[uel]

Цитата pavsem7:
Потом я отключил первый DC srv на профилактические работы »
Цитата pavsem7:
(на srv2 я менял некоторые права пользователей »
Если отключаешь какой-нить КД, то не стоит вносить изменений, огребешь USN rollback.
Цитата pavsem7:
Через 2 дня(выходных) srv2 вообще перестал пускать пользователей в терминал(даже тех, что с правами администратора домена). »
Цитата pavsem7:
Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? »
ИМХО здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), либо из-за проблем с недоступностью глобального каталога, srv2 таковым является?
Цитата pavsem7:
или надо обязательно включать оба контроллера поработать вместе с какой-то периодичностью?»
Оба КД должны работать постоянно. Можно отключать один КД на обслуживание если не вносить никаких изменений (не менять групповых политик, структуры OU и т.д.), допустимый период 180 дней, но так долго естественно лучше не держать.
Цитата pavsem7:
Или из-за того, что контроллер srv на железе, а srv2 - виртуальный? »
Это неважно.
Цитата pavsem7:
Могут ли быть эти 5 ролей fsmo одновременно у обоих контроллеров, чтобы не бояться, что один(первый) сломается окончательно? »
Нет, не могут. Если один КД (у которого роли FSMO) помер, то делают принудительный захват ролей FSMO.
http://windowsnotes.ru/activedirecto...at-rolej-fsmo/

[pavsem7]

Цитата uel:

Если отключаешь какой-нить КД, то не стоит вносить изменений, огребешь USN rollback »

Я читал у многих и у себя наблюдал: изменения реплицируются. В этом же и смысл репликации, думаю, по временным маркерам каким-нибудь - новое затирает старое при конфликте.
Судя по описаниям, проблема возникает только при восстановлениях из бэкапа старых копий, но у меня не это.

Цитата uel:

здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), либо из-за проблем с недоступностью глобального каталога, srv2 таковым является? »

srv2 является GC. А вот как этот PDC эмулятор запускать, если роли FSMO нет необходимости передавать?

[cameron]

Цитата uel:

Если отключаешь какой-нить КД, то не стоит вносить изменений, огребешь USN rollback. »

глупости какие.

Цитата uel:

ИМХО здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), »

PDC эмулятор тут не при чём.

Цитата uel:

либо из-за проблем с недоступностью глобального каталога, srv2 таковым является? »

это больше похоже.

Цитата uel:

Оба КД должны работать постоянно. Можно отключать один КД на обслуживание если не вносить никаких изменений (не менять групповых политик, структуры OU и т.д. »

снова глупости.

Цитата uel:

допустимый период 180 дней »

откуда эта цифра? что будет потом?

Цитата uel:

но так долго естественно лучше не держать. »

верно

pavsem7,
"править домен летит Айболит и одно только слово твердит: DNS! DNS! DNS!" (c) Choks.
ну а вам нужно начать с чтения книжки по администрированию, хотя бы любой.
методом "тыка" вы ничему толковому не научитесь.

[User001]

Цитата cameron:

откуда эта цифра? что будет потом? »

Видимо, это про Tombstone Lifetime.

Цитата pavsem7:

Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? »

А вы их передавали на srv2?

Цитата pavsem7:

Могут ли быть эти 5 ролей fsmo одновременно у обоих контроллеров, чтобы не бояться, что один(первый) сломается окончательно? »

Цитируя вики: "FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, выполняющего данные операции".

Цитата pavsem7:

Но srv2 стал пускать в терминал пользователей только с админ.правами. »

Журнал ошибок, dcdiag, настройки и т.д.?

[pavsem7]

Цитата cameron:

ИМХО здесь либо из-за недоступности роли PDC эмулятора (хотя маловероятно, у меня и без него пускало, если это только не только что созданный юзер), » PDC эмулятор тут не при чём. Цитата uel: либо из-за проблем с недоступностью глобального каталога, srv2 таковым является? » это больше похоже. »

Может и похоже, но srv2 тоже с глобальным каталогом

Цитата User001:

Я посмотрел про 5 ролей fsmo, все они у srv. Может из-за этого такое странное поведение srv2? » А вы их передавали на srv2? »

Нет, не передавал. Тем более, сказали, что это необязательно, всегда потом можно присвоить при необходимости.

Цитата User001:

Цитируя вики: "FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, выполняющего данные операции". »

Согласно тому же вики, роль PDC Emulator возможна к неуникальному появлению после захвата.
Можно ли временно передать эту роль от основного контроллера в запасному, а потом вернуть обратно без ущерба, чтобы
попробовать не эта ли роль виновата в плохом поведении моего srv2?

Цитата User001:

dcdiag »

dcdiag выдал ошибку:

Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0xC00A0032
Время создания: 10/20/2015 17:17:41
Строка события:
Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и
отключил этого клиента
Возникла ошибка. Код события (EventID): 0xC00A0038
Время создания: 10/20/2015 17:17:41
Строка события:
Уровень безопасности сервера терминалов обнаружил ошибку в потоке пр
отокола и отключил этот клиент. IP-адрес клиента: 192.168.1.205.
......................... srv2 - не пройдена проверка SystemLog

Это видимо про того клиента, который заходил не администратором, а администратора потом пустил и им я сделал dcdiag. Он выкидывает длинную табличку при попытке входа неадмином, что вы не принадлежите к группе админов или другой группе с разрешением и надо дать разрешение вручную. Я давал разрешение и персонально пользователю и включал его в разные группы RDUsers, DomainUsers и т.п. которые есть в Security вкладке RDP-TCP. В разрешенных для RDP все эти юзеры прописаны в свойствах компьютера-Доп.параметрыСистемы, но все равно не пускает. А, дашь Administrators, то пускает.

Цитата User001:

настройки и т.д »

Про какие настройки спрашиваете? ip-адреса статические в одном сегменте локсети с адресом маршрутизатора в качестве шлюза в интернет.

Цитата cameron:

править домен летит Айболит и одно только слово твердит: DNS! DNS! DNS!" »

Что в DNS предлагаете поправить? оба сервера как NS сервера в обеих зонах присутствуют. Сервера пересылки настроены идентично на провайдера и в srv2 и в srv. В журнале DNS srv2 написано, что он завершил фоновую загрузку зон после загрузки сервера (зоны включают в себя доменные пользовательские компьютеры). На сервере srv2 можно смотреть интернет в браузере, если добавлять сайты в безопасные.

Цитата cameron:

чтения книжки по администрированию »

У меня конкретные проблемы текущей работы, а вы о книжках. читал я их много.