none
DCDiag com erro - Teste NCSecDesc RRS feed

  • Pergunta

  • Prezados,

    Preciso de ajuda, não entendi como resolver esse problema. Ja vi diversas coisas na internet, mas não consigo fazer funcionar.

    Executando os testes iniciais necessários:
    Testando o servidor: Primeiro-site-padrao\EC10

    Iniciando teste: Connectivity
    ......................... EC10 passou no teste Connectivity

    Executando os testes principais
    Testando o servidor: Primeiro-site-padrao\EC10

    Iniciando teste: Advertising
    ......................... EC10 passou no teste Advertising

    Iniciando teste: FrsEvent
    ......................... EC10 passou no teste FrsEvent

    Iniciando teste: DFSREvent
    ......................... EC10 passou no teste DFSREvent

    Iniciando teste: SysVolCheck
    ......................... EC10 passou no teste SysVolCheck

    Iniciando teste: KccEvent

    ......................... EC10 passou no teste KccEvent

    Iniciando teste: KnowsOfRoleHolders
    ......................... EC10 passou no teste KnowsOfRoleHolders

    Iniciando teste: MachineAccount
    ......................... EC10 passou no teste MachineAccount

    Iniciando teste: NCSecDesc
    Erro AUTORIDADE NT\CONTROLADORES DE DOMÖNIO DA EMPRESA não tem 
    Replicating Directory Changes In Filtered Set direitos de acesso ao contexto de nomenclatura:
    CN=Schema,CN=Configuration,DC=eicvs,DC=com,DC=br
    Erro EICVS\Controladores de Dom¡nio de Empresa Somente Leitura não tem
    Replicating Directory Changes In Filtered Set direitos de acesso ao contexto de nomenclatura:
    CN=Schema,CN=Configuration,DC=eicvs,DC=com,DC=br
    Erro AUTORIDADE NT\CONTROLADORES DE DOMÍNIO DA EMPRESA não tem 
    Replicating Directory Changes In Filtered Set direitos de acesso ao contexto de nomenclatura:
    DC=eicvs,DC=com,DC=br
    ......................... EC10 não passou no teste NCSecDesc

    Iniciando teste: NetLogons
    ......................... EC10 passou no teste NetLogons

    Iniciando teste: ObjectsReplicated
    ......................... EC10 passou no teste ObjectsReplicated

    Iniciando teste: Replications
    ......................... EC10 passou no teste Replications

    Iniciando teste: RidManager
    ......................... EC10 passou no teste RidManager

    Iniciando teste: Services
    ......................... EC10 passou no teste Services

                   
    segunda-feira, 11 de junho de 2018 13:12

Respostas

Todas as Respostas

  • Olá.

    Se não estiver instalando um RODC no ambiente, não há com que se preocupar. Caso contrário, você deve executar o adprep /rodcprep.

    Você pode conferir mais opções em:

    https://social.technet.microsoft.com/Forums/Lync/en-US/a90c2710-1e7c-4314-922c-bf2c2c0b7f45/dcdiag-ncsecdesc-error?forum=winserverDS


    https://inframicrosoft.wordpress.com/

    segunda-feira, 11 de junho de 2018 14:48
  • Olá.

    Se não estiver instalando um RODC no ambiente, não há com que se preocupar. Caso contrário, você deve executar o adprep /rodcprep.

    Você pode conferir mais opções em:

    https://social.technet.microsoft.com/Forums/Lync/en-US/a90c2710-1e7c-4314-922c-bf2c2c0b7f45/dcdiag-ncsecdesc-error?forum=winserverDS


    https://inframicrosoft.wordpress.com/

    J.Mauricio,

    Na nossa rede temos 3 controladores de domínio que são GC (catalogo global) 2 secundários com windows server 2008 e um primário com windows server 2012, porém se eu desligo os 2 secundários e abro o AD no primario, recebo um erro e o AD não abre. a mesma coisa acontece com os secundarios, se eu abro um deles sozinho sem os outros, não funciona. isso é normal? pois achei que isso estava relacionado a esse erro, mas pelo que vejo não é...

    Por que não consigo abrir o AD quando um dos 3 servidores esta desligado? o que posso fazer? pois li um artigo que fala que se eu quero um AD redundante, que preciso deixar os servidores como catalogo global, mas não entendo porque no meu caso aqui nao consigo abrir o AD se um dos outros "morre"

    Preciso de ajuda.

    segunda-feira, 11 de junho de 2018 15:00
  • Compartilhe-nos a mensagem do erro se puder.

    https://inframicrosoft.wordpress.com/

    segunda-feira, 11 de junho de 2018 15:16
  • Compartilhe-nos a mensagem do erro se puder.

    https://inframicrosoft.wordpress.com/

    Montei um ambiente teste, com meu primario, olha a mensagem que ele da quando tento abrir o AD. Meu ad primario tambem é dns.

    segunda-feira, 11 de junho de 2018 15:25
  • Olá.

    Acredito ser uma boa leitura: Aqui

    Algumas dicas: Checar as configurações de DNS, FSMO.


    https://inframicrosoft.wordpress.com/

    • Sugerido como Resposta IgorFKModerator segunda-feira, 11 de junho de 2018 17:23
    segunda-feira, 11 de junho de 2018 16:13
  • Olá.

    Acredito ser uma boa leitura: Aqui

    Algumas dicas: Checar as configurações de DNS, FSMO.


    https://inframicrosoft.wordpress.com/

    Meu mestre de operações FSMO é o servidor que te mandei o print mesmo. 

    Referente ao DNS, vi no artigo que voce passou e pelo que pude observar aqui, esta aparentemente OK. A unica coisa é que ele fala sobre liberação de uma porta 389 Ldap, onde eu verifico se esta liberada essa porta? no próprio servidor?

    Há algum teste assim como o do dcdiag que me mostre o que pode ser o problema?

    segunda-feira, 11 de junho de 2018 17:29
  • Olá.

