none
Errore DNS a seguito DCPROMO RRS feed

  • Domanda

  • Buongiorno,

    su una rete privata ho un dominio Windows 2003 con un solo Domain Controller: dopo avere eseguito ADPREP, ho avviato la procedura DCPROMO sul nuovo server 2008 R2, destinato ad affiancare e successivamente sostituire il vecchio DC, avendo cura di impostare preventivamente l'IP del vecchio DC come DNS sul 2008.

    La procedura sembra essere andata a buon fine, nel senso che vedo le zone DNS e Active Directory replicate sul nuovo DC 2008, se non fosse che al termine mi si è presentata la finestra di errore che allego, di cui francamente non capisco il senso.

    Qualcuno mi può aiutare?

    Grazie

     

    sabato 14 gennaio 2012 11:40

Risposte

  • Attualmente il DNS principale è già 172.28.69.140, il secondario è l'indirizzo di loopback (forse è meglio 172.28.69.2 ? )


    No, attualmente il principale è ::1 dato che, nel caso di doublestack (IPv4 ed IPv6) l'OS preferisce usare v6 per le queries; devi togliere l'indirizzo DNS dalla configurazione IPv6 ed in quella IPv4 inserire solo i DNS corretti; potrai poi modificare la configurazione in seguito.

     

    mercoledì 18 gennaio 2012 11:12
  • DNS . . . . . . . . . . . . .  : ::1
                                               172.28.69.140
                                               127.0.0.1
      


    Controlla il DNS e metti come principale quello del DC funzionante (in quanto sicuramente funzionante) che dovrebbe essere 172.28.69.140

    Una volta conclusa la fase di repliche modifica il DNS con i nuovi parametri DNS principale 172.28.69.2 e DNS secondario 172.28.68.140

     

    Saluti

    Nino

    mercoledì 18 gennaio 2012 09:07
    Moderatore

Tutte le risposte

  • Aggiungo che il comando repadmin /showreps mi dà il seguente output:

     

    Default-First-Site\DC-LAB

    Opzioni DSA: IS_GC

    Opzioni sito: (none)

    GUID oggetto DSA: e47c8404-b8e6-4a3e-bff4-d02cb77fca7f

    ID chiamata DSA: 19c5d50c-7507-471c-93ef-a9695ba71f9a



    ==== ROUTER ADIACENTI IN INGRESSO ==============================



    DC=multimedia,DC=ling,DC=xxxxx,DC=it

        Default-First-Site\SERVIZI tramite RPC

            GUID oggetto DSA: a7faa235-8a37-42e1-aad2-db38811629d3

            Ultimo tentativo in data 2012-01-14 12:56:50 riuscito.



    CN=Configuration,DC=multimedia,DC=ling,DC=xxxxx,DC=it

        Default-First-Site\SERVIZI tramite RPC

            GUID oggetto DSA: a7faa235-8a37-42e1-aad2-db38811629d3

            Ultimo tentativo in data 2012-01-14 12:56:50 riuscito.



    CN=Schema,CN=Configuration,DC=multimedia,DC=ling,DC=xxxxx,DC=it

        Default-First-Site\SERVIZI tramite RPC

            GUID oggetto DSA: a7faa235-8a37-42e1-aad2-db38811629d3

            Ultimo tentativo in data 2012-01-14 12:56:50 riuscito.



    DC=DomainDnsZones,DC=multimedia,DC=ling,DC=xxxxx,DC=it

        Default-First-Site\SERVIZI tramite RPC

            GUID oggetto DSA: a7faa235-8a37-42e1-aad2-db38811629d3

            Ultimo tentativo in data 2012-01-14 12:56:50 riuscito.



    DC=ForestDnsZones,DC=multimedia,DC=ling,DC=xxxxx,DC=it

        Default-First-Site\SERVIZI tramite RPC

            GUID oggetto DSA: a7faa235-8a37-42e1-aad2-db38811629d3

            Ultimo tentativo in data 2012-01-14 12:56:50 riuscito.

    DsReplicaGetInfo() non riuscito con stato 8453 (0x2105):

        Accesso di replica negato.

    DsReplicaGetInfo() non riuscito con stato 8453 (0x2105):

        Accesso di replica negato.


    sabato 14 gennaio 2012 12:03
  • Ciao  Victor, posta un DCDIAG ed un NETDIAG ed eventuali errori negli eventi.

     

    Saluti

    Nino

    sabato 14 gennaio 2012 15:56
    Moderatore
  • sul win2k8 hai fatto installare anche il DNS server in fase di dcpromo ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 16 gennaio 2012 12:08
    Moderatore
  • @ Nino:
    Devo lanciare i comandi su entrambi i controllers o è sufficiente su uno dei due?

    @ Edo:
    Sì, contestualmente al dcpromo ho installato anche il servizio DNS.
    Il vecchio DC era l'unico DNS, configurato con due forwarders (DNS aziendali con IP pubblico)  per consentire l'accesso Internet ai clients membri del dominio sulla rete privata.

    Grazie

    martedì 17 gennaio 2012 13:43
  • @ Edo:
    Sì, contestualmente al dcpromo ho installato anche il servizio DNS.
    Il vecchio DC era l'unico DNS, configurato con due forwarders (DNS aziendali con IP pubblico)  per consentire l'accesso Internet ai clients membri del dominio sulla rete privata.


    puoi postare un ipconfig /all di questo nuovo domain controller ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 17 gennaio 2012 13:58
    Moderatore
  • @ Nino:
    Devo lanciare i comandi su entrambi i controllers o è sufficiente su uno dei due?


