Помогите разобраться с AD windosw server 2012 R2
 

Всем доброго времени суток , пред история такая есть домен простенький с одним контроллером домена на AD windosw server 2012 R2. Железяка на которой он был установлен достаточно мощная и было решено ее более рационально использовать то есть поставить туда гипервизор ( выбор пал на vmwary ESXi ) и вернуть туда контроллер уже виртуальный, для чего физическая машина контроллер домена ( server2014) была виртуализирована средствами vmware, после этого с сервака было все снесено, установлен гипервизор и контроллер домена возвращен туда уже виртуальным. И всебы ничего но после виртуализации которая кстати сказать прошла гладко без ошибок сервак стал жутко тормозить. Но теперь то у меня гипервизор поэтому было принято решение поднять дополнительный кд лучше два (adof-01 и adof-02) убрать со старого сервака( server2014) субд , передать роли фсмо и спокойненько понизить его до обычного и отправить на пенсию. Так вот допоннительные кд были подняты роли фсмо переданы adof-02 ( все прошло гладко и без ошибок) Запустил AD Replication Status Tool 1.0 там вроде все гут репликация идет между всеми тремя ошибок нет. И тут я решил перед тем как понизить старый (server2014) до рядового просто его потушить, два других кд ( adof-01 и adof-02) были в сети, и начался каллапс все шары вдруг стали недоступны защита 1с использующая dcom перестала работать, пытаюсь на новых контроллерах открыть любые оснастки связанные с доменам пишет что такой домен не найден или не существует, вобщем домен пропал. Запустил старый контроллер все заработало. Подскажите в чем может быть проблема, запускаю netdom query fsmo на всех трех контроллерах показывает что все пять ролей принадлежать adof-02 как и положено новому контроллеру,репликация проходит, так какова ражна без старого контроллера ничего не работает ?

Забыл написать все три кд естественно являются глобальныими каталогами

Результат dcdiag на adof-01 прилагаю.

c репликацией какой то косяк все таки

mik_kovrov,
Не устраивайте из форума чат, если после Вашего поста не было сообщений добавляйте информацию в свое предыдущее сообщение
Вывод команд ipconfig /all и repadmin /showrepl со всех КД покажите.

похоже проблема начинает вырисовываться, обнаружил что на новых кд нет расшареных папок sysvol и netlogon и в реестре в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters нехватает подразделов , а причина в вирусняке пару лет назат бушевавшем в сети который в шарах метил папки скрытыми а вместо них создавал ярлыки, вирус был побежден шары очищены но вот в \SYSVOL\domain\Policies и \SYSVOL\domain\scripts на старом кд (server2014) вместо этих папок были ярлыки а сами паки сделаны скрытыми, все исправил но на новых кд этих папок совсем небыло, создал расшарил, что дальше делать как настроить репликацию?

Какие будут соображения? проще все снести и новый домен поднять? Я кстати не всю историю описал, изначально домен был на 2008 серваках , было три кд, один безвозвратно был потерен дополнительный осталось два , был поднят еще один дополнительный на 2012 (server2014) , потом безвозвратно был потерен еще один кд основной, роли пришлось захватить серверу ( server 2014), потом стал хандрить последний кд на 2008, понизить неудалось в штатном режиме был просто выведен из эксплуатации, ссылки вычищены. Сейчас после виртуализации захондрил (server 2014) ну и дальше все как писал выше.

mik_kovrov,
На всех КД отключите ipv6 если Вы его не используете. На всех КД явно пропишите адреса DNS убрав записи вида 127.0.0.1.
Не надо создавать и расшаривать паку руками, она должны появиться сама когда закончится репликация и сервер станет полноценным контроллером домена.
Покажите вывод команд nslookup <имя домена>, nslookup SERVER2014, nslookup adof-01,nslookup adof-02 со всех КД.

v6 и 127.0.0.1 убрал, dns прописал, шары которые сделал руками убрал ,вот выводы команд:

SERVER2014

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Users\server2014>nslookup office1.****.ru
╤хЁтхЁ: server2014.office1.****.ru
Address: 192.168.4.3