    Acredito ser uma boa leitura: Aqui

    Algumas dicas: Checar as configurações de DNS, FSMO.


    https://inframicrosoft.wordpress.com/

    ja criei nas regras do firewall a porta 389 liberada, mas criei por via das duvidas, pois o firewall ja esta ate desativado.

    Preciso urgente de uma luz. Ja é o segundo topico que abro com esse problema e nao consegui ainda chegar a uma solução.

    att,

    segunda-feira, 11 de junho de 2018 17:37
  • Como fica as autenticações nos clientes quando nesses cenários? 

    https://inframicrosoft.wordpress.com/

    segunda-feira, 11 de junho de 2018 17:55
  • Como fica as autenticações nos clientes quando nesses cenários? 

    https://inframicrosoft.wordpress.com/

    EU TINHA FEITO UM TESTE DE ACESSO REMOTO, E LOGOU NORMALMENTE. MAS NAO SEI SE LOGOU NORMALMENTE POR CAUSA DAS CREDENCIAIS ESTAREM SALVAS JA NO SERVIDOR. MAS MAPEOU NORMAL, PAPAEL DE PAREDE (QUE VEM POR POLITICA), MAPEAMENTOS E ETC.
    segunda-feira, 11 de junho de 2018 20:00
  • Desculpe-me pelas letras em maiúsculo, não foi a intenção. 
    segunda-feira, 11 de junho de 2018 20:01
  • Como fica as autenticações nos clientes quando nesses cenários? 

    https://inframicrosoft.wordpress.com/

    Seguem algumas telas de erro do evento do windows. Estou há um mês na empresa, mas tenho relatos que um analista anterior, tentou migrar o DC Primario que hoje é o secundario, mas algo deve ter ficado para tras.

    Veja a quantidade de erros que esta dando, peguei as mensagens mais recentes, mas meu log esta com os mesmos erros desde o ano passado. 


    terça-feira, 12 de junho de 2018 10:32
  • O que o comando repadmin traz sobre as replicações? Tente nos detalhar seu ambiente. Como está configurado o DNS, se os AD estão no mesmo site e etc


    https://inframicrosoft.wordpress.com/


    • Editado J. Maurício terça-feira, 12 de junho de 2018 11:35
    terça-feira, 12 de junho de 2018 11:32
  • O que o comando repadmin traz sobre as replicações? Tente nos detalhar seu ambiente. Como está configurado o DNS, se os AD estão no mesmo site e etc


    https://inframicrosoft.wordpress.com/


    Repadmin: executando comando /showrepl em DC completo localhost
    Primeiro-site-padrao\EC10
    Op‡äes DSA: IS_GC 
    Op‡äes de site: IS_GROUP_CACHING_ENABLED 
    GUID de objeto DSA:  191b9f1c-cdeb-4cc6-ab3b-5ee9a2b97855
    ID Invoca‡Æo DSA: ad7592dc-7020-4085-99b3-abd3cf6bb94e

    ==== VIZINHOS DE ENTRADA ======================================

    DC=eicvs,DC=com,DC=br
    Primeiro-site-padrao\EC01 via RPC
    GUID de objeto DSA:  559a2bb8-d7df-4277-be91-3ef12ad50a0b
    última tentativa em 2018-06-12 08:41:43 bem-sucedida.
    Primeiro-site-padrao\EC00 via RPC
    GUID de objeto DSA:  2541a33a-db4b-4d14-a79d-07e9bd0c2db4
    última tentativa em 2018-06-12 08:42:05 bem-sucedida.

    CN=Configuration,DC=eicvs,DC=com,DC=br
    Primeiro-site-padrao\EC01 via RPC
    GUID de objeto DSA:  559a2bb8-d7df-4277-be91-3ef12ad50a0b
    última tentativa em 2018-06-12 08:37:07 bem-sucedida.
    Primeiro-site-padrao\EC00 via RPC
    GUID de objeto DSA:  2541a33a-db4b-4d14-a79d-07e9bd0c2db4
    última tentativa em 2018-06-12 08:37:07 bem-sucedida.

    CN=Schema,CN=Configuration,DC=eicvs,DC=com,DC=br
    Primeiro-site-padrao\EC01 via RPC
    GUID de objeto DSA:  559a2bb8-d7df-4277-be91-3ef12ad50a0b
    última tentativa em 2018-06-12 08:37:07 bem-sucedida.
    Primeiro-site-padrao\EC00 via RPC
    GUID de objeto DSA:  2541a33a-db4b-4d14-a79d-07e9bd0c2db4
    última tentativa em 2018-06-12 08:37:08 bem-sucedida.

    DC=DomainDnsZones,DC=eicvs,DC=com,DC=br
    Primeiro-site-padrao\EC00 via RPC
    GUID de objeto DSA:  2541a33a-db4b-4d14-a79d-07e9bd0c2db4
    éltima tentativa em 2018-06-12 08:37:08 bem-sucedida.
    Primeiro-site-padrao\EC01 via RPC
    GUID de objeto DSA:  559a2bb8-d7df-4277-be91-3ef12ad50a0b
    éltima tentativa em 2018-06-12 08:37:08 bem-sucedida.

    DC=ForestDnsZones,DC=eicvs,DC=com,DC=br
    Primeiro-site-padrao\EC01 via RPC
    GUID de objeto DSA:  559a2bb8-d7df-4277-be91-3ef12ad50a0b
    éltima tentativa em 2018-06-12 08:37:08 bem-sucedida.
    Primeiro-site-padrão\EC00 via RPC
    GUID de objeto DSA:  2541a33a-db4b-4d14-a79d-07e9bd0c2db4
    última tentativa em 2018-06-12 08:37:08 bem-sucedida.

    _______________________________________________________________

    Acima segue o log que gerei com comando repadmin /showrepl 

    Tenho 3 servidores que são controladores de dominio e Catalogo global.