    Per ora posta solo del nuovo

     

    Saluti

    Nino

    martedì 17 gennaio 2012 14:07
    Moderatore
  • @ Edo

    Eccolo:

    Configurazione IP di Windows

       Nome host . . . . . . . . . . . . . . : DC-LAB
       Suffisso DNS primario . . . . . . . . : multimedia.ling.xxxx.it
       Tipo nodo . . . . . . . . . . . . . . : Ibrido
       Routing IP abilitato. . . . . . . . . : No
       Proxy WINS abilitato . . . . . . . .  : No
       Elenco di ricerca suffissi DNS. . . . : multimedia.ling.xxxx.it

    Scheda Ethernet Local Area Connection:

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-5D-BC-96
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : S
       Indirizzo IPv6 locale rispetto al collegamento . : fe80::65e8:95e8:5298:1a0b%10(Preferenziale)
       Indirizzo IPv4. . . . . . . . . . . . : 172.28.69.2(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 172.28.69.3
       IAID DHCPv6 . . . . . . . . . . . : 234884137
       DUID Client DHCPv6. . . . . . . . : 00-01-00-01-16-A0-D0-18-00-0C-29-5D-BC-96
       Server DNS . . . . . . . . . . . . .  : ::1
                                               172.28.69.140
                                               127.0.0.1
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    Scheda Tunnel isatap.{16C4AB57-B3B6-42DE-AD5F-5D9194B81BD2}:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : S

    Scheda Tunnel Teredo Tunneling Pseudo-Interface:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : S

    Grazie

    mercoledì 18 gennaio 2012 08:08
  • @ Nino

    Posto solo l'output di DCDIAG perchè non riesco a trovare NETDIAG 64-bit:


    Diagnosi server di directory


    Esecuzione della configurazione iniziale:

       Ricerca dell'home server in corso...

       * Verificare che il computer locale DC-LAB sia un server di directory.
       Home server: DC-LAB

       * Connessione al servizio directory sul server DC-LAB.

       * Foresta di Active Directory identificata.
       Collecting AD specific global data
       * Raccolta delle informazioni relative al sito.

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded
       Iterating through the sites
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
       Getting ISTG and options for the site
       * Identificazione di tutti i server.

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers
       Getting information for the server CN=NTDS Settings,CN=SERVIZI,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=DC-LAB,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * Identificazione di tutti i riferimenti incrociati del contesto dei nomi.

       * Controller di dominio trovati: 2. Controller di dominio su cui Š in corso

       il test: 1.

       Raccolta delle informazioni iniziali completata.


    Esecuzione dei test obbligatori iniziali

      
       Server in fase di test: Default-First-Site\DC-LAB

          Inizio test: Connectivity

             * Active Directory LDAP Services Check
             Determining IP4 connectivity
             * Active Directory RPC Services Check
             ......................... DC-LAB ha superato il test Connectivity



    Esecuzione dei test principali

      
       Server in fase di test: Default-First-Site\DC-LAB

          Inizio test: Advertising

             The DC DC-LAB is advertising itself as a DC and having a DS.
             The DC DC-LAB is advertising as an LDAP server
             The DC DC-LAB is advertising as having a writeable directory
             The DC DC-LAB is advertising as a Key Distribution Center
             The DC DC-LAB is advertising as a time server
             The DS DC-LAB is advertising as a GC.
             ......................... DC-LAB ha superato il test Advertising

          Test omesso su richiesta dell'utente: CheckSecurityError

          Test omesso su richiesta dell'utente: CutoffServers

          Inizio test: FrsEvent

             * Test per la verifica del registro eventi di Replica file
             Si sono verificati eventi con avvisi o errori nelle ultime 24 ore dopo

             la condivisione di SYSVOL. Gli errori di replica di SYSVOL possono

             causare problemi con i Criteri di gruppo.
             Si Š verificato un evento di avviso. ID evento: 0x800034C4

                Data e ora generazione: 01/18/2012   08.52.05

                Stringa evento:

                Replica file: problemi durante l'attivazione della replica da SERVIZI a DC-LAB per c:\windows\sysvol\domain tramite il nome DNS servizi.multimedia.ling.xxxxx.it. Il servizio continuer… a tentare l'operazione.

                 Di seguito sono riportate alcune delle possibili cause di questo avviso.

                

                 [1] Non Š possibile risolvere correttamente il nome DNS servizi.multimedia.ling.xxxxx.it dal computer in uso.

                 [2] Replica file non Š in esecuzione su servizi.multimedia.ling.xxxxx.it.

                 [3] Le informazioni relative alla topologia disponibili in Servizi di dominio Active Directory per questa replica non sono ancora state replicate in tutti i controller di dominio.

                

                 Questo messaggio del registro eventi viene visualizzato una sola volta per connessione. Alla risoluzione del problema verr… visualizzato un altro messaggio del registro eventi che segnala l'instaurazione della connessione.

             Si Š verificato un evento di avviso. ID evento: 0x800034C5

                Data e ora generazione: 01/18/2012   08.55.14

                Stringa evento:

                Il servizio Replica file ha attivato la replica da SERVIZI a DC-LAB per c:\windows\sysvol\domain dopo ripetuti tentativi.

             ......................... DC-LAB ha superato il test FrsEvent

          Inizio test: DFSREvent

             The DFS Replication Event Log.
             Ignora il test perch‚ il server esegue FRS.

             ......................... DC-LAB ha superato il test DFSREvent

          Inizio test: SysVolCheck

             * Test che verifica se la directory SYSVOL di Replica file Š pronta
             La directory SYSVOL di Replica file Š pronta
             ......................... DC-LAB ha superato il test SysVolCheck

          Inizio test: KccEvent

             * The KCC Event log test
             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... DC-LAB ha superato il test KccEvent

          Inizio test: KnowsOfRoleHolders

             Role Schema Owner = CN=NTDS Settings,CN=SERVIZI,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
             Role Domain Owner = CN=NTDS Settings,CN=SERVIZI,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
             Role PDC Owner = CN=NTDS Settings,CN=SERVIZI,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
             Role Rid Owner = CN=NTDS Settings,CN=SERVIZI,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=SERVIZI,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
             ......................... DC-LAB ha superato il test

             KnowsOfRoleHolders

          Inizio test: MachineAccount

             Checking machine account for DC DC-LAB on DC DC-LAB.
             * SPN found :LDAP/DC-LAB.multimedia.ling.xxxxx.it/multimedia.ling.xxxxx.it
             * SPN found :LDAP/DC-LAB.multimedia.ling.xxxxx.it
             * SPN found :LDAP/DC-LAB
             * SPN found :LDAP/DC-LAB.multimedia.ling.xxxxx.it/MULTIMEDIA
             * SPN found :LDAP/e47c8404-b8e6-4a3e-bff4-d02cb77fca7f._msdcs.multimedia.ling.xxxxx.it
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/e47c8404-b8e6-4a3e-bff4-d02cb77fca7f/multimedia.ling.xxxxx.it
             * SPN found :HOST/DC-LAB.multimedia.ling.xxxxx.it/multimedia.ling.xxxxx.it
             * SPN found :HOST/DC-LAB.multimedia.ling.xxxxx.it
             * SPN found :HOST/DC-LAB
             * SPN found :HOST/DC-LAB.multimedia.ling.xxxxx.it/MULTIMEDIA
             * SPN found :GC/DC-LAB.multimedia.ling.xxxxx.it/multimedia.ling.xxxxx.it
             ......................... DC-LAB ha superato il test MachineAccount

