Дополнительный контроллер домена, много проблемм
 

Здравствуйте!

В логе событий много ошибок. Они давно и как-то все работает. Надо исправлять а в чем проблема не пойму.

Вобщем был сервер с W2003EE. Поставили еще один. Руководствовался http://forum.oszone.net/post-366778-18.html. Вот залез в логи на втором сервере.
Во первых в раздере Applications все было забито ошибками ID1030 от Userenv:

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1030
Date: 27.05.2006
Time: 12:50:38
User: NT AUTHORITY\SYSTEM
Computer: VIRIAL-SEC
Description:
Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Поискал как исправляется - на основном сервере прошелся по sysvol папкам и повыставлял там правильно разершения. Теперь пошло чередование двух сообщений через каждые 5 минут: 1030 и 1006:

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1006
Date: 27.05.2006
Time: 12:50:38
User: NT AUTHORITY\SYSTEM
Computer: VIRIAL-SEC
Description:
Windows cannot bind to ad.virial.ru domain. (Local Error). Group Policy processing aborted.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Далее... В систем несколько раз появилось:

Event Type: Error
Event Source: DhcpServer
Event Category: None
Event ID: 1059
Date: 27.05.2006
Time: 12:01:58
User: N/A
Computer: VIRIAL-SEC
Description:
The DHCP service failed to see a directory server for authorization.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 3a 20 00 00 : ..

И в DNS группа сообщений:

Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4015
Date: 27.05.2006
Time: 11:59:36
User: N/A
Computer: VIRIAL-SEC
Description:
The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is "". The event data contains the error.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 51 00 00 00 Q...

Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4004
Date: 27.05.2006
Time: 11:59:36
User: N/A
Computer: VIRIAL-SEC
Description:
The DNS server was unable to complete directory service enumeration of zone .. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is "". The event data contains the error.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2a 23 00 00 *#..

Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4004
Date: 27.05.2006
Time: 11:59:36
User: N/A
Computer: VIRIAL-SEC
Description:
The DNS server was unable to complete directory service enumeration of zone _msdcs.ad.virial.ru. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is "". The event data contains the error.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2a 23 00 00 *#..

Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4004
Date: 27.05.2006
Time: 11:59:36
User: N/A
Computer: VIRIAL-SEC
Description:
The DNS server was unable to complete directory service enumeration of zone 8.168.192.in-addr.arpa. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is "". The event data contains the error.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2a 23 00 00 *#..

Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4004
Date: 27.05.2006
Time: 11:59:36
User: N/A
Computer: VIRIAL-SEC
Description:
The DNS server was unable to complete directory service enumeration of zone ad.virial.ru. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is "". The event data contains the error.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2a 23 00 00 *#..


netdiag выдает вот какую строчку:

Domain membership test . . . . . . : Failed
[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.


Почему-то в DHCP IP этого второго сервера был добавлен в Reservations. Сейчас убрал, но 1030+1006 не унимаются.

Да, и еще, не нашел ни шары netlogon ни sysvol на втором контроллере. Она вроде по умолчанию должна создаваться. Вообще странно почему я был уверен что все установилось нормально...

Вобщем, помогите люди добрые!..

P.S.
И еще, если попытаться в ручную сделать репликацию из оснастки sites&serv, то для второго контроллера действие удается, а на первом выдается ошибка про не запущенную RPC (она ясное дело запущена)...

DNS функционирует нормально?
Это реально Ваш домен или локальный внутренний (если пересекается с внешним сушествующим, то "грабли" причем замаскированные и с часовым механизмом)

ДНС примерно так работает.
dcdiag /test:dns :

DC: virial-sec.ad.virial.ru
Domain: ad.virial.ru


TEST: Basic (Basc)
Error: No LDAP connectivity

TEST: Forwarders/Root hints (Forw)
Error: Root hints list has invalid root hint server: a.root-servers.net. (198.41.0.4)
Error: Root hints list has invalid root hint server: b.root-servers.net. (192.228.79.201)
Error: Root hints list has invalid root hint server: c.root-servers.net. (192.33.4.12)
Error: Root hints list has invalid root hint server: d.root-servers.net. (128.8.10.90)
Error: Root hints list has invalid root hint server: e.root-servers.net. (192.203.230.10)
Error: Root hints list has invalid root hint server: f.root-servers.net. (192.5.5.241)
Error: Root hints list has invalid root hint server: h.root-servers.net. (128.63.2.53)
Error: Root hints list has invalid root hint server: i.root-servers.net. (192.36.148.17)
Error: Root hints list has invalid root hint server: j.root-servers.net. (192.58.128.30)
Error: Root hints list has invalid root hint server: k.root-servers.net. (193.0.14.129)
Error: Root hints list has invalid root hint server: l.root-servers.net. (198.32.64.12)
Error: Root hints list has invalid root hint server: m.root-servers.net. (202.12.27.33)

TEST: Dynamic update (Dyn)
Warning: Dynamic update is enabled on the zone but not secure ad.virial.ru.