    O servidor EC10 é o servidor Primario de DNS e AD / Catalogo Global

    O servidor EC00 é servidor secundario de DNS e AD / Catalogo Global

    O servidor EC01 é servidor secundario de AD / Catalogo Global

    só que olha no meu log do repadmin /showrepl que estranho, ele nao traz o meu servidor primário na replicação, não sei se é normal isso, mas acredito que não. Como falei isso foi uma migração mal feita anteriormente pelo ultimo analista. fiz o comando NETDOM QUERY FSMO novamente, veja no print abaixo, ele me mostra como EC10, mas acho que ele migrou os direitos mas algo ficou para traz, como se ele tivesse com os direitos para ele mas o EC00 parece que ainda tem algo preso. Quando comecei perceber alguns problemas minha ideia era montar um servidor novo e transferir os direitos, mas meu medo é tentar fazer isso e ter um problema maior.

     

    terça-feira, 12 de junho de 2018 11:57
  • só que olha no meu log do repadmin /showrepl que estranho, ele nao traz o meu servidor primário na replicação, não sei se é normal isso, mas acredito que não. 

    A saída do repadmin é essa mesma. Você executou o comando no EC10 e ele exibe o resultado do teste de replicação com seus parceiros. Parece que está tudo ok.

    Vamos seguir analisando o suposto problema. Estando o servidor EC10 offline e sendo ele mestre de operação (detém as funções FSMO), é de se esperar que algumas ferramentas não funcionem. Isso porque ele é a garantia de que não haverá conflitos de configurações no AD. Entretanto, isso não deve afetar a autenticação dos clientes do domínio, pois os demais DC devem assumir esse papel se tudo estiver bem configurado.

    O que eu ainda não entendo é o motivo de mesmo o EC10 estando online e se um secundário estiver offline, você não consegue abrir a ferramenta.


    https://inframicrosoft.wordpress.com/



    • Editado J. Maurício terça-feira, 12 de junho de 2018 12:39
    terça-feira, 12 de junho de 2018 12:38
  • Como estão as configurações do DNS client nas interfaces dos três servidores?

    https://inframicrosoft.wordpress.com/

    terça-feira, 12 de junho de 2018 12:42
  • Como estão as configurações do DNS client nas interfaces dos três servidores?

    https://inframicrosoft.wordpress.com/

    OK. referente as interfaces, voce diz as configurações das placas de rede ne? segue abaixo.

    terça-feira, 12 de junho de 2018 13:07
  • Tudo ok. Qualquer AD secundário se desligado acarreta no problema?

    https://inframicrosoft.wordpress.com/

    terça-feira, 12 de junho de 2018 13:29
  • Tudo ok. Qualquer AD secundário se desligado acarreta no problema?

    https://inframicrosoft.wordpress.com/

    Pelo que pude perceber sim.

    qualquer um, que estiver fora e os outros 2 não enxergarem ele, o AD simplesmente morre.

    Muito estranho, nunca vi isso.

    terça-feira, 12 de junho de 2018 13:41
  • Tudo ok. Qualquer AD secundário se desligado acarreta no problema?

    https://inframicrosoft.wordpress.com/

    J.Mauricio, 

    será que esse problema que estou não é porque nao foi feita limpeza de metadados? vi algumas coisas sobre isso, mas não sei se geraria esse tipo de problema. 

    Outra curiosidade, eu não consigo abrir a ferramenta do AD, mas consigo abrir normalmente a central administrativa do Active diretory. Porque será?


    quarta-feira, 13 de junho de 2018 09:55
  • Olá. 

    Sem saber os passos executados anteriormente fica difícil até mesmo de opinar. Acho que só se deve limpar os metadados num cenário de despromoção na força bruta. O que não parece ser o seu caso.

    Num laboratório virtual de teste, não consegui reproduzir o erro.

    Aconselho você conseguir uma janela para teste. E tentar encontrar principalmente problemas de autenticação.

    Analisar passo a passo seguindo aquele manual passado anteriormente - se possível analisando o tráfego de rede no momento das falhas. 

    Tentar descobrir se há impacto com aqueles erros que você mandou os prints anteriormente.

    Enfim, defina uma estratégia listando as possíveis causas e vá eliminando conforme testado.

    Já testou: dcdiag / test: dns

    Por curiosidade, essa empresa fica em Votorantim? 


    https://inframicrosoft.wordpress.com/


    • Editado J. Maurício quarta-feira, 13 de junho de 2018 15:44 Adendo
    quarta-feira, 13 de junho de 2018 15:23
  • Olá. 

    Sem saber os passos executados anteriormente fica difícil até mesmo de opinar. Acho que só se deve limpar os metadados num cenário de despromoção na força bruta. O que não parece ser o seu caso.

    Num laboratório virtual de teste, não consegui reproduzir o erro.

    Aconselho você conseguir uma janela para teste. E tentar encontrar principalmente problemas de autenticação.

    Analisar passo a passo seguindo aquele manual passado anteriormente - se possível analisando o tráfego de rede no momento das falhas. 

    Tentar descobrir se há impacto com aqueles erros que você mandou os prints anteriormente.

    Enfim, defina uma estratégia listando as possíveis causas e vá eliminando conforme testado.

    Já testou: dcdiag / test: dns

    Por curiosidade, essa empresa fica em Votorantim? 


    https://inframicrosoft.wordpress.com/


    J.Mauricio sim, em votorantim.

    Vou dividir em 2 respostas o teste dcdiag /test:dns, relatou erros. Primeiro teste no EC 10, nosso AD primario:


    Diagn¢stico do Servidor de Diret¢rio


    Executando instala‡Æo inicial:

       Tentando localizar o servidor local...

       Servidor Local = EC10

       * Floresta AD identificada. 
       Coleta de informa‡äes iniciais conclu¡da.


    Executando os testes iniciais necess rios

       
       Testando o servidor: Primeiro-site-padrao\EC10

          Iniciando teste: Connectivity

             ......................... EC10 passou no teste Connectivity



    Executando os testes principais

       
       Testando o servidor: Primeiro-site-padrao\EC10

       
          Iniciando teste: DNS

             

             Testes de DNS estÆo em execu‡Æo e nÆo em suspensÆo. Aguarde alguns

             minutos...