          Inizio test: NCSecDesc

             * Security Permissions check for all NC's on DC DC-LAB.
             The forest is not ready for RODC. Will skip checking ERODC ACEs.
             * Controllo autorizzazioni di sicurezza per

               DC=ForestDnsZones,DC=multimedia,DC=ling,DC=unipr,DC=it
                (NDNC,Version 3)
             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di

                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:

             DC=ForestDnsZones,DC=multimedia,DC=ling,DC=unipr,DC=it
             * Controllo autorizzazioni di sicurezza per

               DC=DomainDnsZones,DC=multimedia,DC=ling,DC=unipr,DC=it
                (NDNC,Version 3)
             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di

                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:

             DC=DomainDnsZones,DC=multimedia,DC=ling,DC=unipr,DC=it
             * Controllo autorizzazioni di sicurezza per

               CN=Schema,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
                (Schema,Version 3)
             * Controllo autorizzazioni di sicurezza per

               CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it
                (Configuration,Version 3)
             * Controllo autorizzazioni di sicurezza per

               DC=multimedia,DC=ling,DC=unipr,DC=it
                (Domain,Version 3)
             ......................... DC-LAB non ha superato il test NCSecDesc

          Inizio test: NetLogons

             * Network Logons Privileges Check
             Verified share \\DC-LAB\netlogon
             Verified share \\DC-LAB\sysvol
             [DC-LAB] Le credenziali utente non dispongono dell'autorizzazione

             necessaria per eseguire l'operazione.

             L'account utilizzato per il test deve disporre di privilegi di accesso

             in rete

             per il dominio di questo computer.

             ......................... DC-LAB non ha superato il test NetLogons

          Inizio test: ObjectsReplicated

             DC-LAB is in domain DC=multimedia,DC=ling,DC=unipr,DC=it
             Checking for CN=DC-LAB,OU=Domain Controllers,DC=multimedia,DC=ling,DC=unipr,DC=it in domain DC=multimedia,DC=ling,DC=unipr,DC=it on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=DC-LAB,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it in domain CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it on 1 servers
                Object is up-to-date on all servers.
             ......................... DC-LAB ha superato il test ObjectsReplicated

          Test omesso su richiesta dell'utente: OutboundSecureChannels

          Inizio test: Replications

             * Replications Check
             [Replications Check,DC-LAB] Un recente tentativo di replica non Š

             riuscito:

                Da SERVIZI a DC-LAB

                Contesto dei nomi:

                DC=ForestDnsZones,DC=multimedia,DC=ling,DC=unipr,DC=it

                La replica ha generato un errore (1908):

                Impossibile trovare il controller di dominio per il dominio.

                L'errore si Š verificato alle ore 2012-01-18 08:50:02.

                L'ultima operazione riuscita Š stata eseguita alle ore

                2012-01-14 12:56:50.

                Errori rilevati dopo l'ultima operazione riuscita: 1.

                Errore Kerberos.

                Impossibile trovare un KDC per autenticare la chiamata.

                Verificare che siano disponibili controller di dominio sufficienti.

             [Replications Check,DC-LAB] Un recente tentativo di replica non Š

             riuscito:

                Da SERVIZI a DC-LAB

                Contesto dei nomi:

                CN=Schema,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it

                La replica ha generato un errore (1908):

                Impossibile trovare il controller di dominio per il dominio.

                L'errore si Š verificato alle ore 2012-01-18 08:50:02.

                L'ultima operazione riuscita Š stata eseguita alle ore

                2012-01-14 12:56:50.

                Errori rilevati dopo l'ultima operazione riuscita: 1.

                Errore Kerberos.

                Impossibile trovare un KDC per autenticare la chiamata.

                Verificare che siano disponibili controller di dominio sufficienti.

             [Replications Check,DC-LAB] Un recente tentativo di replica non Š

             riuscito:

                Da SERVIZI a DC-LAB

                Contesto dei nomi: DC=multimedia,DC=ling,DC=unipr,DC=it

                La replica ha generato un errore (1908):

                Impossibile trovare il controller di dominio per il dominio.

                L'errore si Š verificato alle ore 2012-01-18 08:50:01.

                L'ultima operazione riuscita Š stata eseguita alle ore

                2012-01-14 13:10:02.

                Errori rilevati dopo l'ultima operazione riuscita: 1.

                Errore Kerberos.

                Impossibile trovare un KDC per autenticare la chiamata.

                Verificare che siano disponibili controller di dominio sufficienti.

             AVVISO DI LATENZA DI REPLICA

             ERRORE: manca il collegamento di notifica previsto.

             Origine SERVIZI

             La replica delle ultime modifiche lungo questo percorso subir… un

             ritardo.

             Il problema verr… corretto automaticamente alla sincronizzazione

             periodica successiva.

             ......................... DC-LAB non ha superato il test Replications

          Inizio test: RidManager

             * Available RID Pool for the Domain is 3605 to 1073741823
             * servizi.multimedia.ling.xxxxx.it is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 3105 to 3604
             * rIDPreviousAllocationPool is 3105 to 3604
             * rIDNextRID: 3105
             ......................... DC-LAB ha superato il test RidManager

          Inizio test: Services

             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
                Impossibile aprire il servizio NTDS su DC-LAB. Errore: 0x5

                "Accesso negato."

             * Checking Service: DnsCache
             * Checking Service: NtFrs
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... DC-LAB non ha superato il test Services

          Inizio test: SystemLog

             * The System Event log test
             Si Š verificato un evento di avviso. ID evento: 0x80070003

                Data e ora generazione: 01/18/2012   08.48.02

                Stringa evento:

                VMDebug driver (version 7.3.4.7) was not enabled.  This driver is required by the replay debugging feature of VMware Workstation. If you are using other VMware products or not using replay debugging, please ignore this message.

