none
Nelze kontaktovad doménu ze správy zásad skupiny

    Dotaz

  • Zdravím, mám na serveru problém, ale popíšu to od začátku.

    Původní server byl na Windows 2012 a ten začal odcházet, domluvili jsme se tedy, že koupíme nový, dříve než umře úplně. To se stalo - s Windows serverem 2019. Ten jsme připojili do domény a udělali z něj doménový řadič. Na obou serverech jsou teď uživatelé a na obou jsou vidět v uživatelích AD oba servery jako řadiče.

    Všechno funguje, ale zjistil jsem problém, kdy mi nejde spustit konzole pro správu zásad skupiny s chybou "Zadaný řadič domény nelze kontaktovat. To ovlivňuje následující doménu v konzole. Zadaná doména neexistuje nebo není k dispozici."

    DNS mám nastavené vlastní - tj. ty toho aktuálního serveru. Zvláštní, že na starém serveru Správu zásad skupiny bez problémů zapnu.

    Nenapadá vás někoho, kde by mohl být zakopaný pes?

    Moc díky.

    Petr S.

    čtvrtek 9. května 2019 11:23

Všechny reakce

  • V prohlížeči událostí jsem pak našel tuto chybu

    Klient služby Kerberos obdržel ze serveru w2019-serverad$ chybu KRB_AP_ERR_MODIFIED. Byl použit cílový název SKOLA\SERVER$. Znamená to, že cílovému serveru se nepodařilo dešifrovat lístek poskytnutý klientem. K tomu může dojít, pokud je hlavní název cílového serveru (SPN) registrován na jiném účtu, než který používá cílová služba. Zkontrolujte, zda je hlavní název cílového serveru SPN registrován pouze na účtu používaném serverem. K této chybě může také dojít, pokud cílová služba používá pro účet cílové služby jiné heslo, než které pro účet cílové služby používá středisko KDC protokolu Kerberos. Zkontrolujte, zda jsou služba na serveru i středisko KDC nastaveny k používání stejného hesla. Pokud není název serveru plně kvalifikovaný a cílová doména (SKOLA.LOCAL) se liší od domény klienta (SKOLA.LOCAL), zkontrolujte, zda v těchto dvou doménách existují stejně pojmenované účty serveru, nebo použijte k určení serveru plně kvalifikované názvy.

    W2019-ServerAD - je ten nový server

    SERVER - je ten starý server

    čtvrtek 9. května 2019 11:40
  • Cas? Nemas rozjete hodiny?

    Replikace replikuje OK? repadmin /showrepl nebo /replsummary

    čtvrtek 9. května 2019 12:32
  • Čas je v pořádku na obou strojích. Replikaci asi úplně nepotřebujeme, ten starý server bude pak odstavený. Nicméně replikace koukám opravdu nefunguje:

    PS C:\Windows\system32> repadmin /showrepl

    Repadmin: running command /showrepl against full DC localhost
    Default-First-Site\SERVER
    DSA Options: IS_GC
    Site Options: (none)
    DSA object GUID: a88a341e-ce58-4abf-9c19-7a5b3c9e254c
    DSA invocationID: f93a3430-f08d-460e-9065-44bf208488c5


    Naming Context: DC=zsskola,DC=local
    Source: Default-First-Site\W2019-SERVERAD
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: CN=Configuration,DC=zsskola,DC=local
    Source: Default-First-Site\W2019-SERVERAD
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: CN=Schema,CN=Configuration,DC=zsskola,DC=local
    Source: Default-First-Site\W2019-SERVERAD
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Ještě mi přišlo zajímavé. zjistil jsem, že při pingu například ze starého serveru na nový se nevypíše celé doménové jméno. Nicméně ping pingá.

    Starý server:

    Z:\>ping server

    Pinging server.zsustecka.local [fe80::d4c8:84e0:c13:f95e%16] with 32 bytes of da
    ta:
    Reply from fe80::d4c8:84e0:c13:f95e%16: time<1ms
    Reply from fe80::d4c8:84e0:c13:f95e%16: time<1ms
    Reply from fe80::d4c8:84e0:c13:f95e%16: time<1ms
    Reply from fe80::d4c8:84e0:c13:f95e%16: time<1ms

    Ping statistics for fe80::d4c8:84e0:c13:f95e%16:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

    Z:\>ping w2019-serverad

    Pinging W2019-ServerAD [fe80::a9c8:3649:1218:501b%15] with 32 bytes of data:
    Reply from fe80::a9c8:3649:1218:501b%15: time<1ms
    Reply from fe80::a9c8:3649:1218:501b%15: time<1ms
    Reply from fe80::a9c8:3649:1218:501b%15: time<1ms
    Reply from fe80::a9c8:3649:1218:501b%15: time<1ms

    Ping statistics for fe80::a9c8:3649:1218:501b%15:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

                                                                                 

    Nový server:

    C:\Users\telnes>ping w2019-serverad

    Pinging W2019-ServerAD.zsustecka.local [fe80::a9c8:3649:1218:501b%12] with 32 bytes of data:
    Reply from fe80::a9c8:3649:1218:501b%12: time<1ms
    Reply from fe80::a9c8:3649:1218:501b%12: time<1ms
    Reply from fe80::a9c8:3649:1218:501b%12: time<1ms

    Ping statistics for fe80::a9c8:3649:1218:501b%12:
        Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms
    Control-C
    ^C
    C:\Users\telnes>ping server

    Pinging server [fe80::fd93:e7a7:582a:e7b9%4] with 32 bytes of data:
    Reply from fe80::fd93:e7a7:582a:e7b9%4: time<1ms
    Reply from fe80::fd93:e7a7:582a:e7b9%4: time<1ms
    Reply from fe80::fd93:e7a7:582a:e7b9%4: time<1ms
    Reply from fe80::fd93:e7a7:582a:e7b9%4: time<1ms

    Ping statistics for fe80::fd93:e7a7:582a:e7b9%4:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

    neděle 12. května 2019 11:57
  • Nemáš náhodou na starém serveru nastavenou stále FRS replikaci SYSVOLu místo DFSR?