             ......................... EC10 passou no teste DNS

       
       Executando testes de parti‡Æo em : ForestDnsZones

       
       Executando testes de parti‡Æo em : DomainDnsZones

       
       Executando testes de parti‡Æo em : Schema

       
       Executando testes de parti‡Æo em : Configuration

       
       Executando testes de parti‡Æo em : eicvs

       
       Executando testes de empresa em : eicvs.com.br

          Iniciando teste: DNS

             Resultados de testes de controladores de dom¡nio:

                
                Controlador de dom¡nio: EC10.eicvs.com.br

                Dom¡nio: eicvs.com.br

                

                      
                   TEST: Delegations (Del)
                      Erro: Servidor DNS: ec01.eicvs.com.br. IP:172.20.0.10

                      [Broken delegated domain _msdcs.eicvs.com.br.]

             
             Resumo de resultados de testes de servidores DNS usados pelos

             controladores de dom¡nio acima:

             

                Servidor DNS: 172.20.0.10 (ec01.eicvs.com.br.)

                   Falha de teste 1 neste servidor DNS

                   
             Resumo dos resultados de teste de DNS:

             
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Dom¡nio: eicvs.com.br

                   EC10                         PASS PASS PASS FAIL PASS PASS n/a  
             
             ......................... eicvs.com.br nÆo passou no teste DNS

    quinta-feira, 14 de junho de 2018 00:16
  • Olá. 

    Sem saber os passos executados anteriormente fica difícil até mesmo de opinar. Acho que só se deve limpar os metadados num cenário de despromoção na força bruta. O que não parece ser o seu caso.

    Num laboratório virtual de teste, não consegui reproduzir o erro.

    Aconselho você conseguir uma janela para teste. E tentar encontrar principalmente problemas de autenticação.

    Analisar passo a passo seguindo aquele manual passado anteriormente - se possível analisando o tráfego de rede no momento das falhas. 

    Tentar descobrir se há impacto com aqueles erros que você mandou os prints anteriormente.

    Enfim, defina uma estratégia listando as possíveis causas e vá eliminando conforme testado.

    Já testou: dcdiag / test: dns

    Por curiosidade, essa empresa fica em Votorantim? 


    https://inframicrosoft.wordpress.com/


    Agora o teste do AD e DNS secundario:


    Diagn¢stico do Servidor de Diret¢rio


    Executando instala‡Æo inicial:

       Tentando localizar o servidor local...

       Servidor Local = ec00

       * Floresta AD identificada. 
       Coleta de informa‡äes iniciais conclu¡da.


    Executando os testes iniciais necess rios

       
       Testando o servidor: Primeiro-site-padrao\EC00

          Iniciando teste: Connectivity

             ......................... EC00 passou no teste Connectivity



    Executando os testes principais

       
       Testando o servidor: Primeiro-site-padrao\EC00

       
          Iniciando teste: DNS

             

             Testes de DNS estÆo em execu‡Æo e nÆo em suspensÆo. Aguarde alguns

             minutos...

             ......................... EC00 passou no teste DNS

       
       Executando testes de parti‡Æo em : ForestDnsZones

       
       Executando testes de parti‡Æo em : DomainDnsZones

       
       Executando testes de parti‡Æo em : Schema

       
       Executando testes de parti‡Æo em : Configuration

       
       Executando testes de parti‡Æo em : eicvs

       
       Executando testes de empresa em : eicvs.com.br

          Iniciando teste: DNS

             Resultados de testes de controladores de dom¡nio:

                
                Controlador de dom¡nio: ec00.eicvs.com.br

                Dom¡nio: eicvs.com.br

                

                      
                   TEST: Basic (Basc)
                      Aviso: O adaptador

                      [00000012] Intel(R) 82579LM Gigabit Network Connection tem um

                      servidor DNS inv lido: 127.20.0.1 (EC00)

                      
                   TEST: Delegations (Del)
                      Erro: Servidor DNS: ec01.eicvs.com.br. IP:172.20.0.10

                      [Broken delegated domain _msdcs.eicvs.com.br.]

                      
                   TEST: Records registration (RReg)
                      Adaptador de Rede

                      [00000012] Intel(R) 82579LM Gigabit Network Connection:

                         Aviso: 
                         Est  faltando o registro CNAME no servidor DNS 127.20.0.1:

                         2541a33a-db4b-4d14-a79d-07e9bd0c2db4._msdcs.eicvs.com.br
                         
                         Aviso: 
                         Est  faltando o registro A no servidor DNS 127.20.0.1:
                         ec00.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _ldap._tcp.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _ldap._tcp.3347a2be-5d02-4597-a58c-608c011b362d.domains._msdcs.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _kerberos._tcp.dc._msdcs.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _ldap._tcp.dc._msdcs.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _kerberos._tcp.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _kerberos._udp.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _kpasswd._tcp.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _ldap._tcp.Primeiro-site-padrao._sites.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _kerberos._tcp.Primeiro-site-padrao._sites.dc._msdcs.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _ldap._tcp.Primeiro-site-padrao._sites.dc._msdcs.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _kerberos._tcp.Primeiro-site-padrao._sites.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _ldap._tcp.gc._msdcs.eicvs.com.br
                         
                         Aviso: 
                         Est  faltando o registro A no servidor DNS 127.20.0.1:
                         gc._msdcs.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _gc._tcp.Primeiro-site-padrao._sites.eicvs.com.br
                         
                         Erro: 
                         Est  faltando o registro SRV no servidor DNS 127.20.0.1:
                         _ldap._tcp.Primeiro-site-padrao._sites.gc._msdcs.eicvs.com.br
                         
                   Erro: NÆo foi poss¡vel localizar entradas no Registro de nenhum

                   adaptador de rede

             
             Resumo de resultados de testes de servidores DNS usados pelos

             controladores de dom¡nio acima:

             

                Servidor DNS: 127.20.0.1 (EC00)

                   Falha de teste 1 neste servidor DNS

                   Name resolution is not functional. _ldap._tcp.eicvs.com.br. failed on the DNS server 127.20.0.1
                   
                Servidor DNS: 172.20.0.10 (ec01.eicvs.com.br.)

