2 DC, 2 проблемы
 

есть 2 DC:
1. cluster1 (2012, pdc, хранитель всех fsmo ролей);
2. cluster2 (2012, dc).

Раньше cluster2 был pdc, но в какой-то момент приказал долго жить (полетела система). было решено пока восстанавливался сервер роли были перехвачены на другой (clusyer1). После этого оживший cluster2 ввели в строй. Детали уже не скажу.
2 сервера достаточно мощные, идея их использования была следующая:
1. на обоих поднимается стандартный набор сервисов (AD, DNS, DHCP и пр.), поднимается Hyper-v сервер на обоих и на каждом сервере поднимаются нужные нам ВМ со взаимной отказоустойчивостью.

И вроде сейчас всё работает, решили настроить отказоустойчивый кластер. Запускаем оснастку, запускаем общий тест, в результате выдает отчет со следующей ошибкой:
Полное доменное имя Домен Роль домена Имя сайта Подразделение
Cluster1.stokf.ru stokf.ru Основной контроллер домена Default-First-Site-Name Domain Controllers
cluster2.stokf.ru stokf.ru Произошла неопознанная ошибка. Default-First-Site-Name Domain Controllers
Не удалось определить, является ли узел cluster2.stokf.ru контроллером домена только для чтения, из-за следующей ошибки: Объект не существует.
Узлы Cluster1.stokf.ru cluster2.stokf.ru не могут связаться с контроллером домена, доступным для записи. Проверьте возможность подключения этих узлов к контроллерам домена.

попытался просто снять с cluster2 роль DC, в результате получил ошибку при понижении. В общем по хорошему опускаться он отказался.
Теперь стоим перед выбором:
1. выключаем cluster2, чистим все в ад от него, поднимаем на его основе новый сервер с новым именем и делаем его вторым DC;
2. исправляем косяк на живом.
Хочется пойти вторым способом, поскольку на cluster2 висят разные службы, а также виртуальные машины, работа которых также нужна, а перенести всё сразу на cluster1, страшновато.

подскажите, как победить, какие отчеты нужны, сброшу

А вы уверены, что второй контроллер вообще функционирует? Покажите dcdiag с него. Какую ошибку выдал при понижении?

Вот результаты с cluster2:

PS C:\Windows\system32> dcdiag /q /e - выдает ошибки.
Cинтаксическая ошибка: Недопустимый параметр /. Для получения справки используйте dcdiag.exe /h.
PS C:\Windows\system32> dcdiag /q /e
Учетная запись CLUSTER1 не является доверенной для делегирования. Она не может реплицироваться.
......................... CLUSTER1 - не пройдена проверка MachineAccount
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 03/03/2015 14:35:58
Строка события:
Не удалось установить связь DCOM с компьютером 193.106.72.254 через какой-либо из настроенных протоколов; за
прос от PID 3270 (C:\Windows\system32\dcdiag.exe).
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 03/03/2015 14:36:19
Строка события:
Не удалось установить связь DCOM с компьютером 193.106.73.254 через какой-либо из настроенных протоколов; за
прос от PID 3270 (C:\Windows\system32\dcdiag.exe).
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 03/03/2015 14:36:40
Строка события:
Не удалось установить связь DCOM с компьютером 8.8.8.8 через какой-либо из настроенных протоколов; запрос от
PID 3270 (C:\Windows\system32\dcdiag.exe).
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 03/03/2015 14:36:50
Строка события:
Не удалось установить связь DCOM с компьютером 91.221.232.1 через какой-либо из настроенных протоколов; запр
ос от PID 3270 (C:\Windows\system32\dcdiag.exe).
......................... CLUSTER1 - не пройдена проверка SystemLog
Неверный тип запуска службы: NtFrs на CLUSTER2, текущее значение - DISABLED, ожидаемое значение -
AUTO_START
Служба NtFrs в [CLUSTER2] остановлена
......................... CLUSTER2 - не пройдена проверка Services
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 03/03/2015 14:35:32
Строка события:
Не удалось установить связь DCOM с компьютером 193.106.72.254 через какой-либо из настроенных протоколов; за
прос от PID 4314 (C:\Windows\system32\dcdiag.exe).
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 03/03/2015 14:35:55
Строка события:
Не удалось установить связь DCOM с компьютером 193.106.73.254 через какой-либо из настроенных протоколов; за
прос от PID 4314 (C:\Windows\system32\dcdiag.exe).
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 03/03/2015 14:36:16
Строка события:
Не удалось установить связь DCOM с компьютером 8.8.8.8 через какой-либо из настроенных протоколов; запрос от
PID 4314 (C:\Windows\system32\dcdiag.exe).
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 03/03/2015 14:36:35
Строка события:
Не удалось установить связь DCOM с компьютером 91.221.232.1 через какой-либо из настроенных протоколов; запр
ос от PID 4314 (C:\Windows\system32\dcdiag.exe).
......................... CLUSTER2 - не пройдена проверка SystemLog
Проблемы у некоторых объектов, относящихся к DC CLUSTER2:
[1] Проблема: Отсутствует ожидаемое значение
Базовый объект:
CN=NTDS Settings,CN=CLUSTER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru
Описание базового объекта: "Объект DSA"
Имя атрибута объекта значения: serverReferenceBL
Описание объекта значения: "Объект члена SYSVOL FRS"
Рекомендуемое действие: См. статью базы знаний: Q312862

