[Str777]

1) setspn –l ServerName на втором сервере w2008sp1

Registered ServicePrincipalNames for CN=SERVER,OU=Domain Controllers,DC=dom1,DC=ru:
ldap/Server.dom1.ru/ForestDnsZones.dom1.ru
ldap/Server.dom1.ru/DomainDnsZones.dom1.ru
DNS/Server.dom1.ru
HOST/SERVER/DOM1
HOST/Server.dom1.ru/DOM1
GC/Server.dom1.ru/dom1.ru
HOST/Server.dom1.ru/dom1.ru
ldap/SERVER/DOM1
ldap/d5174dc2-d7d0-4457-b79b-eb94b8aaf374._msdcs.dom1.ru
ldap/Server.dom1.ru/DOM1
ldap/SERVER
ldap/Server.dom1.ru
ldap/Server.dom1.ru/dom1.ru
E3514235-4B06-11D1-AB04-00C04FC2DCD2/d5174dc2-d7d0-4457-b79b-eb94b8aaf374/dom1.ru
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/Server.dom1.ru
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/Server.dom1.ru
WSMAN/Server
WSMAN/Server.dom1.ru
TERMSRV/SERVER
TERMSRV/Server.dom1.ru
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom1.ru
HOST/SERVER.dom1.ru


2) dcdiag /test:dns на втором сервере w2008sp1 ПОСЛЕ добавления ldap/localhost127.0.0.1



3) repadmin /replsum на втором сервере w2008sp1 до добавления ldap/localhost127.0.0.1

Replication Summary Start Time: 2011-07-22 08:56:21

Repadmin can't connect to a "home server", because of the following error. Try specifying a different
home server with /homeserver:[dns name]
Error: An LDAP lookup operation failed with the following error:

LDAP Error 49(0x31): Invalid Credentials
Server Win32 Error 2148074252(0x8009030c): The logon attempt failed
Extended Information: 8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1

Source DSA largest delta fails/total %% error

Destination DSA largest delta fails/total %% error




4) repadmin /replsum на втором сервере w2008sp1 ПОСЛЕ добавления ldap/localhost127.0.0.1

Replication Summary Start Time: 2011-07-22 08:57:36

Beginning data collection for replication summary, this may take awhile:
.....

Source DSA largest delta fails/total %% error

DC 08m:26s 0 / 5 0

SERVER 05m:30s 0 / 5 0

Destination DSA largest delta fails/total %% error

DC 05m:30s 0 / 5 0

SERVER 08m:26s 0 / 5 0


5) Я подозреваю, что сервису Active Directory Domain Services (lsass.exe) на втором сервере не хватает прав для получения доступа, и об этом он и сообщает ошибкой 6037. При добавлении psn ldap/localhost127.0.0.1 все начинает работать, но почему через некоторое время (через несколько часов) этот psn пропадает из базы???

[zero55]

Цитата Str777:

LDAP Error 49(0x31): Invalid Credentials »

я бы сказал что у вас проблема не с SPN а с авторизацией т.к. вы используете не веоные данные.
тот список SPN который вы предоставили вполне соответствует типовому контроллеру домена на Windows 2008, но я не вижу записи про KDC (доеду до работы гляну нужный список)

тут интересно не это а вот это

Цитата Str777:

Repadmin can't connect to a "home server", because of the following error. Try specifying a different home server with /homeserver:[dns name] »

кто такой home server?

Цитата Str777:

что сервису Active Directory Domain Services (lsass.exe) »

lsass.exe это Local Security Authority Subsystem Service а Active Directory Domain Services это ADS

SPN пропадает из базы потому что его удаляют как неверный.
можно попробовать его зарегистрировать по человечески.

[Str777]

Цитата:

кто такой home server?

Имеется ввиду, наверное, параметр repadmin'а: /homeserver:dsaname, а если параметра нет, то он сам выбирает сервер (уж не знаю, по какому критерию).

Цитата:

SPN пропадает из базы потому что его удаляют как неверный. можно попробовать его зарегистрировать по человечески.

Как это сделать?

[zero55]

Правильно так
setspn -a LDAP/<FQDN.Server.Name> <Name>

но если хочется использовать localhost То вот так. Через пробел.
setspn -a ldap/localhost 127.0.0.1

Это неправильно т.к. SPN пытается привязаться к локалхосту и естественно удаляется.

PS В вашем случае система не находя нужного SPN пытается прибегнуть к крайнему - вызвать локалност

[Str777]

Не совсем понял.

Я регистрирую имя, которое взято из ошибки 6037 (в первом посте): ldap/localhost127.0.0.1 (без пробелов)
командой setspn -a ldap/localhost127.0.0.1 server

Если Вы имеете ввиду что нужно (согласно синтаксису setspn -a LDAP/<FQDN.Server.Name> <Name>) добавить имя сервера
setspn -a LDAP/server.dom1.ru server, то это имя и так уже есть в базе.

Что касается пробела (setspn -a ldap/localhost 127.0.0.1) тот так регистрировать нельзя, выдается ошибка: Unable to locate account 127.0.0.1

[zero55]

дело то не в SPN-е...
У вас останавливается DNS сервер, примерно через пол-часа работы.
Это означает что проблема в его внутренностях или в производительности сервера.

1. нужны настройки серевой карты
ipconfig /all
2. поставьте счетчики на процессор, память
3. проверьте нет ли событий остановки сервиса DNS и все что может его касаться.

[Oleg Krylov]

И ко всему вышесказанному, уберите localhost нафиг из конфигурации сетевых интерфейсов, и никогда больше его не добавляйте. Затем на обоих контроллерах запустите netdiag /fix.

[zero55]

localhost..
Зачем же?
Первичный ДНС на контроллере лучше оставить 127.0.0.1 ибо нафиг ему куда то ходить если у него и так все есть.

[Oleg Krylov]

В сценариях, когда контроллеров больше одного рекомендуют перекрестные ссылки: на контроллере А Pimary DNS - контроллер B, Secondary он сам. На контроллере B - наоборот. Localhost для AD - нет никто и звать его никак. МС так и рекомендует, и сама делает, и в Deployment Guide как для простых смертных, так и для MCS - ровно такие рекомендации.

[Iska]

Цитата Oleg Krylov:

Secondary он сам. »

И Secondary — именно как localhost, т.е. 127.0.0.1, а не реальный его адрес, так?