                   Falha de teste 1 neste servidor DNS

                   
             Resumo dos resultados de teste de DNS:

             
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Dom¡nio: eicvs.com.br

                   ec00                         PASS WARN PASS FAIL PASS FAIL n/a  
             
             ......................... eicvs.com.br nÆo passou no teste DNS

    quinta-feira, 14 de junho de 2018 00:17
  • pelo jeito, estao faltando indices no DNS, mas gostaria de uma opniao e orientação sua caso seja isso, como recriar esses índices e fazer comunicar corretamente. Tambem uma duvida, esses erros podem ter haver com o problema que estou tendo na redundancia? att,
    quinta-feira, 14 de junho de 2018 00:21
  • Olá. 

    Sem saber os passos executados anteriormente fica difícil até mesmo de opinar. Acho que só se deve limpar os metadados num cenário de despromoção na força bruta. O que não parece ser o seu caso.

    Num laboratório virtual de teste, não consegui reproduzir o erro.

    Aconselho você conseguir uma janela para teste. E tentar encontrar principalmente problemas de autenticação.

    Analisar passo a passo seguindo aquele manual passado anteriormente - se possível analisando o tráfego de rede no momento das falhas. 

    Tentar descobrir se há impacto com aqueles erros que você mandou os prints anteriormente.

    Enfim, defina uma estratégia listando as possíveis causas e vá eliminando conforme testado.

    Já testou: dcdiag / test: dns

    Por curiosidade, essa empresa fica em Votorantim? 


    https://inframicrosoft.wordpress.com/


    J.MAURICIO,

    EU DEI UM COMANDO DCDIAG /E /DNS:TEST PARA ME MOSTRAR O TESTE DE TODOS OS SERVIDORES JUNTOS, OLHA SÓ, O SERVIDOR EC01 QUE NÃO É DNS ATUALMENTE ESTA DIZENDO QUE ESTA PARADO, ALEM DE OUTROS ERROS QUE DERAM.

    Diagnostico do Servidor de Diretorio


    Executando instalaçao inicial:

    Tentando localizar o servidor local...

    Servidor Local = EC10

    * Floresta AD identificada. 

    Coleta de informações iniciais concluída.


    Executando os testes iniciais necessários


    Testando o servidor: Primeiro-site-padrao\EC00
    Iniciando teste: Connectivity
    ......................... EC00 passou no teste Connectivity

    Testando o servidor: Primeiro-site-padrao\EC01
    Iniciando teste: Connectivity
    ......................... EC01 passou no teste Connectivity

    Testando o servidor: Primeiro-site-padrao\EC10
    Iniciando teste: Connectivity
    ......................... EC10 passou no teste Connectivity


    Executando os testes principais

    Testando o servidor: Primeiro-site-padrao\EC00

    Testando o servidor: Primeiro-site-padrao\EC01

    Testando o servidor: Primeiro-site-padrao\EC10


    Iniciando teste: DNS


    Testes de DNS estão em execução e não em suspensão.

    Aguarde alguns minutos...

    Iniciando teste: DNS

    Iniciando teste: DNS

    Tipo de inicialização de serviço inválido: DNS em

    EC01, valor atual DISABLED, valor esperado
    AUTO_START
    Serviço DNS parado em [EC01]
    ......................... EC10 passou no teste DNS
    ......................... EC00 passou no teste DNS
    ......................... EC01 nao passou no teste DNS


    Executando testes de parti‡Æo em : ForestDnsZones

    Executando testes de parti‡Æo em : DomainDnsZones

    Executando testes de parti‡Æo em : Schema

    Executando testes de parti‡Æo em : Configuration

    Executando testes de parti‡Æo em : eicvs

    Executando testes de empresa em : eicvs.com.br

    Iniciando teste: DNS

    Resultados de testes de controladores de dom¡nio:

    Controlador de dom¡nio: ec00.eicvs.com.br
    Dom¡nio: eicvs.com.br

    TEST: Basic (Basc)
    Aviso: O adaptador
    [00000012] Intel(R) 82579LM Gigabit Network Connection tem um
    servidor DNS inv lido: 127.20.0.1 (EC10)

    TEST: Delegations (Del)
    Erro: Servidor DNS: ec01.eicvs.com.br. IP:172.20.0.10
    [Broken delegated domain _msdcs.eicvs.com.br.]


    TEST: Records registration (RReg)
    Adaptador de Rede
    [00000012] Intel(R) 82579LM Gigabit Network Connection:

    Aviso: Esta  faltando o registro CNAME no servidor DNS 127.20.0.1:
    2541a33a-db4b-4d14-a79d-07e9bd0c2db4._msdcs.eicvs.com.br

    Aviso: Esta  faltando o registro A no servidor DNS 127.20.0.1:
    ec00.eicvs.com.br

    Erro: 
     Est  faltando o registro SRV no servidor DNS 127.20.0.1:
     _ldap._tcp.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _ldap._tcp.3347a2be-5d02-4597-a58c-608c011b362d.domains._msdcs.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _kerberos._tcp.dc._msdcs.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _ldap._tcp.dc._msdcs.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _kerberos._tcp.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _kerberos._udp.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _kpasswd._tcp.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _ldap._tcp.Primeiro-site-padrao._sites.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _kerberos._tcp.Primeiro-site-padrao._sites.dc._msdcs.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _ldap._tcp.Primeiro-site-padrao._sites.dc._msdcs.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _kerberos._tcp.Primeiro-site-padrao._sites.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _ldap._tcp.gc._msdcs.eicvs.com.br

    Aviso: 
    Est  faltando o registro A no servidor DNS 127.20.0.1:
    gc._msdcs.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _gc._tcp.Primeiro-site-padrao._sites.eicvs.com.br

