none
Win2003 řadič domény - nelze se přihlásit lokálně ani vzdáleně, nefuguje web ani sdílení souborů

    Dotaz

  • Zničehonic mi na řadiči domény (Windows 2003R2 se SP2) zřejmě přestala fungovat role řadiče domény.

    Server přestal ověřovat klienty, ti nemají přístup ke sdíleným složkám
    (server není v síti vůbec vidět), nefungují weby na IIS.

    V tomto stavu se nejde k serveru vzdáleně (vůbec se nepřipojí), ani místně přihlásit (pokud zadám jméno a heslo administrátora server píše že je špatné).

    Server jsem tedy restartoval a zhruba hodinu běžel bez problémů, poté se dostal opět do tohoto stavu.

    Během funkčnosti serveru jsem v prohlížeči událostí víděl chyby připojení jednotlivých služeb k AD. Bližší průzkum chci provést po dalším restartu, pokud se opět do serveru dostanu.

    Na serveru běží Exchange 2003, WSUS, NOD 32...

    Jediné co na serveru funguje je NAT v RRAS, přes který je klientům sdílen internet.

    Setkali jste se někdy s něčím podobným, máte nápad jak problém řešit?

    Předem moc děkuji

    Sváťa

     

    1. ledna 2011 12:24

Odpovědi

  • Takze ty v DNS registrujes i adresu "verejne" sitovky? Proc je uveden DNS seerver i u ni? Zde muze byt problem - pak ma server zaregistrovanou IP adresu ktera neni pristupna a/nebo na ni nebezi sluzba server

    Takze prosim popis konfiguraci site

    MP

    3. ledna 2011 20:45
    Moderátor
  • Teoreticky bych mohl nastavit na venkovním adaptéru DNS na 10.0.0.100 - adresu routeru/brány.

    VELMI, VELMI SPATNY NAPAD! V AD NEPOUZIVEJ jine nez AD DNS servery a do nich neregistruj jine nez lokalni adresy/adresy na kterych bezi AD sluzby!

    Proc? v citovanem nestastnem napadu bude znat server 2 DNS servery. Pokud se zepta serveru 192.168.1.x na neco ohledne AD (seznam radicu napriklad) bude vse OK. Pokud se zepta druheho DNSka - routeru - na AD dostane se mu osklive odpovedi "nevim neumim di pryc" a server si zacne myslet ze AD nejede. Atd atd.

    Proste s DNS stoji a pada cele AD, je to opravdu nejdulezitejsi komponenta a musi byt VYMAZLENA.

    MP

    4. ledna 2011 16:11
    Moderátor

Všechny reakce

  • Predpokladam ze prvni cvec kterou jsi udelal po restartu byla kontrola eventlogu. Nerikej ze v nem nebylo nic zajimaveho.
    MP
    1. ledna 2011 14:00
    Moderátor
  • Do eventlogu jsem koukal, bohužel jsem ale neměl dost času a chybových záznamů v něm byla spousta a nic mě hned do očí neuhodilo. Většina se týkala problému s nemožností kontaktovat AD různými službami...

    Je to první věc co chci udělat po dalším restartu - stáhnout logy abych to mohl i pokud bude server opět zaseknutý analyzovat.

    Podezřelé záznamy sem pak hodím...

    Sváťa

    1. ledna 2011 17:08
  • zkontroluj které aktualizace se nainstalovaly v poslední době a odinstuluj je...

    a taky zkotroluj, v services.msc jestli běží všechny služby, nejspíš ti některá nepoběží, nebo havarovala...

    1. ledna 2011 17:35
  • Shrnul jsem vše, co jsem zatím o problému zjistil, zásadní zjištění je, že se problém periodicky opakuje přesně po 2 hodinách a že server není zaseknutý úplně, ale nefungují služby vyžadující ověřování. Více níže.

    Aktualizace poslední týden před vznikem problému instalovány nebyly.

    Nemáte ještě nějaké nápady v čem může být problém?


    31.12.2010 6:19 – první zaseknutí:


    nefunguje ověřování:
    - na server se není možné přihlásit vzdáleně ani místně
    - nefunguje sdílení souborů
    - nefungují weby hostované na serveru
    - server není v okolních počítačích v síti


    naopak funguje:
    -  NAT v RRAS a DHCP - úspěšně sdílí klientům internet
    - ping na server funguje
    - funguje i místní dns (nevím ale, jestli to není z cache prohlížeče/počítače)
    - v event logu zaznamenáno:

    6:05:12
    W3SVC  ID události: 1013
    Proces obsluhující fond aplikací WsusPool překročil časové limity během vypnutí. ID procesu je 5568.