╚ь*: office1.****.ru
Addresses: 192.168.4.5
192.168.4.9
192.168.4.3


C:\Users\server2014>nslookup server2014
╤хЁтхЁ: server2014.office1.****.ru
Address: 192.168.4.3

╚ь*: server2014.office1.****.ru
Address: 192.168.4.3


C:\Users\server2014>nslookup adof-01
╤хЁтхЁ: server2014.office1.****.ru
Address: 192.168.4.3

╚ь*: adof-01.office1.****.ru
Address: 192.168.4.5


C:\Users\server2014>nslookup adof-02
╤хЁтхЁ: server2014.office1.****.ru
Address: 192.168.4.3

╚ь*: adof-02.office1.****.ru
Address: 192.168.4.9


C:\Users\server2014>

ADOF-01

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Users\Администратор.OFFICE1>nslookup office1.****.ru
╤хЁтхЁ: server2014.office1.****.ru
Address: 192.168.4.3

╚ь*: office1.****.ru
Addresses: 192.168.4.3
192.168.4.9
192.168.4.5


C:\Users\Администратор.OFFICE1>nslookup server2014
╤хЁтхЁ: server2014.office1.****.ru
Address: 192.168.4.3

╚ь*: server2014.office1.****.ru
Address: 192.168.4.3


C:\Users\Администратор.OFFICE1>nslookup adof-01
╤хЁтхЁ: server2014.office1.****.ru
Address: 192.168.4.3

╚ь*: adof-01.office1.****.ru
Address: 192.168.4.5


C:\Users\Администратор.OFFICE1>nslookup adof-02
╤хЁтхЁ: server2014.office1.****.ru
Address: 192.168.4.3

╚ь*: adof-02.office1.****.ru
Address: 192.168.4.9


C:\Users\Администратор.OFFICE1>


ADOF_02

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Users\adof-02>nslookup office1.****.ru
╤хЁтхЁ: adof-02.office1.****.ru
Address: 192.168.4.9

╚ь*: office1.****.ru
Addresses: 192.168.4.5
192.168.4.9
192.168.4.3


C:\Users\adof-02>nslookup server2014
╤хЁтхЁ: adof-02.office1.****.ru
Address: 192.168.4.9

╚ь*: server2014.office1.****.ru
Address: 192.168.4.3


C:\Users\adof-02>nslookup adof-01
╤хЁтхЁ: adof-02.office1.****.ru
Address: 192.168.4.9

╚ь*: adof-01.office1.****.ru
Address: 192.168.4.5


C:\Users\adof-02>nslookup adof-02
╤хЁтхЁ: adof-02.office1.****.ru
Address: 192.168.4.9

╚ь*: adof-02.office1.****.ru
Address: 192.168.4.9


C:\Users\adof-02>

mik_kovrov,
Вывод команды dcdiag /v /a со всех КД покажите.

Похоже надо было вычистить все группы репликации в которые входили умершие кд и server2014 руками а потом поднимать новые кд, а сейчас как быть, старых групп репликации в оснастке DFS уже нет, есть только одна ноавя группа где все 3 нынешних кд.

mik_kovrov,
Сколько было КД до поднятия новых двух? Чистили ли метабазу после удаления мертвых КД?
Как Вы вывод консольных команд сохраняете? Там половина данных не читаемы. Если Вы используете перенаправление вывода, то запускайте команды и оболочки powershell тогда вывод будет более читаем.

до поднятия новых двух оставался 1 кд (server2014) он наверно пол года работал 1 и проблем с доменом не было, база чистилась ( вот по этой инструкцииhttp://winitpro.ru/index.php/2011/04...lity-ntdsutil/) и в днс все ссылки вычищались. Вывод консольных команд сохраняю dcdiag /v /a /f:d:\server2014.log если кодировку поменять на DOS все читается блокнотом. Пересохранил через powershell.

mik_kovrov,
Верните роли FMSO на старый сервер. Уровень домена у Вас какой? Домен изначально как какой версии ОС подымался?

Уровень домена Windows Server 2008 R2, подымался на Windows Server 2008 R2( хотя сейчас уже не вспомню возможно на Windows Server 2008 а потом уже повышал до R2), вернул роли fsmo server2014

Роли вернули обратно на старый сервер? Скрин консоли DFS Management раздела Replication->Domain System Volume покажите.