    Erro: 
    Est  faltando o registro SRV no servidor DNS 127.20.0.1:
    _ldap._tcp.Primeiro-site-padrao._sites.gc._msdcs.eicvs.com.br
    Erro: NÆo foi poss¡vel localizar entradas no Registro de nenhum

    adaptador de rede

    Controlador de dom¡nio: EC01.eicvs.com.br
    Dom¡nio: eicvs.com.br

    TEST: Basic (Basc)
    Error: DNS service is not running

    Aviso: O adaptador
    [00000007] Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)
    tem um servidor DNS inv lido: 127.0.0.1 (EC01)

    Aviso: O adaptador
    [00000010] Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)
    tem um servidor DNS inv lido: 127.0.0.1 (<name unavailable>)

    Aviso: O adaptador
    [00000013] Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)
    tem um servidor DNS inv lido: 192.168.130.1
    (<name unavailable>)

    Aviso: O adaptador
    [00000013] Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)
    tem um servidor DNS inv lido: 127.0.0.1 (<name unavailable>)

    Aviso: O adaptador
    [00000015] Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)
    tem um servidor DNS inv lido: 192.168.130.1
    (<name unavailable>)

    Aviso: O adaptador
    [00000015] Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)
    tem um servidor DNS inv lido: 127.0.0.1 (<name unavailable>)

    Aviso: O adaptador
    [00000020] Microsoft Failover Cluster Virtual Adapter tem um
    servidor DNS inv lido: 127.0.0.1 (<name unavailable>) Warning: no DNS RPC connectivity (error or non Microsoft DNS server is running)

    Controlador de dom¡nio: EC10.eicvs.com.br
    Dom¡nio: eicvs.com.br

    TEST: Delegations (Del)
    Erro: Servidor DNS: ec01.eicvs.com.br. IP:172.20.0.10

    [Broken delegated domain _msdcs.eicvs.com.br.]

    Resumo de resultados de testes de servidores DNS usados pelos

    controladores de dom¡nio acima:

    Servidor DNS: 172.20.0.10 (ec01.eicvs.com.br.)
    Falha de teste 2 neste servidor DNS

    Servidor DNS: 192.168.130.1 (<name unavailable>)
    Falha de teste 2 neste servidor DNS

    PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.130.1               Name resolution is not functional. _ldap._tcp.eicvs.com.br. failed on the DNS server 192.168.130.1

    Servidor DNS: 10.0.0.1 (<name unavailable>)

    Falha de teste 1 neste servidor DNS

    PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 10.0.0.1               Name resolution is not functional. _ldap._tcp.eicvs.com.br. failed on the DNS server 10.0.0.1

    Servidor DNS: 127.20.0.1 (EC10)

    Falha de teste 1 neste servidor DNS

    Name resolution is not functional. _ldap._tcp.eicvs.com.br. failed on the DNS server 127.20.0.1

    Servidor DNS: 169.254.1.34 (<name unavailable>)

    Falha de teste 1 neste servidor DNS

    PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 169.254.1.34               Name resolution is not functional. _ldap._tcp.eicvs.com.br. failed on the DNS server 169.254.1.34

    Servidor DNS: 172.20.0.12 (EC01)

    Falha de teste 1 neste servidor DNS

    Name resolution is not functional. _ldap._tcp.eicvs.com.br. failed on the DNS server 172.20.0.12

    Servidor DNS: 192.168.130.10 (<name unavailable>)

    Falha de teste 1 neste servidor DNS

    PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.130.10               Name resolution is not functional. _ldap._tcp.eicvs.com.br. failed on the DNS server 192.168.130.10

    Servidor DNS: 192.168.130.11 (<name unavailable>)

    Falha de teste 1 neste servidor DNS

    PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.130.11               Name resolution is not functional. _ldap._tcp.eicvs.com.br. failed on the DNS server 192.168.130.11

    Resumo dos resultados de teste de DNS:


    Auth Basc Forw Del  Dyn  RReg Ext
    _________________________________________________________________
    Dom¡nio: eicvs.com.br

    ec00                         PASS WARN PASS FAIL PASS FAIL n/a  
    EC01                         PASS FAIL n/a  n/a  n/a  n/a  n/a  
    EC10                         PASS PASS PASS FAIL PASS PASS n/a  

    ......................... eicvs.com.br nÆo passou no teste DNS                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             

    quinta-feira, 14 de junho de 2018 11:14
  • A falta desses registros SRV podem sim impactar, pois eles fornecem maneira de se encontrar os serviços de infraestrutura no domínio. Ex.: LDAP, Kerberos, encontrar o GC, etc.

    O EC10 está rodando o Windows Server 2012 e é o mestre de operações. Ele detém os dados de DNS armazenados numa partição do AD. Nele os registros em _msdcs devem estar corretos. Eles são muito importantes. Acesse: Aqui para boas informações.

    Além do DNS no EC10, essa função está presente no EC00 também. Certo?

    Sugiro que reconfigure do zero seu EC00 (DNS). Faça uma cópia da base dele e o reconfigure.

    https://inframicrosoft.wordpress.com/


    • Editado J. Maurício quinta-feira, 14 de junho de 2018 12:11
    quinta-feira, 14 de junho de 2018 11:53
  • A falta desses registros SRV podem sim impactar, pois eles fornecem maneira de se encontrar os serviços de infraestrutura no domínio. Ex.: LDAP, Kerberos, encontrar o GC, etc.

    O EC10 está rodando o Windows Server 2012 e é o mestre de operações. Ele detém os dados de DNS armazenados numa partição do AD. Nele os registros em _msdcs devem estar corretos. Eles são muito importantes. Acesse: Aqui para boas informações.

    Além do DNS no EC10, essa função está presente no EC00 também. Certo?

    Sugiro que reconfigure do zero seu EC00 (DNS). Faça uma cópia da base dele e o reconfigure.

    https://inframicrosoft.wordpress.com/


    Vou fazer esse procedimento. 