    6:16:59
    DNS - ID události: 4016
    Vypršel časový limit serveru DNS při pokusu o činnost služby Active Directory na ---. Ověřte, zda služba Active Directory pracuje správně. Údaj události obsahuje chybu.


    6:19:44
    MSExchangeMTA - Directory Access - ID události: 155
    Error 0X80040955 occurred while reading information for directory name (DN) CN=SMTP (NASSERVER-{8099B927-EC16-4030-9C2C-AA816724D08D}),CN=CONNECTIONS,CN=NAS,CN=MICROSOFT EXCHANGE,CN=SERVICES,CN=CONFIGURATION,DC=NAS,DC=LOCAL from the directory. [MTA OPERATOR 23 38] (12)


    6:38:39
    MSExchangeDSAccess – Topology - ID události:               2102
    Process MAD.EXE (PID=3896). All Domain Controller Servers in use are not responding: NASSERVER.NAS.local

    Po tvrdém restartu 31.12. v 19:11 hodně pomalé startovací fáze – připravování na připojení k síti, konfigurace počítače, aplikace zásad zabezpečení, ...
    Následně přesně 2 hodiny chod v pořádku poté stejný problém.

    Zaseknutí v 21:13


    V protokolu událostí:


    21:13:00
    ESE BACKUP – Callback - ID události: 904
    Information Store (4552) Callback function call ErrESECBGetDatabasesInfo ended with error 0x80004005 Nespecifikovaná chyba

    21:13:13
    MSExchangeAL - LDAP Operations - ID události:              8026
    LDAP Bind was unsuccessful on directory NASSERVER.NAS.local for distinguished name ''. Directory returned error:[0x55] Časový limit.   

    21:14:00
    ESE BACKUP – Callback – ID události: 904
    Information Store (4552) Callback function call ErrESECBGetDatabasesInfo ended with error 0x80004005 Nespecifikovaná chyba

    21:16:20
    DfsSvc - ID události: 14526
    Distribuovaný systém souborů (DFS) nenavázal kontakt se službou NASSERVER.NAS.local Active Directory. Distribuovaný systém souborů (DFS) použije data uložená v mezipaměti. Návratový kód se nachází v datech záznamu.

    21:16:46
    Process MAD.EXE (PID=4044). All Domain Controller Servers in use are not responding:
    NASSERVER.NAS.local

    21:18:15
    W3SVC - ID události: 1013
    Proces obsluhující fond aplikací WsusPool překročil časové limity během vypnutí. ID procesu je 3916.

    21:19:21
    DNS ID události: 4016
    Vypršel časový limit serveru DNS při pokusu o činnost služby Active Directory na DC=NASserver,DC=NAS.local,cn=MicrosoftDNS,DC=DomainDnsZones,DC=NAS,DC=local. Ověřte, zda služba Active Directory pracuje správně. Údaj události obsahuje chybu.

    Po dalším restartu server nenaběhnul – startování se zastavilo na konci první fáze (běhající pruhy).
    Po tvrdém restartu 3.1.2010 v 9:00 hodně pomalé startovací fáze.
    Přesně po 2 hodinách opět zaseknutí.

     

    3. ledna 2011 10:50
  • 2 hodiny jsou magicke cislo takze se pro jistotu zeptam/vyloucim: nebyl server instalovan z trial verze a pak (spatne) preinstalovan?

    MP

    3. ledna 2011 10:54
    Moderátor
  • To si myslím že ne. Server běží bez problému několik let.

    3. ledna 2011 12:13
  • Teď jsem objevil toto řešení "You cannot log on locally or remotely to your Microsoft Windows Server 2003-based computer" http://support.microsoft.com/kb/891511/en-us
    Nesedí mi na tom "users may still access file shares.", má to cenu zkoušet instalovat?
    3. ledna 2011 12:25
  • Zdravim.