TEST: Records registration (RReg)
Network Adapter [00000007] Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller:
Error: Missing CNAME record at DNS server 192.168.8.1 :
e78db258-0e49-4d68-ab84-a20fbbb4c66a._msdcs.ad.virial.ru

Error: Record registrations cannot be found for all the network adapters

Это что? Почему нет LDAP и где оно должно быть?

А что значит "реально наш"? Домен virial.ru - наш. Для локальной сети завели ad.virial.ru. Это через NAT соединяется со внешней сетью, т.е. не нужно чтобы внешний мир знал об этом. Может где-нибудь в форвардсах проблеммы.

Вопросы:
1. viral.ru
1.1. DNS Ваш или провайдера.?
1.2. UNIX или WIN?

2. По самой структуре AD, DNS для зоны ad.viral.ru должен работать на контроллере домена.
2.1. Хоть один контроллер домена имеет доступ в интернет?
2.2. DNS сервер viral.ru делегировал полномочия на зону ad.viral.ru на DNS AD?

Кстати, у меня есть очень хороший документ "Проект развертывания AD для toyotabc.ru (TOYOTA | ООО «СП БИЗНЕС КАР»)"
Могу прислать, почитаете как развертывать БОЛЬШИЕ и ИЕРАРХИЧЕКИЕ AD системы.

Так... Есть компьютерная сеть на предприятии. Она соединяется с миром через сервер с win2k3ee, на котором развернута AD, DNS, DHCP (вовнурыть), и трансляция адресов NAT из RRAS. Это главный сервер. Недавно установили второй, слабее, как дублирующий для главного. Он поднят до DC, установленны службы DNS и DHCP (зоны поделил).
2.2 Нет это все на провайдере и он никак не знает о существовании домена ad.virial.ru. DNS на главном сервере для зоны ad.virial.ru конечно работает, иначе он в одиночку, без второго, так хорошо не работал бы. На этом сервере в форвардсах указан ближайший dns сервер провайдера.

Документ присылайте на Публикация адреса почтового ящика - Нарушение правил раздела форума п. 7 п. 5, буду весьма признателен.

Я думаю что надо разобрать затык с DNS.
Если есть какие-либо средства анализа трафика, воспользуйтесь ими.
Думаю Ваш главный сервер заваливает вышестоящий DNS сервер (или вообще корневой RU) кучей запросов.

Документ выслал.

Ну видимо да, заливает, в этом же и смысл forwardings? А как же иначе пользователи в сети могут обращаться, например, к ya.ru по имени? Кто его тогда в IP разрешит?

Документ получил, спасибо!

А что значат вот эти строки:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\VIRIAL-SEC
Starting test: Connectivity
The host e78db258-0e49-4d68-ab84-a20fbbb4c66a._msdcs.ad.virial.ru could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(e78db258-0e49-4d68-ab84-a20fbbb4c66a._msdcs.ad.virial.ru) couldn't be

resolved, the server name (virial-sec.ad.virial.ru) resolved to the IP

address (192.168.8.3) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... VIRIAL-SEC failed test Connectivity

Причем и на основном сервере то же самое:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\VIRIS-SRV
Starting test: Connectivity
The host 0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru) couldn't be

resolved, the server name (viris-srv.ad.virial.ru) resolved to the IP

address (192.168.8.1) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... VIRIS-SRV failed test Connectivity

Причем нашел этот результат dcdiag полугодовой давности - было то же самое.

Это вот e78db258-0e49-4d68-ab84-a20fbbb4c66a._msdcs.ad.virial.ru CNAME запись для второго сервера сервера на нем, а e78db258-0e49-4d68-ab84-a20fbbb4c66a._msdcs.ad.virial.ru тоже CNAME запись в той же зоне на главном сервере.

