[WindowsNT]

1. С какой целью внесена запись в hosts? Это приём 80-х годов.
2. ipconfig /all всех контроллеров
3. пинг контроллеров по имени
4. пинг домена по имени
5. открываются ли контроллеры по start > run > \\DCName

[spirit_666]

1) Запись внесена т.к. DC3 в другой подсети. Для хождения пинга по имени (пункты 3 и 4 и 5 соответственно работают);
2)

DC1

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : dc1
Основной DNS-суффикс . . . . . . : xxx.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : xxx.xxx.ru
xxx.xxx
xxx.ru
xxx.local

Ethernet adapter LAN:

DNS-суффикс подключения . . . . . : xxx.local
Описание. . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client) #52
Физический адрес. . . . . . . . . : E4-1F-13-69-C8-BA
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.8.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.8.1
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter WAN:

DNS-суффикс подключения . . . . . : xxx.xxx.ru
Описание. . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client) #49
Физический адрес. . . . . . . . . : E4-1F-13-69-C8-B8
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.18.194.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.18.194.1
DNS-серверы. . . . . . . . . . . : 10.18.2.115
10.18.2.123
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.xxx.local:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : xxx.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.xxx.xxx.ru:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : xxx.xxx.ru
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

DC2

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : dc2
Основной DNS-суффикс . . . . . . : xxx.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : xxx.local
xxx.xxx.ru
xxx.ru
xxx.xxx

Ethernet adapter LAN:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client) #53
Физический адрес. . . . . . . . . : E4-1F-13-69-EE-B0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.8.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.8.2
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter WAN:

DNS-суффикс подключения . . . . . : xxx.local
Описание. . . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client) #54
Физический адрес. . . . . . . . . : E4-1F-13-69-EE-B2
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.88.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.88.1
DNS-серверы. . . . . . . . . . . : 192.168.88.1
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.grand.local:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : xxx.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{BE1BC047-0CA3-45AC-9E94-A89717FFC0A8}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

DC3

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DC3
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : xxx.local

Ethernet adapter OpenVPN:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
Физический адрес. . . . . . . . . : 00-FF-C7-D3-39-96
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.99.100(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 27 октября 2016 г. 17:54:47
Срок аренды истекает. . . . . . . . . . : 27 октября 2017 г. 17:54:49
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 192.168.99.0
DNS-серверы. . . . . . . . . . . : 192.168.8.1
192.168.8.2
127.0.0.1
Основной WINS-сервер. . . . . . . : 192.168.8.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Ethernet:

DNS-суффикс подключения . . . . . : xxx.xx
Описание. . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-LM
Физический адрес. . . . . . . . . : 90-1B-0E-B6-E6-F1
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : xxx.xxx.xxx.xxx(Основной)
IPv4-адрес. . . . . . . . . . . . : xxx.xxx.xxx.xxx (Основной)
Маска подсети . . . . . . . . . . : xxx.xxx.xxx.xxx
Аренда получена. . . . . . . . . . : 27 октября 2016 г. 17:22:44
Срок аренды истекает. . . . . . . . . . : 28 октября 2016 г. 17:22:43
Основной шлюз. . . . . . . . . : xxx.xxx.xxx.xxx
DHCP-сервер. . . . . . . . . . . : xxx.xxx.xxx.xxx
IAID DHCPv6 . . . . . . . . . . . : xxx.xxx.xxx.xxx
DUID клиента DHCPv6 . . . . . . . : xxx.xxx.xxx.xxx
DNS-серверы. . . . . . . . . . . : xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.xxx.xx:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : xxx.xx
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер 6TO4 Adapter:

DNS-суффикс подключения . . . . . : xxx.xx
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : xxx.xxx.xxx.xxx(Основной)
Основной шлюз. . . . . . . . . : xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
IAID DHCPv6 . . . . . . . . . . . : xxx.xxx.xxx.xxx
DUID клиента DHCPv6 . . . . . . . : xxx.xxx.xxx.xxx
DNS-серверы. . . . . . . . . . . : xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{C7D33996-2BB9-4D42-88B0-29A62023B6E3}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

[ko4evneg]

Домен контроллер должен видеть всю зону, а не запись в hosts. Вы включаете новый DC в домен как обычный компьютер или повышаете его до DC и выбираете пункт, добавить DC в существующий домен?

