Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Проблема с добавлением второго контроллера в текущий домен (http://forum.oszone.net/showthread.php?t=334580)

Gently 30-04-2018 00:00 2811314

Проблема с добавлением второго контроллера в текущий домен
 
Вложений: 1
Всем привет!

Мужики, помогите понять начинающему админу в чём дело и как решить эту проблему.

Проблема заключается в следующем:

Есть Win Server 2003, на нём AD (с примерно 30 пользователями на борту) и DNS.
Решил заменить его на Win Server 2016.

Для этого ввёл в текущий домен, перевел режим работы леса и домена "Win 2003srv" с 2000 до 2003.
Установил роль AD на новом сервере и перешел к моменту повышения сервера до уровня контролера домена, добавляю его в текущий лес, и после прохождения всех стандартных пунктов нажимаю установить, однако после прошествия минуты он постоянно выдает одну и ту же ошибку, а именно:

Сбой операции по следующей причине:

Не удалось связаться с контроллером для домена S-STAZ, содержащим учётную запись для данного компьютера. Сделайте компьютер участником рабочей группы и присоединитесь к домену до повторения попытки повышения роли.

" Отказано в доступе "

Как и писал ранее, сам Win Server 2016 уже в домене и захожу я на него под учёткой Администратора домена Win Server 2003.

Не знаю в какую сторону дебажить, перелазил кучу ресурсов и форумов, но не нашел решения проблемы.




ipconfig Win Server 2003

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : s-server
Основной DNS-суффикс . . . . . . : S-STAZ
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : S-STAZ

Подключение по локальной сети 4 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-E0-4C-F0-A6-FF
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.133
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.250
DNS-серверы . . . . . . . . . . . : 192.168.0.133
192.168.0.30


dcdiag Win Server 2003

C:\Documents and Settings\Администратор>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\S-SERVER
Starting test: Connectivity
......................... S-SERVER passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\S-SERVER
Starting test: Replications
......................... S-SERVER passed test Replications
Starting test: NCSecDesc
......................... S-SERVER passed test NCSecDesc
Starting test: NetLogons
* Warning BUILTIN\Администраторы did not have the "Access this computer

* from network" right.
[S-SERVER] An net use or LsaPolicy operation failed with error 1, Невер
ная функция..
......................... S-SERVER failed test NetLogons
Starting test: Advertising
......................... S-SERVER passed test Advertising
Starting test: KnowsOfRoleHolders
......................... S-SERVER passed test KnowsOfRoleHolders
Starting test: RidManager
......................... S-SERVER passed test RidManager
Starting test: MachineAccount
......................... S-SERVER passed test MachineAccount
Starting test: Services
......................... S-SERVER passed test Services
Starting test: ObjectsReplicated
......................... S-SERVER passed test ObjectsReplicated
Starting test: frssysvol
......................... S-SERVER passed test frssysvol
Starting test: frsevent
......................... S-SERVER passed test frsevent
Starting test: kccevent
......................... S-SERVER passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC0001B58
Time Generated: 04/29/2018 22:52:54
(Event String could not be retrieved)
......................... S-SERVER failed test systemlog
Starting test: VerifyReferences
......................... S-SERVER passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : S-STAZ
Starting test: CrossRefValidation
......................... S-STAZ passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... S-STAZ passed test CheckSDRefDom

Running enterprise tests on : S-STAZ
Starting test: Intersite
......................... S-STAZ passed test Intersite
Starting test: FsmoCheck
......................... S-STAZ passed test FsmoCheck


netdiag Win Server 2003

Netcard queries test . . . . . . . : Passed



Per interface results:

Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш 4

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : s-server
IP Address . . . . . . . . : 192.168.0.133
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.250
Dns Servers. . . . . . . . : 192.168.0.133
192.168.0.30