- По поводу DNS. Перенаправление запросов (forwarding), может, и полезно. Но реально, если DNS-сервер подключен к Интернет, более эффективным решением является создание на своей стороне кэширующего DNS-сервера (зона "." (hints)). Плюс, создается своя зона "virial.ru", которая пополняется либо от DHCP-сервера, либо от самих клиентов (это уж как настроите). Тогда основной сервер не будет гонять запросы на прова, а успешные результаты запомнит на некоторое время и будет возвращать без запроса наружу (а вообще, почитайте больше про DNS, чтобы понять, как он функционирует, и как ограничить его использование от злобных недругов...). Свою же зону будет резолвить сам. Без прова, у которого, скорее всего ваши компы как раз и не прописаны.

P.S. В общем, нужно построить схему работы DNS в сети и реализовать ее на практике.

IgorK прав.
Вам нужно почитать как об устройстве DNS, так и об его особенностях реализации под Win2k - Win2k3.
Тяжело давать Вам рекомендации, придется в эхе изложить содержимое нескольких книг.
Вобще AD это ооочень большая и сложная конструкция и без представления как работаю службы ее составляющие, Вы все время будете испытывать затруднения.

Книги ждут Вас :)

Об устройстве и наслышан и читал, да и понимания по основным моментам думаю есть. Об особенностях много меньше. Да, AD очень большая и сложная... но именно по этому тотально чтение литературы мало результативно. Надо как раз из практики и исходить, причем здесь - система-то не сложная, замкнутая по большому счету. Есть ошибки, надо их анализировать, задавать вопросы, разбираться и тем самым осваивать эти самые тонкости, которые и в KB не все найдешь.
Так что может не будем сдаваться пока, а попробуем что-то предпринять с ошибками 1006?

Молчим, ладно, тогда более конкретный вопрос: если пропали/пропадают шары SYSVOL и NETLOGON, то как их правильнее восстановить? В ручную, почитав соответствующую статью, или какая-то утилита есть, которая восстанавливает эти вещи? RepAdmin например это не делает? В ручную вроде бы пару дней назад выставлял доступ. Утром сервак опять таинственным образом перезагрузился гад, и этих шар опять нет. Просветите пожалуйста!

Самоизничтожение Netlogon - ни разу не встречал. Иногда народ по глупости руками права режет - это да, бывает.
Востанавливать руками, а чем еще.
Рекомендую Ваш Вопрос переместить в ветку Windows, может там чего умное скажут.

Опять решаю проблему основательно - переустановкой :(
Удалил контроллер с помошью http://support.microsoft.com/?kbid=216498 (dcpromo не отработала - не могла связаться с другим контроллером). Переустановил систему. Попробую постепенно подымать службы. Начну с DHCP и DNS, а не будет проблемм попробую снова поднять по контроллера домена. Кстати, вопрос о ДНС, я правильно делаю, выбирая stub zone при создании этого дополнительного днс сервера? У меня тут сомнения, хотя остальные два варианта вроде бы совсем не подходят.



П.С. : Доктор Щеглов предупреждает - вовремя поднятый контроллер не считается упавшим!

Еще два вопроса...

На основном сервере сделал netdiag:


LDAP test. . . . . . . . . . . . . : Failed
[FATAL] Cannot do Negotiate authenticated ldap_bind to 'viris-srv.ad.virial.ru': Invalid Credentials.
[FATAL] No LDAP servers work in the domain 'VIRIAL'.

Почему так? Фаервол на внутреннем интервейсе по идее отсутствует. Порт 389 закрыт. LDAP по умолчанию должен быть или его устанавливать, настраивать нужно?


В dns, в прямой зоне ad.virial.ru много где встречается указание на второй сервер, который я сегодня переустановил и он пока не контроллер. Например в ad.virial.ru\_sites\dafault-ferst-site-name\_tcp тир srv записи для _gc, _ldap и _kerberos с именем второго сервера. Что-то туту не так... Что делать? Менять везде на viris-srv?

AD это помесь DNS + LDAP, причем с "улучшениями" Microsoft. Например в AD используется аутентификация при DNS операциях, однако по стандартам MS.
Думаю горе из-за Идентичности Внутреннего+внешнего имени + Доступа сервера в интернет (если память мне не изменяет, то при поднятии AD подставляется домен local - именно из-за этого).
Картина приблизительно такова.
При регистрации нового сервера Контроллер домена лезет на DNS провайдера (считая его MS-ким, т.е. поддерживающим аутентификацию) шарит там стандартный порт LDAP, для внесения изменений, находит "ХУХ" и громко жалуется на жизнь.


