подобно "D4/D2" для FRS)) 5. The event ID 2104 is logged in the DFS Replication log on a downstream server when the DFS Replication service stops (Событие ID 2104 записанное в журнале Репликация DFS на нижестоящем сервере, когда служба Репликация DFS остановлена) Код:
Попытка выполнить непринудительную синхронизацию Как выполнить непринудительную синхронизацию DFSR-реплицированного SYSVOL (подобно "D2" для FRS) 1. С помощью оснастки ADSIEDIT.MSC измените следующее значение отличительного имени (DN) и атрибут на каждом из контроллеров домена, которые Вы хотите сделать не авторитетными (не полномочными), то есть на всех Контроллерах домена: CN=SYSVOL Subscription, CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<the server name>,OU=Domain Controllers,DC=<domain> msDFSR-Enabled=FALSE Если контроллеров домена много, топология репликации неизвестна, да еще и мы не знаем, на каком именно контроллере произошли эти самые изменения? Очевидно, нужно принудительно заставить каждый контроллер домена запросить изменения у всех своих партнеров по репликации. (Читал рекомендации - выполнить эту процедуру дважды, но пояснений не видел почему) Код:
repadmin /syncall officeserver /Adp2. Выполните следующую команду c повышенными привилегиями командной строки на тех же серверах, которые Вы устанавливали как не авторитетные (не заслуживающие доверия, неполномочные): DFSRDIAG POLLAD PollAD - Запуск синхронизации с глобальным хранилищем информации в доменных службах Active Directory DFSRDIAG PollAD [/Member:name] Запускаем на каждом Контроллере домена DFSRDIAG PollAD или с ключом [/Member:name] на любом из Контроллеров домена, указывая имена Контроллеров домена Код:
DFSRDIAG PollAD /Member:OfficeServerКод:
Код события 4114Код:
msDFSR-Enabled=TRUE- Выполним поочередно команды на эмуляторе PDC Если контроллеров домена много, топология репликации неизвестна, да еще и мы не знаем, на каком именно контроллере произошли эти самые изменения? Очевидно, нужно принудительно заставить каждый контроллер домена запросить изменения у всех своих партнеров по репликации. И желательно выполнить эту процедуру дважды. Код:
repadmin /syncall officeserver /Adp 6. Выполните следующую команду c повышенными привилегиями командной строки на тех же серверах, которые Вы устанавливали как не авторитетные (не заслуживающие доверия, неполномочные): Код:
DFSRDIAG POLLADКод:
DFSRDIAG PollAD /Member:OfficeServerКод:
Код события 4614msDFSR-Enabled=TRUE и после принудительной синхронизации с глобальным каталогом: Код:
Код события 2212В этой статье описание проблемы для Windows server 2003,2008,2008 R2 После неудачной попытки решил попробовать принудительную синхронизацию. Как выполнить принудительную синхронизацию DFSR-реплицированной SYSVOL (подобно "D4" для FRS) 1. В оснастке ADSIEDIT.MSC, измените следующие DN (Distinguished Name (отличительного имени)) и 2 атрибута на контроллере домена, который вы хотите сделать авторитетным (заслуживающем доверия) (предпочтительно выбрать PDC Emulator, который в большинстве случаев имеет более актуальные данных содержимого SYSVOL): Код:
Код:
msDFSR-Enabled=FALSECN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain> Код:
msDFSR-Enabled=FALSEКод:
repadmin /syncall officeserver /Ad4. Запустите(перезапустите) службу DFSR, на Контроллере домена заданным как авторитетный, перезапустите службу DFSR на других контроллерах домена: 5. Вы увидите событие ID 4114 в журнале сообщений DFSR указывая, что SYSVOL больше не реплицируется. Вы увидите сообщение ID 4114 в журнале сообщений других Контроллеров домена - указывающее, что SYSVOL больше не реплицируется на каждом из них Код:
Код события 4114Код:
msDFSR-Enabled=TRUEКод:
repadmin /syncall officeserverКод:
DFSRDIAG POLLADКод:
ID 4602Появится событие 2214 Код:
2214CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<each other server name>,OU=Domain Controllers,DC=<domain> Код:
msDFSR-Enabled=TRUEКод:
DFSRDIAG POLLADЗапсукаем команду Код:
net share |
| Время: 00:39. |
Время: 00:39.
© OSzone.net 2001-