Да роли вернул обратно server2014 старому контроллеру , вот скрин dfs

1. Сделайте резервные копии всех КД
2. Выполните на КД server2014 authoritative synchronization for DFSR-replicated SYSVOL Вам нужен раздел How to perform an authoritative synchronization of DFSR-replicated SYSVOL (like "D4" for FRS)
3. После выполнения восстановления SYSVOL последовательно перезагрузите все КД.
4. Выполните команду repadmin /syncall на всех КД
5. С любого КД покажите вывод dcdiag /v /a

Сделал, не совсем правда понял нужно ли было перед началом всех процедур службу dfsr везде тушить, там в 4 и 10 пункте просят запустить ее у меня и до этого запущена была. выкладываю с server2014 , sysvol и netlogon появились на двух других кд.

Во сколько примерно выполняли эти действия, позже чем появились записи об ошибках или нет?
Сделал, »[/q]
WINS-адрес партнера: server2014
IP-адрес партнера: 192.168.4.3 »[/q]
Зачем Вам в сети WINS?
Ждите сутки потом запускайте dcdiag /v /a и смотрите какие ошибки остались и остались ли.

да позже выполнялись

он ненужен остался после экспериментов, хотел убрать вмести со старым контроллером

Ошибки репликации все равно остались. ,брендмауэр отключен на всех кд к 135 порту telnet цепляется, в чем же проблема?

Все проблема с репликацией тоже решилась, буду передавать роли и понижать старый кд до обычного, по результату отпишусь

Проблема ушла сама или что то сделали??

В папке C:\Windows\SYSVOL\sysvol\office1.***.ru\Policies обнаружил следы работы вируса, ярлычки вместо папок с политиками, исправил и через какое то время ошибка репликации пропала.

Роли FSMO передал ADOF-02 , но понизить старый кд SERVER2014 до рядового штатными средствами не удается вот ошибка

В журнале какая ошибка регистрируется?

Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 24.11.2015 15:35:09
Код события: 2022
Категория задачи:Репликация
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: server2014.office1.****.ru
Описание:
Роли хозяина операций, выполняемые этим сервером службы каталогов, не удалось передать следующему удаленному серверу службы каталогов.

Удаленный сервер службы каталогов:
\\ADOF-01.office1.****.ru

Это не позволяет ликвидировать этот сервер службы каталогов.

Действие пользователя
Выясните, почему удаленный сервер службы каталогов не может принять роли хозяина операций, либо вручную передайте все роли, выполняемые этим сервером службы каталогов, удаленному серверу службы каталогов. Затем снова попробуйте ликвидировать этот сервер службы каталогов.

Дополнительные данные
Значение ошибки:
5005 В службе каталогов утеряна обязательная информация и невозможно определить владельца передаваемых монопольных операций (FSMO).
Расширенное значение ошибки:
0
Внутренний ID:
321134b
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
<EventID Qualifiers="49152">2022</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>5</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2015-11-24T12:35:09.643409900Z" />
<EventRecordID>10333</EventRecordID>
<Correlation />
<Execution ProcessID="716" ThreadID="4336" />
<Channel>Directory Service</Channel>
<Computer>server2014.office1.****.ru</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
<Data>\\ADOF-01.office1.****.ru</Data>
<Data>В службе каталогов утеряна обязательная информация и невозможно определить владельца передаваемых монопольных операций (FSMO).</Data>
<Data>0</Data>
<Data>5005</Data>
<Data>321134b</Data>
</EventData>
</Event>

но роли переданы ADOF-02 и netdom query fsmo на всех кд это подтверждает, и передача без ошибок прошла, а он считает по прежнему что эта роль его?

Покажите вывод команд dcdiag /v /a и dcdiag /test:DNS /a c КД server2014.

Роли передавал с помощью оснасток может вернуть назад и передать через NTDSUTIL.EXE ?

Скорее всего это не поможет. Посмотрите статью DCPROMO demotion fails if unable to contact the DNS infrastructure master что у Вас задано для атрибута fsMORoleOwner?

там значение <не задано>

Пропищите ссылку на сервер которой владеет ролью Infrastructure master.