             Si Š verificato un evento di avviso. ID evento: 0x8000001D

                Data e ora generazione: 01/18/2012   08.48.14

                Stringa evento:

                Centro distribuzione chiavi (KDC): impossibile trovare un certificato adatto per utilizzare gli accessi con smart card oppure impossibile verificare il certificato KDC. Se il problema non viene risolto, l'accesso con smart card potrebbe non funzionare correttamente. Per risolvere il problema, verificare il certificato KDC esistente utilizzando certutil.exe oppure registrarsi per ottenere un nuovo certificato KDC.

             Si Š verificato un evento di avviso. ID evento: 0x000003F6

                Data e ora generazione: 01/18/2012   08.48.23

                Stringa evento:

                Timeout della risoluzione dei nomi per il nome _ldap._tcp.dc._msdcs.multimedia.ling.xxxxx.it. Nessun server DNS configurato ha risposto.

             Si Š verificato un evento di avviso. ID evento: 0x00000C18

                Data e ora generazione: 01/18/2012   08.48.40

                Stringa evento:

                Impossibile trovare il controller di dominio primario per questo dominio.

             Si Š verificato un evento di errore. ID evento: 0x0000041F

                Data e ora generazione: 01/18/2012   08.49.07

                Stringa evento:

                Elaborazione dei Criteri di gruppo non riuscita. Impossibile risolvere il nome del computer. Il problema potrebbe essere dovuto a una o pi— delle cause seguenti:

                a) Errore di risoluzione dei nomi nel controller di dominio corrente.

                b) Latenza di replica di Active Directory (un account creato in un altro controller di dominio non Š stato replicato nel controller di dominio corrente).

             Si Š verificato un evento di errore. ID evento: 0xC00038D6

                Data e ora generazione: 01/18/2012   08.49.56

                Stringa evento:

                Servizio Spazio dei nomi DFS: impossibile inizializzare le informazioni sul trust per pi— foreste in questo controller di dominio. L'operazione verr… tuttavia rieseguita periodicamente. Il codice restituito Š nei dati del record.

             Si Š verificato un evento di avviso. ID evento: 0x000003F6

                Data e ora generazione: 01/18/2012   08.49.59

                Stringa evento:

                Timeout della risoluzione dei nomi per il nome multimedia.ling.xxxxx.it. Nessun server DNS configurato ha risposto.

             Si Š verificato un evento di avviso. ID evento: 0x00000081

                Data e ora generazione: 01/18/2012   08.50.03

                Stringa evento:

                NtpClient: impossibile impostare un peer di dominio da utilizzare come origine ora a causa di un errore di individuazione. Verr… eseguito un nuovo tentativo tra 3473457 minuti, quindi l'intervallo tra i nuovi tentativi verr… raddoppiato. Errore: The entry is not found. (0x800706E1)

             Si Š verificato un evento di avviso. ID evento: 0x00000081

                Data e ora generazione: 01/18/2012   08.50.05

                Stringa evento:

                NtpClient: impossibile impostare un peer di dominio da utilizzare come origine ora a causa di un errore di individuazione. Verr… eseguito un nuovo tentativo tra 3473457 minuti, quindi l'intervallo tra i nuovi tentativi verr… raddoppiato. Errore: The entry is not found. (0x800706E1)

             Si Š verificato un evento di avviso. ID evento: 0x000727AA

                Data e ora generazione: 01/18/2012   08.52.08

                Stringa evento:

                Servizio Gestione remota Windows: impossibile creare gli SPN seguenti: WSMAN/DC-LAB.multimedia.ling.xxxxx.it; WSMAN/DC-LAB.

               

                 Dati aggiuntivi

                 Errore ricevuto: 8344: %%8344.

               

                Azione utente

                 Gli SPN possono essere creati da un amministratore utilizzando l'utilit… setspn.exe.

             ......................... DC-LAB non ha superato il test SystemLog

          Test omesso su richiesta dell'utente: Topology

          Test omesso su richiesta dell'utente: VerifyEnterpriseReferences

          Inizio test: VerifyReferences

             Il riferimento all'oggetto di sistema (serverReference)

             CN=DC-LAB,OU=Domain Controllers,DC=multimedia,DC=ling,DC=unipr,DC=it e

             il backlink su

             CN=DC-LAB,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it

             sono corretti.
             Il riferimento all'oggetto di sistema (serverReferenceBL)

             CN=DC-LAB,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=multimedia,DC=ling,DC=unipr,DC=it

             e il backlink su

             CN=NTDS Settings,CN=DC-LAB,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=multimedia,DC=ling,DC=unipr,DC=it

             sono corretti.
             Il riferimento all'oggetto di sistema (frsComputerReferenceBL)

             CN=DC-LAB,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=multimedia,DC=ling,DC=unipr,DC=it

             e il backlink su

             CN=DC-LAB,OU=Domain Controllers,DC=multimedia,DC=ling,DC=unipr,DC=it

             sono corretti.
             ......................... DC-LAB ha superato il test VerifyReferences

