[NordWest]

Об устройстве и наслышан и читал, да и понимания по основным моментам думаю есть. Об особенностях много меньше. Да, AD очень большая и сложная... но именно по этому тотально чтение литературы мало результативно. Надо как раз из практики и исходить, причем здесь - система-то не сложная, замкнутая по большому счету. Есть ошибки, надо их анализировать, задавать вопросы, разбираться и тем самым осваивать эти самые тонкости, которые и в KB не все найдешь.
Так что может не будем сдаваться пока, а попробуем что-то предпринять с ошибками 1006?

[NordWest]

Молчим, ладно, тогда более конкретный вопрос: если пропали/пропадают шары SYSVOL и NETLOGON, то как их правильнее восстановить? В ручную, почитав соответствующую статью, или какая-то утилита есть, которая восстанавливает эти вещи? RepAdmin например это не делает? В ручную вроде бы пару дней назад выставлял доступ. Утром сервак опять таинственным образом перезагрузился гад, и этих шар опять нет. Просветите пожалуйста!

[kim-aa]

Самоизничтожение Netlogon - ни разу не встречал. Иногда народ по глупости руками права режет - это да, бывает.
Востанавливать руками, а чем еще.
Рекомендую Ваш Вопрос переместить в ветку Windows, может там чего умное скажут.

[NordWest]

Опять решаю проблему основательно - переустановкой
Удалил контроллер с помошью http://support.microsoft.com/?kbid=216498 (dcpromo не отработала - не могла связаться с другим контроллером). Переустановил систему. Попробую постепенно подымать службы. Начну с DHCP и DNS, а не будет проблемм попробую снова поднять по контроллера домена. Кстати, вопрос о ДНС, я правильно делаю, выбирая stub zone при создании этого дополнительного днс сервера? У меня тут сомнения, хотя остальные два варианта вроде бы совсем не подходят.



П.С. : Доктор Щеглов предупреждает - вовремя поднятый контроллер не считается упавшим!

[NordWest]

Еще два вопроса...

На основном сервере сделал netdiag:


LDAP test. . . . . . . . . . . . . : Failed
[FATAL] Cannot do Negotiate authenticated ldap_bind to 'viris-srv.ad.virial.ru': Invalid Credentials.
[FATAL] No LDAP servers work in the domain 'VIRIAL'.

Почему так? Фаервол на внутреннем интервейсе по идее отсутствует. Порт 389 закрыт. LDAP по умолчанию должен быть или его устанавливать, настраивать нужно?


В dns, в прямой зоне ad.virial.ru много где встречается указание на второй сервер, который я сегодня переустановил и он пока не контроллер. Например в ad.virial.ru\_sites\dafault-ferst-site-name\_tcp тир srv записи для _gc, _ldap и _kerberos с именем второго сервера. Что-то туту не так... Что делать? Менять везде на viris-srv?

[kim-aa]

Цитата:

LDAP test. . . . . . . . . . . . . : Failed [FATAL] Cannot do Negotiate authenticated ldap_bind to 'viris-srv.ad.virial.ru': Invalid Credentials. [FATAL] No LDAP servers work in the domain 'VIRIAL'.

AD это помесь DNS + LDAP, причем с "улучшениями" Microsoft. Например в AD используется аутентификация при DNS операциях, однако по стандартам MS.
Думаю горе из-за Идентичности Внутреннего+внешнего имени + Доступа сервера в интернет (если память мне не изменяет, то при поднятии AD подставляется домен local - именно из-за этого).
Картина приблизительно такова.
При регистрации нового сервера Контроллер домена лезет на DNS провайдера (считая его MS-ким, т.е. поддерживающим аутентификацию) шарит там стандартный порт LDAP, для внесения изменений, находит "ХУХ" и громко жалуется на жизнь.

Цитата:

В dns, в прямой зоне ad.virial.ru много где встречается указание на второй сервер, который я сегодня переустановил и он пока не контроллер. Например в ad.virial.ru\_sites\dafault-ferst-site-name\_tcp тир srv записи для _gc, _ldap и _kerberos с именем второго сервера. Что-то туту не так... Что делать? Менять везде на viris-srv?