    Popisovany problem na mna posobi tk, ze bude problem s Active Directory - DNS sa nevie dostat k svojim zonam, Exchange nie je schopny komunikovat s DC. Prilozili ste vypisy s Event Viewera (Application, System logy), ale nevidim ziadne zaznamy tykajuce sa AD - skuste mrknut do logu "Directory Service" - to je log, kam loguju AD sluzby. Snad sa vam to podari :). Nezda sa mi, ze by tam nebol aspon Warning ...

    Boris

    3. ledna 2011 14:51
  • jaka je nastavena adresa DNS serveru ve vlastnostech TCP/IP na serveru?

    MP

    3. ledna 2011 15:03
    Moderátor
  • Adresa DNS serveru je na obou adaptérech nastavena na 127.0.0.1.

    Momentálně server běží již 3 hodiny po omezení funkce antiviru který velmi vytěžoval server. Mohl nedostatek prostředků způsobit takový problém?

    Z logu Adresářové služby jsem záznamy nepřidával, protože mi tam nepřišlo nic důležitého, snad jen tyto 2 záznamy:

    Typ události: Upozornění
    Zdroj události: NTDS Inter-site Messaging
    Kategorie události: Mezisíťové zasílání zpráv
    ID události: 1380
    Datum:  1.1.2011
    Čas:  3:15:51
    Uživatel:  Není k dispozici
    Počítač: NASSERVER
    Popis:
    Úloha, která sleduje změny služby Active Directory u objektů přenosu mezi sítěmi, se nezdařila.
     
    V důsledku toho nerozpozná Služba mezisíťového zasílání zpráv přidání, odstranění a změny objektů přenosu mezi sítěmi.
     
    Akce uživatele
    Restartujte Službu mezisíťového zasílání zpráv nebo místní řadič domény.
     
    Další data
    Chybová hodnota:
    55 Zvolený síťový prostředek nebo zařízení nejsou nadále k dispozici.

    Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.

     

    Typ události: Upozornění
    Zdroj události: NTDS Inter-site Messaging
    Kategorie události: Mezisíťové zasílání zpráv
    ID události: 1369
    Datum:  1.1.2011
    Čas:  3:12:21
    Uživatel:  Není k dispozici
    Počítač: NASSERVER
    Popis:
    Služba mezisíťového zasílání zpráv požadovala základní vyhledávání protokolu LDAP začínající u následujícího objektu kontejner. Operace se nezdařila.
     
    Objekt kontejneru:
    CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=osf,DC=local
     
    Další data
    Chybová hodnota:
    58 Zvolený server nemůže provést požadovanou operaci.

    Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.

    3. ledna 2011 17:12
  • Takze ty v DNS registrujes i adresu "verejne" sitovky? Proc je uveden DNS seerver i u ni? Zde muze byt problem - pak ma server zaregistrovanou IP adresu ktera neni pristupna a/nebo na ni nebezi sluzba server

    Takze prosim popis konfiguraci site

    MP

    3. ledna 2011 20:45
    Moderátor
  • Jedná se o překlad z neveřejné sítě 10.0.0.x (venkovní adaptér) do neveřejné sítě 192.168.1.x. (vnitřní síť).

    Teoreticky bych mohl nastavit na venkovním adaptéru DNS na 10.0.0.100 - adresu routeru/brány.

    Jinak po přenastavení antiviru server 24 hodin běží. Event log nezobrazuje žádné chyby.

    Dám vědět zda se po změně na původní nastavení problém opět projeví...

    Svaťa

    4. ledna 2011 15:27
  • Teoreticky bych mohl nastavit na venkovním adaptéru DNS na 10.0.0.100 - adresu routeru/brány.

    VELMI, VELMI SPATNY NAPAD! V AD NEPOUZIVEJ jine nez AD DNS servery a do nich neregistruj jine nez lokalni adresy/adresy na kterych bezi AD sluzby!

    Proc? v citovanem nestastnem napadu bude znat server 2 DNS servery. Pokud se zepta serveru 192.168.1.x na neco ohledne AD (seznam radicu napriklad) bude vse OK. Pokud se zepta druheho DNSka - routeru - na AD dostane se mu osklive odpovedi "nevim neumim di pryc" a server si zacne myslet ze AD nejede. Atd atd.

    Proste s DNS stoji a pada cele AD, je to opravdu nejdulezitejsi komponenta a musi byt VYMAZLENA.

    MP

    4. ledna 2011 16:11
    Moderátor
  • Dobrá, díky za info, přenastavovat tedy nebudu...
    5. ledna 2011 9:38