          Test omesso su richiesta dell'utente: VerifyReplicas

      
          Test omesso su richiesta dell'utente: DNS

          Test omesso su richiesta dell'utente: DNS

      
       Test partizione in esecuzione su: ForestDnsZones

          Inizio test: CheckSDRefDom

             ......................... ForestDnsZones ha superato il test

             CheckSDRefDom

          Inizio test: CrossRefValidation

             ......................... ForestDnsZones ha superato il test

             CrossRefValidation

      
       Test partizione in esecuzione su: DomainDnsZones

          Inizio test: CheckSDRefDom

             ......................... DomainDnsZones ha superato il test

             CheckSDRefDom

          Inizio test: CrossRefValidation

             ......................... DomainDnsZones ha superato il test

             CrossRefValidation

      
       Test partizione in esecuzione su: Schema

          Inizio test: CheckSDRefDom

             ......................... Schema ha superato il test CheckSDRefDom

          Inizio test: CrossRefValidation

             ......................... Schema ha superato il test

             CrossRefValidation

      
       Test partizione in esecuzione su: Configuration

          Inizio test: CheckSDRefDom

             ......................... Configuration ha superato il test

             CheckSDRefDom

          Inizio test: CrossRefValidation

             ......................... Configuration ha superato il test

             CrossRefValidation

      
       Test partizione in esecuzione su: multimedia

          Inizio test: CheckSDRefDom

             ......................... multimedia ha superato il test CheckSDRefDom

          Inizio test: CrossRefValidation

             ......................... multimedia ha superato il test

             CrossRefValidation

      
       Test organizzazione in esecuzione su: multimedia.ling.xxxxx.it

          Test omesso su richiesta dell'utente: DNS

          Test omesso su richiesta dell'utente: DNS

          Inizio test: LocatorCheck

             Nome catalogo globale: \\DC-LAB.multimedia.ling.xxxxx.it

             Locator Flags: 0xe00031fc
             PDC Name: \\servizi.multimedia.ling.xxxxx.it
             Locator Flags: 0xe00001fd
             Time Server Name: \\DC-LAB.multimedia.ling.xxxxx.it
             Locator Flags: 0xe00031fc
             Preferred Time Server Name: \\DC-LAB.multimedia.ling.xxxxx.it
             Locator Flags: 0xe00031fc
             KDC Name: \\DC-LAB.multimedia.ling.xxxxx.it
             Locator Flags: 0xe00031fc
             ......................... multimedia.ling.xxxxx.it ha superato il test

             LocatorCheck

          Inizio test: Intersite

             Il sito Default-First-Site verr… ignorato. Tale sito Š esterno

             all'ambito specificato dagli argomenti della riga di comando forniti.
             ......................... multimedia.ling.xxxxx.it ha superato il test

             Intersite

     

    Grazie.

    mercoledì 18 gennaio 2012 08:42
  • @ Nino

    Errori System:

    Nome registro: System
    Origine:       Microsoft-Windows-WinRM
    Data:          18/01/2012 08:52:08
    ID evento:     10154
    Categoria attività:Nessuna
    Livello:       Avviso
    Parole chiave: Classico
    Utente:        N/D
    Computer:      DC-LAB.multimedia.ling.xxxxx.it
    Descrizione:
    Servizio Gestione remota Windows: impossibile creare gli SPN seguenti: WSMAN/DC-LAB.multimedia.ling.xxxxx.it; WSMAN/DC-LAB.

     Dati aggiuntivi
     Errore ricevuto: 8344: %%8344.

    Azione utente
     Gli SPN possono essere creati da un amministratore utilizzando l'utilità setspn.exe.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" EventSourceName="WinRM" />
        <EventID Qualifiers="7">10154</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2012-01-18T07:52:08.000000000Z" />
        <EventRecordID>2240</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>System</Channel>
        <Computer>DC-LAB.multimedia.ling.xxxxx.it</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="spn1">WSMAN/DC-LAB.multimedia.ling.xxxxx.it</Data>
        <Data Name="spn2">WSMAN/DC-LAB</Data>
        <Data Name="error">8344</Data>
      </EventData>
    </Event>


    Nome registro: System
    Origine:       Microsoft-Windows-GroupPolicy
    Data:          18/01/2012 08:49:07
    ID evento:     1055
    Categoria attività:Nessuna
    Livello:       Errore
    Parole chiave:
    Utente:        SYSTEM
    Computer:      DC-LAB.multimedia.ling.xxxxx.it
    Descrizione:
    Elaborazione dei Criteri di gruppo non riuscita. Impossibile risolvere il nome del computer. Il problema potrebbe essere dovuto a una o più delle cause seguenti:
    a) Errore di risoluzione dei nomi nel controller di dominio corrente.
    b) Latenza di replica di Active Directory (un account creato in un altro controller di dominio non è stato replicato nel controller di dominio corrente).
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
        <EventID>1055</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>1</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2012-01-18T07:49:07.760925200Z" />
        <EventRecordID>2204</EventRecordID>
        <Correlation ActivityID="{BA575351-31D6-4926-AE47-E5EB87B5B53D}" />
        <Execution ProcessID="880" ThreadID="1100" />
        <Channel>System</Channel>
        <Computer>DC-LAB.multimedia.ling.xxxxx.it</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="SupportInfo1">1</Data>
        <Data Name="SupportInfo2">1632</Data>
        <Data Name="ProcessingMode">1</Data>
        <Data Name="ProcessingTimeInMilliseconds">35240</Data>
        <Data Name="ErrorCode">2148074320</Data>
        <Data Name="ErrorDescription">The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you. </Data>
      </EventData>
    </Event>

    mercoledì 18 gennaio 2012 08:53
  • DNS . . . . . . . . . . . . .  : ::1
                                               172.28.69.140
                                               127.0.0.1
      


    Controlla il DNS e metti come principale quello del DC funzionante (in quanto sicuramente funzionante) che dovrebbe essere 172.28.69.140

    Una volta conclusa la fase di repliche modifica il DNS con i nuovi parametri DNS principale 172.28.69.2 e DNS secondario 172.28.68.140

     

    Saluti

    Nino

    mercoledì 18 gennaio 2012 09:07
    Moderatore
  • Attualmente il DNS principale è già 172.28.69.140, il secondario è l'indirizzo di loopback (forse è meglio 172.28.69.2 ? )

    Come faccio a sapere se la fase di repliche si è conclusa?

    Grazie.


    mercoledì 18 gennaio 2012 09:15
  • Ok, vedi tutto dagli eventi. Metti anche il secondo DNS
    mercoledì 18 gennaio 2012 09:40
    Moderatore
  • Rispondendo ad un altro 3D mi è venuto in mente il seguente link, giusto per una tua verifica delle operazioni effettuate http://www.sysadmin.it/News/Italiane/tabid/77/articleType/ArticleView/articleId/2040/language/it-IT/Migrazione-da-Windows-Server-2003-a-Windows-Server-2008.aspx

     

    Saluti

    Nino

    mercoledì 18 gennaio 2012 10:45
    Moderatore
  • Ho utilizzato appunto questa guida per effettuare la procedura di migrazione :-)

    Ora ho impostato il DNS del nuovo DC come primario sullo stesso 2008 e non ho più errori nel registro eventi di sistema

    Ci sono altri controlli da effettuare?

    Grazie.

    mercoledì 18 gennaio 2012 11:10
  • Attualmente il DNS principale è già 172.28.69.140, il secondario è l'indirizzo di loopback (forse è meglio 172.28.69.2 ? )


    No, attualmente il principale è ::1 dato che, nel caso di doublestack (IPv4 ed IPv6) l'OS preferisce usare v6 per le queries; devi togliere l'indirizzo DNS dalla configurazione IPv6 ed in quella IPv4 inserire solo i DNS corretti; potrai poi modificare la configurazione in seguito.