Это горе AD если инсталляция чего-либо прошло не корректно, то "по углам" остается очень много всякого г, вычистить которое практически не возможно.

[NordWest]

А мне кажется дело не в провайдере. Внутренний домен связан с ним только форвардсами, т.е. он перенаправляет запросы на провайдера, если не может на них сам ответить. Имя домена, зарегистрированного в интернете и имя внутреннего домена различаются приставкой ad. Или этого различия не достаточно. Оба внутренних сервера - MS, т.е. между ними недопонимания в стандартах быть не может. Давайте обстагируемся от внешней сети, только не забывая про RRAS, который может тут во что-то вмешаться. Два сервера, на одном проблемы, с LDAP например, на втором проблемы с репликацией на главный сервер, возможно как раз из-за этого LDAP. LDAP - способ аутентификации в AD, наподобие kerberos, так вроде? Но если он атрофировался, хз почему, то без него то можно официально обходиться? Т.е. можно ли взять и где-нибудь снять галочку "Enable LDAP"? Что-то я такого не встречал.

И все таки, что с этими записями в DNS делать? Уточню, там везде только записи с именем второго сервера, который пока еще не сервер. Я бы там вполне был бы рад увидеть еще и все то же самое, но с именем собственно теперь единственного сервера, но везде присутствует только второй. Врядли это есть хорошо.

И опять про DNS. dcdiag выдает вот что:

Doing initial required tests

Testing server: Default-First-Site-Name\VIRIS-SRV
Starting test: Connectivity
The host 0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru) couldn't be

resolved, the server name (viris-srv.ad.virial.ru) resolved to the IP

address (192.168.8.1) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... VIRIS-SRV failed test Connectivity

Но такого хаста - "0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru" в dns по этому месту нет. Где могла сохраниться эта ссылка, и как её удалить?


Фак, ничего не пойму, только что полез в оснастку ADSI Edit, там коннектиться надо к серверу и в настройках коннекта написано "LDAP://viris-srv.ad.virial.ru/Domain", т.е. соединение производится через этот LDAP. Ага, попробовал со второго компа то же так вот подключиться - опа, тоже подключается... Т.е. лдап-то жив! Что за фигня такая!..

------------------------------------------------------------------------------------------------------------------------------------------------

Так, кое-что исправил. Как-то поманипулировав адресами ДНС серверов в настройках внутренней сетевой карты на главном сервере, установкой динамического обновления для зон в secure only, пару раз перезагрузившись и перезапустив netlogon, добился добвавления всех нужных srv записей для основного сервера (еще dcdiag /fix и netdiag /fix делал, так что не знаю что конкретно помогло). теперь dcdiag на нем все хорошо выдает, а netstat немного ругается на dns и ldap, но это уже неплохо. Теперь когда жмешь "Replicate Now" в сайтах и сервисах ошибки не выдается на обоих серверах. Череда ошибок 1030, 1058 и 1097(при загрузке) прекратилась. Во всяком случае уже пол часа как тихо, тогда как ранее каждые 5 минут долбились.

Осталось разобраться почему не шарятся SYSVOL и NETLOGON, а когда их шаришь в ручную, то при перезагрузке Net Logon шаринг с них снимается. Помогите кто-нибудь советом пожалуйста!
-------------------------------------------------------------------------------------------------------------------------------------------------
В событиях FRS вот что:

Event Type: Warning
Event Source: NtFrs
Event Category: None
Event ID: 13565
Date: 03.06.2006
Time: 14:46:15
User: N/A
Computer: VIRIAL-SEC
Description:
File Replication Service is initializing the system volume with data from another domain controller. Computer VIRIAL-SEC cannot become a domain controller until this process is complete. The system volume will then be shared as SYSVOL.

To check for the SYSVOL share, at the command prompt, type:
net share

When File Replication Service completes the initialization process, the SYSVOL share will appear.

The initialization of the system volume can take some time. The time is dependent on the amount of data in the system volume, the availability of other domain controllers, and the replication interval between domain controllers.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Короче буду ждать и держать пальцы...