Это горе AD если инсталляция чего-либо прошло не корректно, то "по углам" остается очень много всякого г, вычистить которое практически не возможно.

А мне кажется дело не в провайдере. Внутренний домен связан с ним только форвардсами, т.е. он перенаправляет запросы на провайдера, если не может на них сам ответить. Имя домена, зарегистрированного в интернете и имя внутреннего домена различаются приставкой ad. Или этого различия не достаточно. Оба внутренних сервера - MS, т.е. между ними недопонимания в стандартах быть не может. Давайте обстагируемся от внешней сети, только не забывая про RRAS, который может тут во что-то вмешаться. Два сервера, на одном проблемы, с LDAP например, на втором проблемы с репликацией на главный сервер, возможно как раз из-за этого LDAP. LDAP - способ аутентификации в AD, наподобие kerberos, так вроде? Но если он атрофировался, хз почему, то без него то можно официально обходиться? Т.е. можно ли взять и где-нибудь снять галочку "Enable LDAP"? Что-то я такого не встречал.

И все таки, что с этими записями в DNS делать? Уточню, там везде только записи с именем второго сервера, который пока еще не сервер. Я бы там вполне был бы рад увидеть еще и все то же самое, но с именем собственно теперь единственного сервера, но везде присутствует только второй. Врядли это есть хорошо.

И опять про DNS. dcdiag выдает вот что:

Doing initial required tests

Testing server: Default-First-Site-Name\VIRIS-SRV
Starting test: Connectivity
The host 0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru) couldn't be

resolved, the server name (viris-srv.ad.virial.ru) resolved to the IP

address (192.168.8.1) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... VIRIS-SRV failed test Connectivity

Но такого хаста - "0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru" в dns по этому месту нет. Где могла сохраниться эта ссылка, и как её удалить?


Фак, ничего не пойму, только что полез в оснастку ADSI Edit, там коннектиться надо к серверу и в настройках коннекта написано "LDAP://viris-srv.ad.virial.ru/Domain", т.е. соединение производится через этот LDAP. Ага, попробовал со второго компа то же так вот подключиться - опа, тоже подключается... Т.е. лдап-то жив! Что за фигня такая!..

------------------------------------------------------------------------------------------------------------------------------------------------

Так, кое-что исправил. Как-то поманипулировав адресами ДНС серверов в настройках внутренней сетевой карты на главном сервере, установкой динамического обновления для зон в secure only, пару раз перезагрузившись и перезапустив netlogon, добился добвавления всех нужных srv записей для основного сервера (еще dcdiag /fix и netdiag /fix делал, так что не знаю что конкретно помогло). теперь dcdiag на нем все хорошо выдает, а netstat немного ругается на dns и ldap, но это уже неплохо. Теперь когда жмешь "Replicate Now" в сайтах и сервисах ошибки не выдается на обоих серверах. Череда ошибок 1030, 1058 и 1097(при загрузке) прекратилась. Во всяком случае уже пол часа как тихо, тогда как ранее каждые 5 минут долбились.

Осталось разобраться почему не шарятся SYSVOL и NETLOGON, а когда их шаришь в ручную, то при перезагрузке Net Logon шаринг с них снимается. Помогите кто-нибудь советом пожалуйста!
-------------------------------------------------------------------------------------------------------------------------------------------------
В событиях FRS вот что:

Event Type: Warning
Event Source: NtFrs
Event Category: None
Event ID: 13565
Date: 03.06.2006
Time: 14:46:15
User: N/A
Computer: VIRIAL-SEC
Description:
File Replication Service is initializing the system volume with data from another domain controller. Computer VIRIAL-SEC cannot become a domain controller until this process is complete. The system volume will then be shared as SYSVOL.

To check for the SYSVOL share, at the command prompt, type:
net share

When File Replication Service completes the initialization process, the SYSVOL share will appear.

The initialization of the system volume can take some time. The time is dependent on the amount of data in the system volume, the availability of other domain controllers, and the replication interval between domain controllers.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Короче буду ждать и держать пальцы...