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.
No remote names have been found.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{82AB3F44-9EAB-40F2-B51F-D79F1B7A647E}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.0.13
3'.
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.0.30'. Please wait for 30 minutes for DNS server replication.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{82AB3F44-9EAB-40F2-B51F-D79F1B7A647E}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{82AB3F44-9EAB-40F2-B51F-D79F1B7A647E}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully


ipconfig Win Server 2016

C:\Users\Администратор.S-STAZ>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : s-server-dc
Основной DNS-суффикс . . . . . . : S-STAZ
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : S-STAZ

Адаптер Ethernet Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 00-1E-8C-C9-D3-42
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::64b3:a39e:e8b5:355b%4(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.30(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 29 апреля 2018 г. 20:57:20
Срок аренды истекает. . . . . . . . . . : 29 апреля 2018 г. 23:48:57
Основной шлюз. . . . . . . . . : 192.168.0.250
DHCP-сервер. . . . . . . . . . . : 192.168.0.250
IAID DHCPv6 . . . . . . . . . . . : 33562252
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-22-73-D4-83-00-1E-8C-C9-D3-42
DNS-серверы. . . . . . . . . . . : 192.168.0.133
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{4838E362-083C-437C-BD8C-3C9CCB2AEABF}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:6abd:c04:157f:b173:3809(Основной)
Локальный IPv6-адрес канала . . . : fe80::c04:157f:b173:3809%2(Основной)
Основной шлюз. . . . . . . . . : ::
IAID DHCPv6 . . . . . . . . . . . : 134217728
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-22-73-D4-83-00-1E-8C-C9-D3-42
NetBios через TCP/IP. . . . . . . . : Отключен

antiexpert1@twitter 30-04-2018 10:18 2811370

1) кто такой 192.168.0.30 ?
2) похоже дело в Single Label Domain

Gently 30-04-2018 15:18 2811420

192.168.0.30 собствено и есть Windows Server 2016, который я пытаюсь назначить как второй контроллер домена.

Возможно, прочитал статью, правда не совсем понял, а что можно сделать ?

antiexpert1@twitter 30-04-2018 15:30 2811423

Цитата:

Цитата Gently
192.168.0.30 собствено и есть Windows Server 2016, который я пытаюсь назначить как второй контроллер домена. »

уберите его из DNS до тех пор, пока он не станет контроллером домена.
Цитата:

Цитата Gently
Возможно, прочитал статью, правда не совсем понял, а что можно сделать ? »

вначале, нужно переименовать домен. потом попробовать ввести 2016

Перед переименованием - сделайте резервную копию!

Gently 30-04-2018 18:14 2811443

Вложений: 2
Из DNS убрал 192.168.0.30, теперь на Server 2003 и Server 2016 указан вручную DNS домен контроллера 192.168.0.133.

Извините за может глупый вопрос но:

По поводу переименования, на данный момент домен звучит как s-staz, мне необходимо переименовать его в любое другое,
или же обязательно надо поменять саму структуру, например s-staz.local или как-то иначе?

antiexpert1@twitter 30-04-2018 20:53 2811466

Цитата:

Цитата Gently
Извините за может глупый вопрос но: »

глупых вопросов не бывает.

Цитата:

Цитата Gently
По поводу переименования, на данный момент домен звучит как s-staz, мне необходимо переименовать его в любое другое,
или же обязательно надо поменять саму структуру, например s-staz.local или как-то иначе? »

у вас есть веб-сайт компании? если есть, как он называется?

Gently 30-04-2018 22:40 2811482

Сайт компании есть, но там совсем другой домен и он никак не связан с этим. Этот исключительно внутренний и локальный.

Gently 30-04-2018 22:53 2811483

Вложений: 3
Есть ещё один момент, который настораживает, возможно как-то связан с моей основной проблемой.

Полез я в групповые политики, дабы убедиться, что там всё в порядке и нет никаких запретов.

Так вот делаю я gpresult /r на Server 2016 и получаю следующее:

Пользователь "S-STAZ\Администратор" не имеет данных RSOP

Что точно это значит непонятно

Далее попробовал gpupdate тут же, и получил следующее:

___________________________________________________________
C:\Users\Администратор.S-STAZ>gpupdate
Выполняется обновление политики...

Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе. Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.
Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:

Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.

Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.
_____________________________________________________________

В логах видно следующее:

Group Policy 1129


Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе. Если это сообщение не появляется в течение нескольких часов, обратитесь к администратору.
+ System

- Provider

[ Name] Microsoft-Windows-GroupPolicy
[ Guid] {AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}

EventID 1129

Version 0

Level 2

Task 0

Opcode 0

Keywords 0x8000000000000000

- TimeCreated

[ SystemTime] 2018-04-30T16:02:54.994271700Z

EventRecordID 3812

- Correlation

[ ActivityID] {61A46DAB-64E4-4A9A-86DD-214BF418FFAB}

- Execution

[ ProcessID] 1032
[ ThreadID] 540

Channel System

Computer s-server-dc.S-STAZ

- Security

[ UserID] S-1-5-18


- EventData

SupportInfo1 1
SupportInfo2 2032
ProcessingMode 0
ProcessingTimeInMilliseconds 1625
ErrorCode 1222
ErrorDescription Сеть отсутствует или не запущена.



Group Policy 1106

Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.


+ System

- Provider

[ Name] Microsoft-Windows-GroupPolicy
[ Guid] {AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}

EventID 1006

Version 0

Level 2

Task 0

Opcode 1

Keywords 0x8000000000000000

- TimeCreated

[ SystemTime] 2018-04-30T16:02:55.803541800Z

EventRecordID 3813

- Correlation

[ ActivityID] {836F6E86-5C90-4130-9157-B26DB896FC63}

- Execution

[ ProcessID] 1032
[ ThreadID] 2516

Channel System

Computer s-server-dc.S-STAZ

- Security

[ UserID] S-1-5-21-4010269459-853873740-589801025-500


- EventData

SupportInfo1 1
SupportInfo2 6135
ProcessingMode 0
ProcessingTimeInMilliseconds 781
ErrorCode 49
ErrorDescription Неправильные учетные данные
DCName



nslookup отрабатывает как надо, пинги проходят , имена резолвятся.
Учётка встроенного Администратора, состоящего во всех необходимых группах, что же такое.
Может в этом и есть корень проблемы,подскажите, из-за чего может такое происходить?

antiexpert1@twitter 30-04-2018 23:00 2811484

Цитата:

Цитата Gently
Так вот делаю я gpresult /r на Server 2016 и получаю следующее:
Пользователь "S-STAZ\Администратор" не имеет данных RSOP »

первое - не работайте под учётной записью администратор. создайте копию Администратора и работайте под ней.
второе - посмотрите историю ошибок - когда появилась первая ошибка о групповых политиках? на других компьютерах тоже самое?
а так да, это тоже может быть источником проблем.

Gently 30-04-2018 23:09 2811487

По поводу учётки Администратора понял, учту это на будущее. Спасибо.

К сожалению всю историю этого сервера не знаю, взял его на обслуживание относительно недавно.
Журналы зачищались и последнее что я видел было несколько дней назад.

Проблема возникает на всех компьютерах, которые находятся в домене, за исключением самого контроллера домена.
На нем эта команда отрабатывает.

Подскажите как с этим бороться?

Gently 02-05-2018 03:24 2811656

Удалось решить проблему самостоятельно.

Оказывается всё дело было в групповых политиках, накрученных на Win Server 2003.

После сброса схемы

dcgpofix /ignoreschema

всё заработало как надо.

Результатирующая политика стала появляться успешно на всех рабочих станциях.

Windows Server 2016 также успешно добавился как второй контроллер домена.

Всем большое спасибо за советы и уделенное время.

Тему можно закрывать.

antiexpert1@twitter 02-05-2018 08:43 2811674

Gently, спасибо, что поделились решением!


Время: 13:48.

Время: 13:48.
© OSzone.net 2001-