[spirit_666]

Цитата ko4evneg:

Домен контроллер должен видеть всю зону, а не запись в hosts. Вы включаете новый DC в домен как обычный компьютер или повышаете его до DC и выбираете пункт, добавить DC в существующий домен? »

Сначала я хочу включить его в домен. а затем поднять роль до контроллера домена.

[WindowsNT]

1. Фокус с hosts отменяется, все члены домена должны видеть всю зону. Это якорь, основополагающее положение.
2. DC1 принадлежит двум подсетям: 192.168.8.0/24 и 10.18.194.0/24, при этом DNS на втором интерфейсе смотрит в неизвестные дали. Скорее всего, в космос, а не на DNS-сервера, обладающие информацией о зоне xxx.local. Это криминал и подлежит устранению.
3. DC2 принадлежит подсетям 192.168.8.0/24 и 192.168.88.0/24, но вообще имеется ли маршрутизация между этими всеми подсетями? Если нет, то некоторые клиенты могут пытаться обращаться к DC по одному из недоступных IP-адресов, что приведёт к отказу. Для чего вообще каждый контроллер подключен в две подсети? Это не есть рекомендуемая конфигурация.
4. DC3 принадлежит подсети 192.168.99.0/24, при этом смотрит на три DNS-сервера, но на всех ли этих трёх сервера доступна и синхронизирована зона xxx.local?

[spirit_666]

Цитата WindowsNT:

1. Фокус с hosts отменяется, все члены домена должны видеть всю зону. Это якорь, основополагающее положение. 2. DC1 принадлежит двум подсетям: 192.168.8.0/24 и 10.18.194.0/24, при этом DNS на втором интерфейсе смотрит в неизвестные дали. Скорее всего, в космос, а не на DNS-сервера, обладающие информацией о зоне xxx.local. Это криминал и подлежит устранению. 3. DC2 принадлежит подсетям 192.168.8.0/24 и 192.168.88.0/24, но вообще имеется ли маршрутизация между этими всеми подсетями? Если нет, то некоторые клиенты могут пытаться обращаться к DC по одному из недоступных IP-адресов, что приведёт к отказу. Для чего вообще каждый контроллер подключен в две подсети? Это не есть рекомендуемая конфигурация. 4. DC3 принадлежит подсети 192.168.99.0/24, при этом смотрит на три DNS-сервера, но на всех ли этих трёх сервера доступна и синхронизирована зона xxx.local? »

1) По hosts - понял, уберу;
2) На DC1 второй интерфейс это ещё одна VPN-сеть для спец. оборудования, со своим доменом;
3) DC2 имеет внешний интерфейс в сети 192.168.88.0/24, т.к. он ещё и интрнет-шлюз... с Traffic Inspector. Это подсеть микротика.
Настроено так было "классически" до меня) Таких граблей много...
4) На 192.168.8.1 и 192.168.8.2 зона xxx.local синхронизирована и доступна. Третий DNS это loopback.

P.S.:
))) Эффект присутствия...
Небольшой толчок и заработало)

Убрал записи в hosts. Перестал видеть домен _ldap._tcp.dc._msdcs.xxx
Через консоль попробовал xxx.local - увидел домен. Успешно включился в домен.

[spirit_666]

P.P.S.(
При повышении уровня до контроллера домена дошло до "Создание параметров объекта NTDSA для данного контроллера домена Active Directory на удалённом контроллере домена..." и висит часа 3 уже на этом, не продвигается...

[spirit_666]

Провисело так часов 10. Сбросил.
В чём косяк?)

[WindowsNT]

В общем виде:

1. все существующие интерфейсы на контроллерах должны быть доступны всем членам домена. То есть, любой ип-адрес любого контроллера должен пинговаться с любого члена домена. Если где-то таковая маршрутизация не обеспечивается, то либо убирайте эти интерфейсы с контроллеров, либо обеспечьте маршруты. Вообще, роутер делайте на микротике, не ставьте эту задачу на контроллер, пусть такими делами занимаются АД-ниндзя.

2. все интерфейсы всех членов домена, включая контроллеры, должны и обязаны показывать только на корректные днс-сервера. Например, на самом деле неинтересно и не имеет значения, впн это или кто-то ещё, значение имеет только то, что днс-ы там левые. Это должно быть устранено.

3. Контроллеры работают в том числе через File and Printer Sharing for Microsoft Network, поэтому фаерволы не должны мешать связи клиентов с интерфейсами контроллеров, сколько бы их ни было.