     

    mercoledì 18 gennaio 2012 11:12
  • @ ObiWan

    Ok, non avevo capito che dovevo rimuoverlo, ma ora l'ho fatto.

    Grazie.

    mercoledì 18 gennaio 2012 11:14
  • @ ObiWan

    Ok, non avevo capito che dovevo rimuoverlo, ma ora l'ho fatto.

    Grazie.


    Quindi la situazione adesso come va?
    mercoledì 18 gennaio 2012 21:22
    Moderatore
  • Ora il dcdiag fornisce questi risultati:

    Diagnosi server di directory

    Esecuzione della configurazione iniziale:
       Ricerca dell'home server in corso...
       Home server: DC-LAB
       * Foresta di Active Directory identificata.
       Raccolta delle informazioni iniziali completata.

    Esecuzione dei test obbligatori iniziali

       Server in fase di test: Default-First-Site\DC-LAB
          Inizio test: Connectivity
             ......................... DC-LAB ha superato il test Connectivity

    Esecuzione dei test principali

       Server in fase di test: Default-First-Site\DC-LAB
          Inizio test: Advertising
             ......................... DC-LAB ha superato il test Advertising
          Inizio test: FrsEvent
             Si sono verificati eventi con avvisi o errori nelle ultime 24 ore dopo
             la condivisione di SYSVOL. Gli errori di replica di SYSVOL possono
             causare problemi con i Criteri di gruppo.
             ......................... DC-LAB ha superato il test FrsEvent
          Inizio test: DFSREvent
             ......................... DC-LAB ha superato il test DFSREvent
          Inizio test: SysVolCheck
             ......................... DC-LAB ha superato il test SysVolCheck
          Inizio test: KccEvent
             Si è verificato un evento di avviso. ID evento: 0x80000B46
                Data e ora generazione: 01/19/2012   09.33.18
                Stringa evento:
                È possibile migliorare significativamente la sicurezza di questo se
    ver di directory configurandolo in modo che rifiuti le operazioni di binding LD
    P SASL (Negotiate,  Kerberos, NTLM o Digest) che non richiedono la firma (verif
    ca dell'integrità) e le operazioni di binding LDAP semplice eseguite attraverso
    una connessione non crittografata con SSL o TLS. Anche se questi tipi di bindin
     non vengono utilizzati da alcun client, la configurazione del server descritta
    consente di migliorare la sicurezza del server stesso.
             ......................... DC-LAB ha superato il test KccEvent
          Inizio test: KnowsOfRoleHolders
             ......................... DC-LAB ha superato il test
             KnowsOfRoleHolders
          Inizio test: MachineAccount
             ......................... DC-LAB ha superato il test MachineAccount
          Inizio test: NCSecDesc
             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di
                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:
             DC=ForestDnsZones,DC=multimedia,DC=ling,DC=xxxxx,DC=it
             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di
                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:
             DC=DomainDnsZones,DC=multimedia,DC=ling,DC=xxxxx,DC=it
             ......................... DC-LAB non ha superato il test NCSecDesc
          Inizio test: NetLogons
             [DC-LAB] Le credenziali utente non dispongono dell'autorizzazione
             necessaria per eseguire l'operazione.
             L'account utilizzato per il test deve disporre di privilegi di accesso
             in rete
             per il dominio di questo computer.
             ......................... DC-LAB non ha superato il test NetLogons
          Inizio test: ObjectsReplicated
             ......................... DC-LAB ha superato il test ObjectsReplicated
          Inizio test: Replications
             [Controllo repliche,DC-LAB] DsReplicaGetInfo(PENDING_OPS, NULL) non
             riuscita. Errore: 0x2105 "Accesso di replica negato."
             ......................... DC-LAB non ha superato il test Replications
          Inizio test: RidManager
             ......................... DC-LAB ha superato il test RidManager
          Inizio test: Services
                Impossibile aprire il servizio NTDS su DC-LAB. Errore: 0x5
                "Accesso negato."
             ......................... DC-LAB non ha superato il test Services
          Inizio test: SystemLog
             Si è verificato un evento di avviso. ID evento: 0x80070003
                Data e ora generazione: 01/19/2012   09.32.59
                Stringa evento:
                VMDebug driver (version 7.3.4.7) was not enabled.  This driver is r
    quired by the replay debugging feature of VMware Workstation. If you are using
    ther VMware products or not using replay debugging, please ignore this message.
             Si è verificato un evento di avviso. ID evento: 0x8000001D
                Data e ora generazione: 01/19/2012   09.33.11
                Stringa evento:
                Centro distribuzione chiavi (KDC): impossibile trovare un certifica
    o adatto per utilizzare gli accessi con smart card oppure impossibile verificar
     il certificato KDC. Se il problema non viene risolto, l'accesso con smart card
    potrebbe non funzionare correttamente. Per risolvere il problema, verificare il
    certificato KDC esistente utilizzando certutil.exe oppure registrarsi per otten
    re un nuovo certificato KDC.
             Si è verificato un evento di avviso. ID evento: 0x000727AA
                Data e ora generazione: 01/19/2012   09.36.17
                Stringa evento:
                Servizio Gestione remota Windows: impossibile creare gli SPN seguen
    i: WSMAN/DC-LAB.multimedia.ling.xxxxx.it; WSMAN/DC-LAB.
             ......................... DC-LAB non ha superato il test SystemLog
          Inizio test: VerifyReferences
             ......................... DC-LAB ha superato il test VerifyReferences


       Test partizione in esecuzione su: ForestDnsZones
          Inizio test: CheckSDRefDom
             ......................... ForestDnsZones ha superato il test
             CheckSDRefDom
          Inizio test: CrossRefValidation
             ......................... ForestDnsZones ha superato il test
             CrossRefValidation

       Test partizione in esecuzione su: DomainDnsZones
          Inizio test: CheckSDRefDom
             ......................... DomainDnsZones ha superato il test
             CheckSDRefDom
          Inizio test: CrossRefValidation
             ......................... DomainDnsZones ha superato il test
             CrossRefValidation