Вспомнил тут что удалил в Computer Managment динамический раздел. Он гигабайт 40 занимал. Я иногда винчестеры ко второму контроллеру цепляю и с чего-то решил что эта волюмя осталась после такого подключения. Блин... а это наверное шара sysvol была... Не думал что она так создается. Значит её в ручную действительно не прописать. Посмотрим востановится ли она теперь после такого восстановления.
--------------------------------------------------------------------
нет, туплю диск типа dynamic тут не при чем. совсем блин запутался...

2 NordWest

ссылочка вам пригодится : http://support.microsoft.com/default...b;en-us;257338

LDAP и kerberos - это протоколы..... и никак не "способы аутентификации "


о таком инструменте как : DNSLint слышали ? ОН должен вам помочь !
описание и использование здесь : http://mdforum.dynu.com/article533.html

если не трудно приведите результат выполнеия ipconfig /all с контроллеров .....

RaZZoRRoСпасибо, прочитал, почти все понял, и все что понял в порядке.

да, грамоте я не обучен...

Теперь слышал.

Попробовал сделать команду "dnslint /ad 169.254.32.1 /s 169.254.10.22" только со своими айпи. Все вроде красиво, только в Note пишет:
One or more DNS servers is not authoritative for the domain
Это что значит?

Буду дальше пробовать тестировать. Спасибо за инструмент!

Не трудно, пожалуйста:

с viris-srv:



Windows IP Configuration



Host Name . . . . . . . . . . . . : viris-srv

Primary Dns Suffix . . . . . . . : ad.virial.ru

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : Yes

WINS Proxy Enabled. . . . . . . . : Yes

DNS Suffix Search List. . . . . . : ad.virial.ru



Ethernet adapter Local Area Connection: // внутренний интерфейс



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection

Physical Address. . . . . . . . . : 00-04-23-B0-8D-FB

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.8.1

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . :

DNS Servers . . . . . . . . . . . : 192.168.8.1

195.208.122.1



Ethernet adapter Local Area Connection 2: // внешний интерфейс



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapter (10/100)

Physical Address. . . . . . . . . : 00-04-23-B0-8B-AC

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 195.208.122.8

Subnet Mask . . . . . . . . . . . : 255.255.255.192

Default Gateway . . . . . . . . . : 195.208.122.14

DNS Servers . . . . . . . . . . . : 195.208.122.8

195.208.122.1

195.208.122.14

Primary WINS Server . . . . . . . : 192.168.8.1

С virial-sec:

Windows IP Configuration



Host Name . . . . . . . . . . . . : virial-sec

Primary Dns Suffix . . . . . . . : ad.virial.ru

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : ad.virial.ru

virial.ru



Ethernet adapter Local Area Connection:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller

Physical Address. . . . . . . . . : 00-15-F2-90-E5-28

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.8.3

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.8.1

DNS Servers . . . . . . . . . . . : 192.168.8.1

2 NordWest

195.208.122.1 - стоит убрать и еще раз проверить DNSLint

Хорошо RaZZoRRo, попробую на днях, когда перезагрузиться удастся.

Попробовал, ничего хорошего из этого не вышло. Поставил перезагрузку на утро сегоднешнее. С утра сеть не работала пока не добавил обратно этот днс и не перезагрузился. У пользователей были проблемы с заходом на компьютеры (регистрацию запрашивало). DNS errors id: 4015, 4004; в System:
Event Type: Warning
Event Source: NETLOGON
Event Category: None
Event ID: 5782
Date: 08.06.2006
Time: 6:14:06
User: N/A
Computer: VIRIS-SRV
Description:
Dynamic registration or deregistration of one or more DNS records failed with the following error:
No DNS servers configured for local system.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 7c 26 00 00 |&..

Вобщем хз. Шары SYSVOL и NETLOGON не шарятся, второй сервер по сути контроллером не становится, основной DNS работает не правильно. :( Видел где-то на английском рекомендацию по удалению внешних днс адресов из свойств подключения, и видимо нужно этого добиться, но при этом что-то еще требуется чтобы сеть работала.


Да, и еще, при перезагрузке NetLogon сервиса, когда шары проподают, появляются сообщения:
Event Type: Warning
Event Source: MRxSmb
Event Category: None
Event ID: 3019
Date: 08.06.2006
Time: 12:08:54
User: N/A
Computer: VIRIAL-SEC
Description:
The redirector failed to determine the connection type.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 04 00 4e 00 ......N.
0008: 00 00 00 00 cb 0b 00 80 ....Ë..?
0010: 00 00 00 00 84 01 00 c0 ....„..À
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........