    Viz https://www.microsoft.com/en-us/download/details.aspx?id=4843 nebo třeba tady https://www.mowasay.com/2017/06/guide-to-migrate-frs-to-dfsr/


    BB

    neděle 12. května 2019 13:19
  • To by už mělo být zmigrováno, výpis ze starého serveru. V adresáři Windows mám složku SYSVOL_DFSR

    PS C:\Windows\system32> dfsrmig /getglobalstate

    Current DFSR global state: 'Eliminated'
           hema,CN=Configuration,DC=zsskola,DC=local
    SourǠ

    neděle 12. května 2019 14:05
  • To me pobavilo - "replikaci asi uplne nepotrebujeme" :)

    v siti jsou DVA domenove radice = MUSI se replikovat. Ze jednou stary server odeberes, je momentalne podruzna zalezitost. Jinak prave nastavaji "podivne" problemy. Protože například GPO objekty jsou de facto slozky, ktere se prave replikuji mezi servery.

    Na novem serveru asi tedy neni nasdileny sysvol - jukni do CMD: NET SHARE.

    Projdi eventlogy obou serveru, specialne pro DFSR.
    Ppripadne zacni replikovat od nuly http://kpytko.pl/active-directory-domain-services/authoritative-sysvol-restore-dfs-r/

    Udelej si zalohu SYSVOLU.


    pondělí 13. května 2019 6:49
  • Díky. No jako v zásadě, já ten starý server můžu odebrat rovnou. :D Teď už ho nepotřebuju... Ale je divné, že původně ta replikace fungovala a všichno se zreplikovalo na nový server. Akorát to odebírat nechci protože nevím co to udělá, abych si to nerozbil. Říkáš tedy nejdřív radši spravit replikaci a pak to odebrat?

    Nasdílený Sysvol je.

    Moc díky.

    C:\Users\telnes>net share

    Název
    sdílené
    položky      Prostředek                      Poznámka

    -------------------------------------------------------------------------------
    ADMIN$       C:\Windows                      Vzdálený správce
    IPC$                                         Vzdálený IPC
    C$           C:\                             Výchozí sdílená položka
    Dokumenty$   D:\Dokumenty
    D$           D:\                             Výchozí sdílená položka
    Profiles$    D:\Profiles
    BAKALARI     D:\BAKALARI
    Cviceni      D:\Vyuka\Cviceni
    Didakta      D:\Vyuka\Didakta
    DUM          D:\Vyuka\DUM
    NETLOGON     C:\Windows\SYSVOL\sysvol\zsskola.local\SCRIPTS
                                                 Sdílená položka přihlašovacího ...
    Prace_informatika
                 D:\Vyuka\Prace_informatika
    Skolni_plany D:\Vyuka\Skolni_plany
    SYSVOL       C:\Windows\SYSVOL\sysvol        Sdílená položka přihlašovacího ...
    Terasoft     D:\Vyuka\Terasoft
    Příkaz byl úspěšně dokončen.

    pondělí 13. května 2019 12:42
  • Urcite opravit. Obavam se, ze s pozkozenou replikaci nepujde odebrat stary DC korektne.

    Pokud je na serveru SQLko (Bakalari), pak se odebranim DC ze serveru SQLko zabije.

    Obecne je doporucenou praktikou nemichat DC s dalsimi sluzbami.


    pondělí 13. května 2019 12:55
  • Pokud je na serveru SQLko (Bakalari), pak se odebranim DC ze serveru SQLko zabije.


    Urcite? Pokud se ze serveru stane member server, nemelo by to vadit. Horsi by to bylo naopak (ztrata pripadnych lokalnich uctu). Osobne bych byl vyjimecny optimista a rekl bych "SQL denotnuti SQL NEMUSI chcipnout"

    Nicmene mit SQL na DC neni dobry napad, a jakakoliv cinnost muze dopadnout (a dopadne) tak, ze se neco po.ere a bude ti donekonecna omilano, ze na DC proste SQL ani dalsi veci nepatri.

    MP

    pondělí 13. května 2019 13:53
    Moderátor
  • My s tim mame spatne zkusenosti.

    Podle kolegu SQLkaru je to tim, ze se zmeni zmeni SIDy internich uctu - treba local system. Nezkoumal jsem, jenom si pamatuju, ze odebrani DC sluzeb znici SQLko.

    https://www.concurrency.com/blog/february-2017/installing-sql-server-on-a-domain-controller-what

    IISko to taky neprezije bez ztraty kyticky.
    pondělí 13. května 2019 14:26
  • To je prave snad jeden z mala uctu, ktere jsou vzdy lokalni (I na DC) a vell-known:

    SID for NT AUTHORITY\SYSTEM:
    S-1-5-18

    (ne ze by to byl vhodny ucet pro MS SQL, ale …)

    MP

    pondělí 13. května 2019 14:41
    Moderátor