       Test partizione in esecuzione su: Schema
          Inizio test: CheckSDRefDom
             ......................... Schema ha superato il test CheckSDRefDom
          Inizio test: CrossRefValidation
             ......................... Schema ha superato il test
             CrossRefValidation

       Test partizione in esecuzione su: Configuration
          Inizio test: CheckSDRefDom
             ......................... Configuration ha superato il test
             CheckSDRefDom
          Inizio test: CrossRefValidation
             ......................... Configuration ha superato il test
             CrossRefValidation

       Test partizione in esecuzione su: multimedia
          Inizio test: CheckSDRefDom
             ......................... multimedia ha superato il test CheckSDRefDom
          Inizio test: CrossRefValidation
             ......................... multimedia ha superato il test
             CrossRefValidation

       Test organizzazione in esecuzione su: multimedia.ling.xxxxx.it
          Inizio test: LocatorCheck
             ......................... multimedia.ling.xxxxx.it ha superato il test
             LocatorCheck
          Inizio test: Intersite
             ......................... multimedia.ling.xxxxx.it ha superato il test
             Intersite

     

    Altri errori nei logs System e Application non ne vedo, non so se ci sono altri tests che posso fare...

    Grazie.

     

     

     




    giovedì 19 gennaio 2012 08:41
  • Puoi postare un DCDIAG dell'altro server e verificare il livello di funzionalità del dominio.

    Verifica il funzionamento del servizio DNS sul nuovo server, pulisci la cache ed esegui dei ping per verificare che venga effettuata la risoluzione dei nomi.

     Verifica anche quanto riportato nel seguente link

     

    Saluti

    Nino


    giovedì 19 gennaio 2012 10:08
    Moderatore
  • Puoi postare un DCDIAG dell'altro server e verificare il livello di funzionalità del dominio.

    Verifica il funzionamento del servizio DNS sul nuovo server, pulisci la cache ed esegui dei ping per verificare che venga effettuata la risoluzione dei nomi.

     Verifica anche quanto riportato nel seguente link


    Nino, una volta completati i tests e se tutto è ok, credo che dovrebbe anche rimettere "a posto" le impostazioni DNS facendo in modo che il nuovo DC punti a se stesso (come DNS) e procedendo poi ad una ulterioe verifica (dcdiag) onde accertarsi che il tutto stia funzionando come necessario ... o sto dimenticando qualcosa ?

     

    giovedì 19 gennaio 2012 10:27
  • Ok, il dcdiag sul DC primario sembra regolare:


    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
      
       Testing server: Default-First-Site\SERVIZI
          Starting test: Connectivity
             ......................... SERVIZI passed test Connectivity

    Doing primary tests
      
       Testing server: Default-First-Site\SERVIZI
          Starting test: Replications
             ......................... SERVIZI passed test Replications
          Starting test: NCSecDesc
             ......................... SERVIZI passed test NCSecDesc
          Starting test: NetLogons
             ......................... SERVIZI passed test NetLogons
          Starting test: Advertising
             ......................... SERVIZI passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... SERVIZI passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... SERVIZI passed test RidManager
          Starting test: MachineAccount
             ......................... SERVIZI passed test MachineAccount
          Starting test: Services
             ......................... SERVIZI passed test Services
          Starting test: ObjectsReplicated
             ......................... SERVIZI passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... SERVIZI passed test frssysvol
          Starting test: frsevent
             ......................... SERVIZI passed test frsevent
          Starting test: kccevent
             ......................... SERVIZI passed test kccevent
          Starting test: systemlog
             ......................... SERVIZI passed test systemlog
          Starting test: VerifyReferences
             ......................... SERVIZI passed test VerifyReferences
      
       Running partition tests on : TAPI3Directory
          Starting test: CrossRefValidation
             ......................... TAPI3Directory passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... TAPI3Directory passed test CheckSDRefDom
      
       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
      
       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
      
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
      
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
      
       Running partition tests on : multimedia
          Starting test: CrossRefValidation
             ......................... multimedia passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... multimedia passed test CheckSDRefDom
      
       Running enterprise tests on : multimedia.ling.xxxxx.it
          Starting test: Intersite
             ......................... multimedia.ling.xxxxx.it passed test Intersite
          Starting test: FsmoCheck
             ......................... multimedia.ling.xxxxx.it passed test FsmoCheck

     

    La risoluzione DNS funziona normalmente anche impostando sui client come unico resolver il nuovo DC.

    Quello che mi lascia perplesso sono gli errori riportati dal dcdiag del nuovo DC

          Inizio test: NCSecDesc
             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di
                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:
             DC=ForestDnsZones,DC=multimedia,DC=ling,DC=xxxxx,DC=it
             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di Replicating Directory Changes In Filtered Set diritti di accesso per il contesto dei nomi:
             DC=DomainDnsZones,DC=multimedia,DC=ling,DC=xxxxx,DC=it
             ......................... DC-LAB non ha superato il test NCSecDesc

          Inizio test: NetLogons
             [DC-LAB] Le credenziali utente non dispongono dell'autorizzazione necessaria per eseguire l'operazione.
             L'account utilizzato per il test deve disporre di privilegi di accesso in rete per il dominio di questo computer.
             ......................... DC-LAB non ha superato il test NetLogons

          Inizio test: Replications
             [Controllo repliche,DC-LAB] DsReplicaGetInfo(PENDING_OPS, NULL) non  riuscita. Errore: 0x2105 "Accesso di replica negato."
             ......................... DC-LAB non ha superato il test Replications

     

    Inoltre non capisco se, per quanto riguarda la delega DNS nella zona padre di cui all'errore originale, essa va creata manualmente o meno. E' forse legata alla struttura del nome del dominio, che è stata insensatamente concepita da chi ha installato il dominio nella forma "multimedia.ling.xxxx.it"?

    Grazie

     


    giovedì 19 gennaio 2012 10:42
  • Nino, una volta completati i tests e se tutto è ok, credo che dovrebbe anche rimettere "a posto" le impostazioni DNS facendo in modo che il nuovo DC punti a se stesso (come DNS) e procedendo poi ad una ulterioe verifica (dcdiag) onde accertarsi che il tutto stia funzionando come necessario ... o sto dimenticando qualcosa ?