Попробую теперь заменить внешний IP в свойствах подключения на 127.0.0.1, если получится. DNS биндиться еще и на loopback не захотел - только на один из нормальных IP. Посмотрю в субботу с утра после перезагрузки...

Нужно привязать DNS-сервер только к внутреннему интерфейсу, если не предполагаются запросы снаружи. Затем поставить настройки DNS-сервера в клиенте на IP-адрес данного внутреннего интерфейса. А насчет "One or more DNS servers is not authoritative for the domain" - сервер должен быть авторизован в LDAP-каталоге для нормальное работы с использованием защищенных соединений. Давно не занимался настройкой AD, но вроде это делается простановкой соответствующей галочки.

Привязал, ко внутреннему, убрал из настроек сетевого интерфейса внешний IP, добавил 127.0.0.1 вторым, перезагрузился. Вроде все нормально. Только nslookup и с основного сервера, и с дополнительного контроллера выдает:
***Can't find server name for address 192.168.8.1: Non-existent domain
Default server: UnKnown
Address: 192.168.8.1
>

И еще, были на внутреннем интерфейсе основного контроллера еще NWLink'овсние какие-то вещи, но отключенные (без галочек), при анинсталле выдало синий экран 0x000000d1

В журнале появилась ошибка:

Event Type: Error
Event Source: NtFrs
Event Category: None
Event ID: 13568
Date: 18.06.2006
Time: 9:55:02
User: N/A
Computer: VIRIS-SRV
Description:
The File Replication Service has detected that the replica set "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" is in JRNL_WRAP_ERROR.

Replica set name is : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Replica root path is : "c:\windows\sysvol\domain"
Replica root volume is : "\\.\C:"
A Replica set hits JRNL_WRAP_ERROR when the record that it is trying to read from the NTFS USN journal is not found. This can occur because of one of the following reasons.

[1] Volume "\\.\C:" has been formatted.
[2] The NTFS USN journal on volume "\\.\C:" has been deleted.
[3] The NTFS USN journal on volume "\\.\C:" has been truncated. Chkdsk can truncate the journal if it finds corrupt entries at the end of the journal.
[4] File Replication Service was not running on this computer for a long time.
[5] File Replication Service could not keep up with the rate of Disk IO activity on "\\.\C:".
Setting the "Enable Journal Wrap Automatic Restore" registry parameter to 1 will cause the following recovery steps to be taken to automatically recover from this error state.
[1] At the first poll, which will occur in 5 minutes, this computer will be deleted from the replica set. If you do not want to wait 5 minutes, then run "net stop ntfrs" followed by "net start ntfrs" to restart the File Replication Service.
[2] At the poll following the deletion this computer will be re-added to the replica set. The re-addition will trigger a full tree sync for the replica set.

WARNING: During the recovery process data in the replica tree may be unavailable. You should reset the registry parameter described above to 0 to prevent automatic recovery from making the data unexpectedly unavailable if this error condition occurs again.

To change this registry parameter, run regedit.

Click on Start, Run and type regedit.

Expand HKEY_LOCAL_MACHINE.
Click down the key path:
"System\CurrentControlSet\Services\NtFrs\Parameters"
Double click on the value name
"Enable Journal Wrap Automatic Restore"
and update the value.

If the value name is not present you may add it with the New->DWORD Value function under the Edit Menu item. Type the value name exactly as shown above.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Добавил в реестре этот ключ, перезагрузился...


На доп. контроллере:

Event Type: Warning
Event Source: NtFrs
Event Category: None
Event ID: 13509
Date: 18.06.2006
Time: 10:23:01
User: N/A
Computer: VIRIAL-SEC
Description:
The File Replication Service has enabled replication from VIRIS-SRV to VIRIAL-SEC for c:\windows\sysvol\domain after repeated retries.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Пара минут и шары SYSVOL и NETLOGON появились.

Т.е. все было действительно в привязке DNS сервера?! Я уже пробовал убирать внешний IP из списка ДНС на внутреннем интерфейсе. В прошлый раз это привело к неработоспособности контроллера. Почему же сейчас все получилось? NWLink'овские привязки виноваты?.. Или 127.0.0.1?.. Одни вопросы...

Но главное - все получилось! Спасибо всем, помогавшим советами! :)

Проблема была в том, что DNS-сервер слушал на одном интерфейсе. А обращались все к нему на другой интерфейс, где его и в помине не было...