Понизил server2014 до рядового, при понижении написал только что делегирование удалить не может, но домен снова не работает, шары недоступны, защита использующая DCOM снова не работает

Вывод dcdiag /v /a с любого оставшегося КД покажите.

mik_kovrov,
1. Скрин консоли DFS Management раздела Replication->Domain System Volume покажите.
2. У Вас на DNS серверах обратная зона создана?
3. Вывод команд dnscmd /info и dnscmd /zoneinfo <имя вашего домена> с обоих КД покажите.

да есть обратная зона

потушил старый пониженный кд (server2014) и из DHCP выкинул его как днс сервер, перезагрузил доменные машины, вроде все заработало, руками нужно что то еще вычищать?

Посмотрите на DNS серверах как настроено динамическое обновление зон и кто имеет права вносить изменения в зону DNS. Проверьте не осталось ли записей DNS связанных со старым КД Server2014.

небезопасные и безопасные

это в свойствах зоны на вкладке безопасность?

записи оставались удалил

Да.

Там все по умолчанию, у всех только чтение, на запись имеют права группы DNSAdmins, администраторы домена, администраторы предприятия, администраторы, и КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ

Ок, какой вывод сейчас в dcdiag? Есть ошибки?

да пока старые ошибки остались, через день проверю отпишусь.

Запуск проверки: SystemLog

* The System Event log test
Возникла ошибка. Код события (EventID): 0x0000165B

Время создания: 11/30/2015 07:58:48

Строка события:

Не удалось установить сеанс с компьютера "KERIO_IVANOVO", так как указанная компьютером учетная запись доверия "KERIO_IVANOVO$" отсутствует в базе данных безопасности.



Действие пользователя

Если такое событие произошло впервые для данного компьютера и данной учетной записи, возможно, это временное состояние, не требующее выполнения каких-либо действий в данный момент. Если это контроллер домена только для чтения, а "KERIO_IVANOVO$" является действительной учетной записью компьютера "KERIO_IVANOVO", то "KERIO_IVANOVO" следует отметить как снабженный кэшем для этой папки при необходимости или в противном случае обеспечить возможность подключения к контроллеру домена при обслуживании запроса (например, контроллера домена, доступного для записи). В противном случае для устранения ошибки можно предпринять следующие шаги.r



Если "KERIO_IVANOVO$" - действительная учетная запись компьютера "KERIO_IVANOVO", то "KERIO_IVANOVO" следует вновь присоединить к домену.



Если "KERIO_IVANOVO$" - действительная учетная запись междоменного доверия, следует восстановить это отношение доверия.



В противном случае (т. е. если "KERIO_IVANOVO$" не является действительной учетной записью) необходимо выполнить следующие действия для компьютера "KERIO_IVANOVO".



Если "KERIO_IVANOVO" - контроллер домена, удалите отношение доверия, связанное с "KERIO_IVANOVO$".



Если "KERIO_IVANOVO" не является контроллером домена, исключите его из состава домена.

Возникла ошибка. Код события (EventID): 0x000016AD

Время создания: 11/30/2015 08:16:29

Строка события:

Не удалось выполнить проверку подлинности для сеанса компьютера KERIO_IVANOVO. Произошла следующая ошибка:
Отказано в доступе.

Больше ошибок не осталось,но есть ощущение что днс каккто криво работает странички с явным запозданием открываются а некоторые при открытии сайтов ошибку пишет:
Страница недоступна.
Сервер video.1c-bitrix.ru не найден из-за ошибки поиска DNS (веб-службы, которая преобразует название сайта в интернет-адрес). Обычно это вызвано отсутствием подключения к интернету или неправильной настройкой сети. Возможно, недоступен сервер DNS. Кроме того, доступ к сети может блокировать брандмауэр.

Хотя вроде ничего не поменялось, два днс сервака на контроллерах, у пользователя в настройках они (DHCP раздает), старый кд от туда выкинут как днс, на серваках в качестве сервера пересылки указан шлюз, керио контрол, у него в настройках включен днс форвардинг на днс провайдера.

Telepuzik, Огромное спасибо за помощь, а я уш думал придется подымать новый домен.