    Davo per scontato che avesse seguito le indicazioni precedenti che tu, giustamente, gli hai dato.
    giovedì 19 gennaio 2012 12:01
    Moderatore
  • L'ho già fatto, come si vede in figura, quindi ho avviato gli ultimi tests che ho postato
    giovedì 19 gennaio 2012 12:14
  • Nel vecchio server aggiungi l'IP del nuovo DNS come secondario.

    Esegui dei test sulla funzionalità del nuovo DNS http://technet.microsoft.com/it-it/library/cc776854(WS.10).aspx la guida si riferisce a 2003 ma va bene lo stesso.

     

    Saluti

    Nino

     

    giovedì 19 gennaio 2012 12:35
    Moderatore
  • Ok, aggiunto DNS del nuovo DC nel vecchio DC ed eseguito dcdiag sul vecchio con il seguente risultato:


    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
      
       Testing server: Default-First-Site\SERVIZI
          Starting test: Connectivity
             ......................... SERVIZI passed test Connectivity
      
       Testing server: Default-First-Site\DC-LAB
          Starting test: Connectivity
             ......................... DC-LAB passed test Connectivity

    Doing primary tests
      
       Testing server: Default-First-Site\SERVIZI
      
       Testing server: Default-First-Site\DC-LAB

    DNS Tests are running and not hung. Please wait a few minutes...
      
       Running partition tests on : TAPI3Directory
      
       Running partition tests on : ForestDnsZones
      
       Running partition tests on : DomainDnsZones
      
       Running partition tests on : Schema
      
       Running partition tests on : Configuration
      
       Running partition tests on : multimedia
      
       Running enterprise tests on : multimedia.ling.xxxxxx.it
          Starting test: DNS
             Test results for domain controllers:
               
                DC: servizi.multimedia.ling.xxxxxx.it
                Domain: multimedia.ling.xxxxxx.it

                     
                   TEST: Dynamic update (Dyn)
                      Warning: Dynamic update is enabled on the zone but not secure multimedia.ling.xxxxxx.it.
            
               
                DC: DC-LAB.multimedia.ling.xxxxxx.it
                Domain: multimedia.ling.xxxxxx.it

                     
                   TEST: Basic (Basc)
                      Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)
            
             Summary of DNS test results:
            
                                                Auth Basc Forw Del  Dyn  RReg Ext 
                   ________________________________________________________________
                Domain: multimedia.ling.xxxxxx.it
                   servizi                      PASS PASS PASS PASS WARN PASS n/a 
                   DC-LAB                       PASS WARN n/a  n/a  n/a  n/a  n/a 
            
             ......................... multimedia.ling.xxxxxx.it passed test DNS

    ...ricorre l'errore RPC; Microsoft dice

    Disregard this warning if the DNS server is a BIND or other non-Microsoft DNS server. 

    ma non capisco di cosa si tratti...

    Grazie.


    giovedì 19 gennaio 2012 17:34
  • Per quanto riguarda l'errore sul 2K8 

          Inizio test: NetLogons
             [DC-LAB] Le credenziali utente non dispongono dell'autorizzazione necessaria per eseguire l'operazione.
             L'account utilizzato per il test deve disporre di privilegi di accesso in rete per il dominio di questo computer.
             ......................... DC-LAB non ha superato il test NetLogons

    dal momento che utilizzo un account amministratore di dominio, potrebbe essere dovuto al fatto che l'accesso avviene tramite console remota?

    Grazie


    giovedì 19 gennaio 2012 20:49
  • può essere, prova a lanciare il comando mstsc con lo switc -admin così ti colleghi direttamente alla sessione fisica.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 20 gennaio 2012 08:47
    Moderatore
  •  

    Ciao, Edo

    anche accedendo alla console fisica dcdiag continua a darmi i seguenti errori:

          Inizio test: NCSecDesc

             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di

                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:

             DC=ForestDnsZones,DC=multimedia,DC=ling,DC=xxxxxx,DC=it
             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di

                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:

             DC=DomainDnsZones,DC=multimedia,DC=ling,DC=xxxxxx,DC=it
             ......................... DC-LAB non ha superato il test NCSecDesc

          Inizio test: NetLogons

             [DC-LAB] Le credenziali utente non dispongono dell'autorizzazione

             necessaria per eseguire l'operazione.

             L'account utilizzato per il test deve disporre di privilegi di accesso

             in rete  per il dominio di questo computer.

             ......................... DC-LAB non ha superato il test NetLogons

          Inizio test: Replications

             [Controllo repliche,DC-LAB] DsReplicaGetInfo(PENDING_OPS, NULL) non

             riuscita. Errore: 0x2105 "Accesso di replica negato."

             ......................... DC-LAB non ha superato il test Replications

          Inizio test: Services

                Impossibile aprire il servizio NTDS su DC-LAB. Errore: 0x5

                "Accesso negato."

             ......................... DC-LAB non ha superato il test Services

     

    Gli altri test sono stati superati. Sembra un problema di autorizzazioni dell'account che utilizzo (amministratore di dominio)

    Grazie.



    venerdì 20 gennaio 2012 12:33
  • Qui viene affermato che questo errore non costituisce un problema, a meno che non si voglia aggiungere un RODC...

    http://support.microsoft.com/kb/967482

    anche qui si dice più o meno la stessa cosa:

    http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/497a0713-6938-473d-8e6b-c041673304f9/  


    venerdì 20 gennaio 2012 18:39
  • quando ti colleghi in rdp hai provato a lanciare il prompt di dos eseguendolo "as admin" ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    sabato 21 gennaio 2012 10:31
    Moderatore
  • Sì, ma dà sempre questo errore:

          Inizio test: NCSecDesc

             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di

                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:

             DC=ForestDnsZones,DC=multimedia,DC=ling,DC=xxxxx,DC=it
             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di

                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:

             DC=DomainDnsZones,DC=multimedia,DC=ling,DC=xxxxx,DC=it
             ......................... DC-LAB non ha superato il test NCSecDesc

     


    sabato 21 gennaio 2012 11:11
  • Sì, ma dà sempre questo errore:

          Inizio test: NCSecDesc

             Errore. NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS non dispone di

                Replicating Directory Changes In Filtered Set
             diritti di accesso per il contesto dei nomi:

    vedi qui

    http://support.microsoft.com/kb/967482

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 23 gennaio 2012 10:31
    Moderatore