[решено] DNS-сервер не смог подключиться к FSMO

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - [решено] DNS-сервер не смог подключиться к FSMO (http://forum.oszone.net/showthread.php?t=214950)

DNS-сервер не смог подключиться к FSMO

Веселье у меня продолжается , когда я занимался копанием в системе (VPN , netdiag) , я заглянул в логи и ужаснулся обилию ошибок связанных с FSMO id 4510.

Код:

DNS-сервер не смог подключиться к FSMO "" именования доменов. Никакие изменения для разделов каталога не будут возможны, пока FSMO-сервер не станет доступен для LDAP-подключений. В данных содержится код ошибки.

Анамнез такой :
Какое то время назад из строя вышел 1 из 2х КД , я перенастроил резервный КД под основной установил туда DNS и DHCP , по мануалам передал ему Роли FSMO и в данный момент не было нареканий т.к все работало как часы и жалоб никаких небыло.Старый КД я реанимировал (поменял запчасти) , снял с него все полномочия и сделал его резервным КД (сменил ему имя , но не Ip).

В данный момент есть 4 сервера под управлением Win2k3 Sp2 SE , из них 2 КД на одном из КД стоит DHCP , DNS ( собственно на нем и ошибки) и резервный КД только с АД.

Видимо у меня не хватает знаний , да и опыта переноса и понижения КД не было никогда. Очень хочу разобраться.Может быть стоит удалить АД с сервера который был главным?

Благодарю за помощь и понимание.

Покажите вывод netdom query fsmo с первого КД и вывод ipconfig /all с обоих КД.

Цитата:

Цитата KPACHbIu

Какое то время назад из строя вышел 1 из 2х КД , я перенастроил резервный КД под основной установил туда DNS и DHCP , по мануалам передал ему Роли FSMO и в данный момент не было нареканий т.к все работало как часы и жалоб никаких небыло »

был захват ролей.

Цитата:

Цитата KPACHbIu

Старый КД я реанимировал (поменял запчасти) , снял с него все полномочия и сделал его резервным КД (сменил ему имя , но не Ip). »

интересно как вы сняли, если был захват, а не передача ролей? :)

есть у меня подозрения что это не всё.

cameron,
Я наверное не корректно выражаюсь , по мануалам которые я читал было написано что если КД с ролями упал можно насильно назначить роли на живой КД с помощью ntdsutil (вроде так было написано) что я и сделал.Видимо зря ибо я реанимировал первый КД.

netdom query fsmo

Это с КД который был первый изначально.

Цитата:

Microsoft Windows [Версия 5.2.3790] (С) Корпорация Майкрософт, 1985-2003.
C:\Documents and Settings\Администратор>netdom query fsmo
Schema owner KPACHbIu.bpark.local
Не удается найти указанный файл.
The command failed to complete successfully.
C:\Documents and Settings\Администратор>

Это тот которому я вроде как передал роли.

Цитата:

netdom query fsmoMicrosoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.BPARK>netdom query fsmo
Schema owner KPACHbIu.bpark.local

Не удается найти указанный файл.

The command failed to complete successfully.

C:\Documents and Settings\Администратор.BPARK>

Ipconfig /all

Изначально первый КД

Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Mir1
Основной DNS-суффикс . . . . . . : bpark.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : bpark.local

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration
Физический адрес. . . . . . . . . : 00-15-17-22-79-94
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.3
DNS-серверы . . . . . . . . . . . : 192.168.0.253

C:\Documents and Settings\Администратор>

Второй КД

Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.BPARK>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : KPACHbIu
Основной DNS-суффикс . . . . . . : bpark.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : bpark.local

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-15-17-22-74-ED
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.253
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.3
DNS-серверы . . . . . . . . . . . : 127.0.0.1

C:\Documents and Settings\Администратор.BPARK>

Цитата:

Цитата KPACHbIu

Не удается найти указанный файл. »

support tools то установите.

Цитата:

Цитата KPACHbIu

насильно назначить роли на живой КД с помощью ntdsutil (вроде так было написано) что я и сделал.Видимо зря ибо я реанимировал первый КД. »

вот уж точно зря.

cameron,

Да это я уже понял)

И саппорт тулс установлен.Сейчас воюю с этим но не хочет запускаться по нормальному netdom query fsmo

Цитата:

Цитата KPACHbIu

И саппорт тулс установлен.Сейчас воюю с этим но не хочет запускаться по нормальному netdom query fsmo »

пуск-программы-Support Tools - Command Shell или как-то так.
там один ярлык =)
просто в PATH ещё не прописались.

там запускайте netdom query fsmo

cameron,

Результат к сожалению такой же :(
Может что то не включено?Или не настроено?

KPACHbIu,
а если на клиенте запустить это?
(XP - нужны саппорт_тулз, можно взять те же что и для сервера. Win7 - ничего не надо)

ещё вариант:
http://support.microsoft.com/kb/234790

Цитата:

Цитата KPACHbIu

Результат к сожалению такой же »

В журналах есть ошибки?

cameron,
Проделал что описано в статье , везде показывается нужный сервер , который изначально был резервным.

Вот вылезла ошибка сегодня.Где указан мертвый сервер "BRUNS".Сейчас читаю статьи указанные в логах ошибки.

Код:

 Владельцем следующей роли FSMO задан сервер, который был удален или не существует. 

 

 Операции, требующие обращения к хозяину операции FSMO, не смогут выполняться, пока это состояние не будет исправлено. 