[1] Проблема: Отсутствует ожидаемое значение
Базовый объект: CN=CLUSTER2,OU=Domain Controllers,DC=stokf,DC=ru
Описание базового объекта: "Объект учетной записи DC"
Имя атрибута объекта значения: frsComputerReferenceBL
Описание объекта значения: "Объект члена SYSVOL FRS"
Рекомендуемое действие: См. статью базы знаний: Q312862

......................... CLUSTER2 - не пройдена проверка VerifyReferences

А вот ошибка при понижении:
Сбой операции по следующей причине:

Ошибка на удаленном сервере службы каталогов Cluster1.stokf.ru при попытке ликвидации сервера службы каталогов CN=CLUSTER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru.

"Отказано в доступе."

Что-то я не уверен в его работоспособности, посмотрите локально на cluster2, например есть ли в AD объекты которые вы создавали в последние дни?
Как именно вы восстанавливали cluster2 после сбоя?
Какие именно на него завязаны сервисы, мешающие просто добавить новый контроллер? Допускают ли они сценарий вывода этой машины из домена?

Что вы из этого сделали? Где какие сервисы? Что на ВМ, что нет?

на cluster1 и 2 на каждом из них висят AD, DNS, DHCP, File, IIS, DFS и Hyper-v.
На cluster1 дополнительно: службы сертификации и активации.
На cluster2 дополнительно: служба печати и NAP
Виртуальные машины вертят бекапы, антивирусы, всусы и прочее не приоритетное добро.

А после попытки понижения cluster2 на cluster1 в консоли вылетает предложение повысить cluster2 до уровня DC. Если попробовать это сделать, вылетает:
Ошибка при определении того, является ли целевой сервер контроллером домена: Целевой сервер уже выполняет роль контроллера домена.

Что, никто ничего не скажет, не посоветует?№

Можете попробовать выключить фаервол и сделать dcdiag еще раз. Вообще похоже больше на то, что контроллер криво восстановили, вы так и не сказали как именно вы его реанимировали

Вот результат:
S C:\Windows\system32> dcdiag /q /e
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об
ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
......................... CLUSTER1 - не пройдена проверка DFSREvent
Учетная запись CLUSTER1 не является доверенной для делегирования. Она не может реплицироваться.
......................... CLUSTER1 - не пройдена проверка MachineAccount
Внимание: CLUSTER2 не объявлен как сервер времени.
......................... CLUSTER2 - не пройдена проверка Advertising
Неверный тип запуска службы: NtFrs на CLUSTER2, текущее значение - DISABLED, ожидаемое значение -
AUTO_START
Служба NtFrs в [CLUSTER2] остановлена
......................... CLUSTER2 - не пройдена проверка Services
Проблемы у некоторых объектов, относящихся к DC CLUSTER2:
[1] Проблема: Отсутствует ожидаемое значение
Базовый объект:
CN=NTDS Settings,CN=CLUSTER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru
Описание базового объекта: "Объект DSA"
Имя атрибута объекта значения: serverReferenceBL
Описание объекта значения: "Объект члена SYSVOL FRS"
Рекомендуемое действие: См. статью базы знаний: Q312862

[1] Проблема: Отсутствует ожидаемое значение
Базовый объект: CN=CLUSTER2,OU=Domain Controllers,DC=stokf,DC=ru
Описание базового объекта: "Объект учетной записи DC"
Имя атрибута объекта значения: frsComputerReferenceBL
Описание объекта значения: "Объект члена SYSVOL FRS"
Рекомендуемое действие: См. статью базы знаний: Q312862

......................... CLUSTER2 - не пройдена проверка VerifyReferences

Восстанавливали из какого-то бекапа месячной давности.

сегодня утром перезагружали cluster1. В этот момента на cluster2 начали валиться ошибки DNS:
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: "" (может отсутствовать). Данные о событии содержат сведения об ошибке.

Получается, он понимает, что его AD не работает/глючит, но что с этим делать? Возвращаемся к моему вопросу: восстанавливаем или убиваем и чистим?

Неизвестно в каком состоянии находится ваш контроллер, вполне возможно, что в AD при попытке понижения была удалена часть атрибутов. Можете попробовать восстановить (начинайте с этой статьи). Я бы рекомендовал переставить, если сервисы без труда переносятся, и почистить данные об этом контроллере в AD принудительно.

Почистили принудительно, сейчас собираемся поднимать новый. Только в эксчендже одну ошибку победим и начнем (почему-то не хочет отрабатывать запрос на пользователей к AD). Но это уже другая история.