    Referente o EC00, minha ideia é subir um servidor novo assim que o EC10 estiver funcionando corretamente o AD. Outra coisa, no caso do EC01 que apresentou nestes testes como servidor dns ainda, com esse processo ele vai desconsiderar o EC01?

    quinta-feira, 14 de junho de 2018 17:23
  • A falta desses registros SRV podem sim impactar, pois eles fornecem maneira de se encontrar os serviços de infraestrutura no domínio. Ex.: LDAP, Kerberos, encontrar o GC, etc.

    O EC10 está rodando o Windows Server 2012 e é o mestre de operações. Ele detém os dados de DNS armazenados numa partição do AD. Nele os registros em _msdcs devem estar corretos. Eles são muito importantes. Acesse: Aqui para boas informações.

    Além do DNS no EC10, essa função está presente no EC00 também. Certo?

    Sugiro que reconfigure do zero seu EC00 (DNS). Faça uma cópia da base dele e o reconfigure.


    https://inframicrosoft.wordpress.com/


    Vou fazer esse procedimento. 

    Referente o EC00, minha ideia é subir um servidor novo assim que o EC10 estiver funcionando corretamente o AD. Outra coisa, no caso do EC01 que apresentou nestes testes como servidor dns ainda, com esse processo ele vai desconsiderar o EC01?

    Para fazer o procedimento do video, isolo o servidor ad primário ou faço isso com os outrros se comunicando com ele?
    quinta-feira, 14 de junho de 2018 18:04
  • Não é esse o procedimento que deve ser executado. Esse procedimento seria usado caso ocorresse  a perda (_msdcs) no DC.

    Imagino que o servidor que é DNS, e não é DC, está sincronizando os dados a partir do DC. Nesse caso, as atividades de reconfiguração do DNS poderão ser realizadas, numa janela adequada é claro, com os demais servidores online.


    https://inframicrosoft.wordpress.com/

    quinta-feira, 14 de junho de 2018 19:19
  • Não é esse o procedimento que deve ser executado. Esse procedimento seria usado caso ocorresse  a perda (_msdcs) no DC.

    Imagino que o servidor que é DNS, e não é DC, está sincronizando os dados a partir do DC. Nesse caso, as atividades de reconfiguração do DNS poderão ser realizadas, numa janela adequada é claro, com os demais servidores online.


    https://inframicrosoft.wordpress.com/

    voce se refere ao servidor meu que não é mais dns mas esta apontado? caso sim, deixa te pedir um conselho, voce acha que se eu despromover esse servidor do ad, ja deve resolver o problema? 

    pergunto isso, pois de qualquer maneira ele ja iria sair desse escopo mesmo.

    att,

    quinta-feira, 14 de junho de 2018 20:01
  • Acho que já me perdi nas informações (rs).

    Veja em EC10, na guia Name Servers das propriedades da zona eicvs.com.br, verifique se somente os servidores DNS corretos estão listados.


    https://inframicrosoft.wordpress.com/

    sexta-feira, 15 de junho de 2018 00:34
  • Acho que já me perdi nas informações (rs).

    Veja em EC10, na guia Name Servers das propriedades da zona eicvs.com.br, verifique se somente os servidores DNS corretos estão listados.


    https://inframicrosoft.wordpress.com/

    J.Mauricio, seguem os prints.

    Print 01, EC10 (Primario de AD e DNS) ele esta com um IP 169 nele, será que posso excluir?

    Print 02, EC01 (secundario AD que não é DNS) mas ainda consta na zona e não consegue resolver o nome. Será que posso excluir ele da zona?

    Print 03 (secundario AD e DNS) resolveu o nome normalmente.


    sexta-feira, 15 de junho de 2018 10:05
  • Print 01, EC10 (Primario de AD e DNS) ele esta com um IP 169 nele, será que posso excluir?


    Olá.

    O intervalo de endereços 169.254.0.0 – 169.254.255.255 é usado para o endereçamento IP privado automático. (APIPA). Essa configuração está incorreta. Você deve alterar esse IP em todas as zonas colocando o real IP do EC10.


    https://inframicrosoft.wordpress.com/

    sexta-feira, 15 de junho de 2018 11:27
  • Print 02, EC01 (secundario AD que não é DNS) mas ainda consta na zona e não consegue resolver o nome. Será que posso excluir ele da zona?


    Se você tem certeza de que ele não é um servidor DNS. Ele deve ser removido da lista de servidor de nomes.

    https://inframicrosoft.wordpress.com/


    • Editado J. Maurício sexta-feira, 15 de junho de 2018 11:50
    sexta-feira, 15 de junho de 2018 11:31
  • Print 02, EC01 (secundario AD que não é DNS) mas ainda consta na zona e não consegue resolver o nome. Será que posso excluir ele da zona?


    Se você tem certeza de que ele não é um servidor DNS. Ele deve ser removido da lista de servidor de nomes.

    https://inframicrosoft.wordpress.com/


    J.Mauricio,

    tenho certeza, pois veja abaixo, na ferramenta de dns desse servidor ec01, não há nada.

    Ja removi o ec01 dos servidores de nomes da pesquisa direta e zona inversa tambem. Mas engraçado quando puxo o dcdiag /e /test:dns ainda aparece a mensagem que o servidor ec01 esta com serviço de dns parado. será que inves de despromover esse servidor mataram o dns dele na mao? por isso ele fica ainda assim dando essa mensagem? 

    sexta-feira, 15 de junho de 2018 12:39
  • Realmente isso está confuso. Liste as funções desse servidor pelo Server Manager. Veja os alertas e erros que são exibidos. Esse era o DC primário antes?

    https://inframicrosoft.wordpress.com/

    sexta-feira, 15 de junho de 2018 12:45
  • Realmente isso está confuso. Liste as funções desse servidor pelo Server Manager. Veja os alertas e erros que são exibidos. Esse era o DC primário antes?

    https://inframicrosoft.wordpress.com/

    Olha J.Mauricio, eu nem tinha me ligado de olhar la. Veja abaixo. Vou remover a função dele, seria o certo ne?


    sexta-feira, 15 de junho de 2018 13:05
  • Certo. Por algum motivo o serviço de DNS está parado.