Вспомнил тут что удалил в Computer Managment динамический раздел. Он гигабайт 40 занимал. Я иногда винчестеры ко второму контроллеру цепляю и с чего-то решил что эта волюмя осталась после такого подключения. Блин... а это наверное шара sysvol была... Не думал что она так создается. Значит её в ручную действительно не прописать. Посмотрим востановится ли она теперь после такого восстановления.
--------------------------------------------------------------------
нет, туплю диск типа dynamic тут не при чем. совсем блин запутался...

[RaZZoRRo]

2 NordWest

ссылочка вам пригодится : http://support.microsoft.com/default...b;en-us;257338

Цитата:

LDAP - способ аутентификации в AD, наподобие kerberos, так вроде?

LDAP и kerberos - это протоколы..... и никак не "способы аутентификации "

Цитата:

Но такого хаста - "0b0d19bd-ad1a-4c36-9d0e-adfff84a55e8._msdcs.ad.virial.ru" в dns по этому месту нет. Где могла сохраниться эта ссылка, и как её удалить?

о таком инструменте как : DNSLint слышали ? ОН должен вам помочь !
описание и использование здесь : http://mdforum.dynu.com/article533.html

если не трудно приведите результат выполнеия ipconfig /all с контроллеров .....

[NordWest]

RaZZoRRo

Цитата:

2 NordWest ссылочка вам пригодится : http://support.microsoft.com/defaul...kb;en-us;257338

Спасибо, прочитал, почти все понял, и все что понял в порядке.

Цитата:

LDAP и kerberos - это протоколы..... и никак не "способы аутентификации "

да, грамоте я не обучен...

Цитата:

о таком инструменте как : DNSLint слышали ? ОН должен вам помочь ! описание и использование здесь : http://mdforum.dynu.com/article533.html

Теперь слышал.

Попробовал сделать команду "dnslint /ad 169.254.32.1 /s 169.254.10.22" только со своими айпи. Все вроде красиво, только в Note пишет:
One or more DNS servers is not authoritative for the domain
Это что значит?

Буду дальше пробовать тестировать. Спасибо за инструмент!

Цитата:

если не трудно приведите результат выполнеия ipconfig /all с контроллеров .....

Не трудно, пожалуйста:

с viris-srv:



Windows IP Configuration



Host Name . . . . . . . . . . . . : viris-srv

Primary Dns Suffix . . . . . . . : ad.virial.ru

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : Yes

WINS Proxy Enabled. . . . . . . . : Yes

DNS Suffix Search List. . . . . . : ad.virial.ru



Ethernet adapter Local Area Connection: // внутренний интерфейс



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection

Physical Address. . . . . . . . . : 00-04-23-B0-8D-FB

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.8.1

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . :

DNS Servers . . . . . . . . . . . : 192.168.8.1

195.208.122.1



Ethernet adapter Local Area Connection 2: // внешний интерфейс



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapter (10/100)

Physical Address. . . . . . . . . : 00-04-23-B0-8B-AC

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 195.208.122.8

Subnet Mask . . . . . . . . . . . : 255.255.255.192

Default Gateway . . . . . . . . . : 195.208.122.14

DNS Servers . . . . . . . . . . . : 195.208.122.8

195.208.122.1

195.208.122.14

Primary WINS Server . . . . . . . : 192.168.8.1

С virial-sec:

Windows IP Configuration



Host Name . . . . . . . . . . . . : virial-sec

Primary Dns Suffix . . . . . . . : ad.virial.ru

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : ad.virial.ru

virial.ru



Ethernet adapter Local Area Connection:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller

Physical Address. . . . . . . . . : 00-15-F2-90-E5-28

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.8.3

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.8.1

DNS Servers . . . . . . . . . . . : 192.168.8.1

[RaZZoRRo]

2 NordWest

Цитата:

Ethernet adapter Local Area Connection: // внутренний интерфейс Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection Physical Address. . . . . . . . . : 00-04-23-B0-8D-FB DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.8.1 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : 192.168.8.1 195.208.122.1

195.208.122.1 - стоит убрать и еще раз проверить DNSLint