 

 Роль FSMO: CN=Partitions,CN=Configuration,DC=bpark,DC=local 

 Доменное имя сервера FSMO: CN=NTDS Settings\0ADEL:aab232fd-a34d-40d6-a0ac-438ecabed5ee,CN=BRUNS\0ADEL:af8158a2-4ca9-485e-89f5-67c92cd53b24,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bpark,DC=local 

 

 Действие пользователя: 

 

1. Определите, какой сервер должен быть владельцем этой роли. 

2. Представление конфигурации может быть устаревшим. Если сервер-владелец был выдвинут на эту роль недавно, проверьте, что раздел конфигурации был недавно реплицирован с нового сервера. Если сервер-владелец был лишен этой роли недавно и роль была передана другому серверу, проверьте, что новый сервер недавно реплицировал раздел, содержащий сведения о владельце роли. 

3. Проверьте, правильно ли установлена эта роль на сервере-владельце этой роли FSMO. Если роль не установлена, с помощью утилиты NTDSUTIL.EXE передайте или захватите эту роль. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-узле http://support.microsoft.com. 

4. Проверьте, что репликация раздела FSMO между сервером-владельцем роли FSMO и данным сервером выполняется успешно. 

 

 Могут быть затронуты следующие операции: 

 Схема: нельзя будет изменять схему для этого леса. 

 Именование доменов: нельзя будет добавлять или удалять домены из этого леса. 

 PDC: нельзя будет выполнять операции, исполняемые основным контроллером домена, например, обновление групповой политики и сброс паролей для учетных записей, не принадлежащих Active Directory. 

 RID: нельзя будет выделять новые SID для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности. 

 Инфраструктура: междоменные ссылки на имена, например, членство в универсальных группах, не будут правильно обновляться, если конечный объект будет перемещен или переименован.

я пока не совсем поняла ваши действия когда у вас умер первый(?) сервер, но я бы сделала так:

бэкап всех КД которые сейчас есть.
- проверила на каком из серверов актуальная копия AD (у меня есть подозрения что они у вас разные).
- первый сервер выключила, отформатировала, что бы не было желания его включать.
- захватила роли на втором, живом, через ntdsutil.
- вычистила AD от остатков первого сервера (ntdsutil)
- проверила на наличие ошибок живой сервер.
- установила чистую ОС на первом, сделала его DC/DNS/GC с другим именем (отличным от всех других имён КД которые были или есть).

Если у вас в сети есть Exchange/OCS/SCCM и тд, то тут возможны ещё разные подводные камни.

Ситуация развивалась так.

Сгорел сервер , я отрубил от него все провода и прочитав мануал стер его откуда только можно (его название).
Провел захват ролей на живом сервере через ntdsutil.
Установил DHCP и DNS на живом сервере.
Потом вдруг внезапно в рейде оказался один жесткий диск с живой системой , и я (как теперь уже понял Зря) запустил его , сменив имя , снял с него все полномочия оставив только АД.

Ошибок вроде не было и сейчас я заглянул туда а там ошибки разного рода в основном про репликацию и FSMO.

Конечно стоило бы форматнуть все что можно , но я решил что так наверное делать не очень хорошо ибо не всегда можно форматнуть все что хочется.

Цитата:

Цитата KPACHbIu

прочитав мануал стер его откуда только можно (его название). »

из ADUC?

Цитата:

Цитата KPACHbIu

Провел захват ролей на живом сервере через ntdsutil. »

seize? и всё прошло без ошибок?

Цитата:

Цитата KPACHbIu

Установил DHCP и DNS на живом сервере. »

у вас был КД без DNS? да GC вы там сделали?

Цитата:

Цитата KPACHbIu

Потом вдруг внезапно в рейде оказался один жесткий диск с живой системой , и я (как теперь уже понял Зря) запустил его , сменив имя , снял с него все полномочия оставив только АД. »

то есть вы просто переименовали КД? О_о

Цитата:

Цитата cameron

из ADUC? »

Да

Цитата:

Цитата cameron

seize? и всё прошло без ошибок? »

Вроде да , никогда раньше не делал.Но по крайней мере утилиты показывают что новый сервер является хозяином различных ролей.

Цитата:

Цитата cameron

у вас был КД без DNS? да GC вы там сделали? »

Был ДНС , про установил я имел ввиду что сделал его Глобальным каталогом.

Цитата:

Цитата cameron

то есть вы просто переименовали КД? О_о »

Честно говоря у меня сейчас даже уши загорели :sorry:

Цитата:

Цитата KPACHbIu

Может стоит еще раз попробовать захватить роли? »

может стоит прочитать ещё раз моё сообщение выше?

cameron,

О прошу прощения , благодарю за помощь)

Ошибка пропала.

Сделал так :

1.Отключил от сети первый сервер , удалил с него АД , почистил и выключил.
2.На живом серваке очистил все старые записи о первом серваке , проверил на ошибки и все такое.
3.Захватил все роли на живом серваке (захватились удачно без ошибок).
4.Включил первый сервак , переименовал его , ввел в домен , настроил на нем АД и ДНС и сделал из него Глобальный каталог (ну тоесть галочку поставил что он ГК)

вот сейчас даже не знаю стоит ли удалять со второго сервака функцию ДНС или оставить?

Цитата:

Цитата KPACHbIu

вот сейчас даже не знаю стоит ли удалять со второго сервака функцию ДНС или оставить? »

не надо ничего удалять.

поглядите в replmon и dcdiag на обоих КД.

если ошибок нет - то у вас всё получилось.

Ошибок в данных тестах не было , остались конечно еще кое какие , но думаю к данной проблеме они не относятся.
Благодарю за помощь!