    Antes de qualquer outro passo, seria importante restaurar a saúde do DNS desse servidor.

    Tenta iniciar o serviço para ver o que ocorre. Se tudo funcionar corretamente e não for despromover esse servidor, acrescente-o novamente como server name nas propriedades das zonas.


    https://inframicrosoft.wordpress.com/

    sexta-feira, 15 de junho de 2018 13:15
  • Certo. Por algum motivo o serviço de DNS está parado.

    Antes de qualquer outro passo, seria importante restaurar a saúde do DNS desse servidor.

    Tenta iniciar o serviço para ver o que ocorre. Se tudo funcionar corretamente e não for despromover esse servidor, acrescente-o novamente como server name nas propriedades das zonas.


    https://inframicrosoft.wordpress.com/

    Na verdade ele tem que ser despromovido, pois ele é um servidor que ja tem serviços criticos, como hyper-v com maquinas virtuais e banco de dados. Então a ideia é deixar ele só focado para isso, inclusive quero tirar ele de AD tambem, ou seja, despromover de AD e DNS, mas estou com medo de fazer isso e ter algum problema com o AD. o que acha que é melhor fazer? será que posso ja direto despromover ele? que ai ja é um ponto que elimino.
    sexta-feira, 15 de junho de 2018 14:42
  • Certo. Por algum motivo o serviço de DNS está parado.

    Antes de qualquer outro passo, seria importante restaurar a saúde do DNS desse servidor.

    Tenta iniciar o serviço para ver o que ocorre. Se tudo funcionar corretamente e não for despromover esse servidor, acrescente-o novamente como server name nas propriedades das zonas.


    https://inframicrosoft.wordpress.com/

    De qualquer maneira, despromovendo ou não, tentei iniciar o DNS nele e olha a mensagem.


    sexta-feira, 15 de junho de 2018 14:47
  • Sinceramente eu não sei se é possível despromover de forma limpa com o serviço de DNS parado.

    O que EU tentaria, numa janela de manutenção adequada, fazer o serviço de DNS ficar operante para então despromover.

    Se estiver inseguro, pesquise bastante antes sobre o assunto. Eu imagino que você não terá problema já que os demais DCs estão rodando normalmente. Mas, tudo pode acontecer. Essa máxima a gente aprende convivendo com TI - vez ou outra, coisas muito estranhas acontecem (rs).

    Infelizmente não posso opinar no que você deve fazer sem estar puxando a responsabilidade se algo der errado.

    Entretanto, se ir aparecendo problema durante o processo de sua escolha, continue postando aqui que tentarei ajudar.


    https://inframicrosoft.wordpress.com/


    • Editado J. Maurício sexta-feira, 15 de junho de 2018 14:54
    sexta-feira, 15 de junho de 2018 14:53
  • Sinceramente eu não sei se é possível despromover de forma limpa com o serviço de DNS parado.

    O que EU tentaria, numa janela de manutenção adequada, fazer o serviço de DNS ficar operante para então despromover.

    Se estiver inseguro, pesquise bastante antes sobre o assunto. Eu imagino que você não terá problema já que os demais DCs estão rodando normalmente. Mas, tudo pode acontecer. Essa máxima a gente aprende convivendo com TI - vez ou outra, coisas muito estranhas acontecem (rs).

    Infelizmente não posso opinar no que você deve fazer sem estar puxando a responsabilidade se algo der errado.

    Entretanto, se ir aparecendo problema durante o processo de sua escolha, continue postando aqui que tentarei ajudar.


    https://inframicrosoft.wordpress.com/


    J.Mauricio. 

    Vou fazer o seguinte, para backup aqui usamos a ferramenta da symantec e nela consigo fazer um snapshot completo da maquina e montar em outra. O EC00 e EC10 ja fiz o snap shot e inclusive ja instalei esse snap shot em 2 desktops, então tenho uma copia idêntica desses 2 servidores meu, esta faltando do EC01, pois como ele é um servidor muito grande vou precisar fazer um snap shot dele só do c: com windows para poder testar em um ambiente separado de teste despromover e ver como o AD ira se comportar nesse ambiente teste.

    Vou fazer isso. Mas consegui com sua ajuda deixar um pouco mais claro os problemas. Vou ver se consigo fazer o snap shot e qualquer coisa grito você na segunda. Vou tentar estar com ambiente teste pronto na segunda para executar testes, dando certo, aplico no meu ambiente oficial.

    sexta-feira, 15 de junho de 2018 15:20
  • Boa sorte.

    https://inframicrosoft.wordpress.com/

    sexta-feira, 15 de junho de 2018 15:31
  • Boa sorte.

    https://inframicrosoft.wordpress.com/

    Mauricio,

    boa tarde!

    Voltei a "estaca zero".  Montei minha base teste com a copia exata dos meus servidores oficiais, mas descobri outro problema, eu não estava conseguindo enxergar o dns do principal no secundario e vice e versa, comecei achar estranho e resolvi pingar meu dominio eicvs.com.br, descobri que o ping retornou resposta de um IP 172.20.0.12 que é um cluster que tem criado para o hyper-v...esse cluster esta instalado no segundo controlador de dominio que não é dns (lembra aquele controlador que nao estava rodando o serviço dns, e voce disse para tentar ajustar ele?) pois é, ele tem um cluster com as maquinas hyper-v que são maquinas com banco de dados. Agora eu fiquei mais confuso, pois como meu dominio esta apontando para um IP que na pratica seria da configuração do cluster? ai resolvi acessar remotamente esse ip para ver o que ia acontecer, ele cai no servidor ec01, só que achei estranho pois nenhuma das minhas placas nesse servidor esta com esse IP...não estou entendendo mais nada, me deixou mais confuso isso.

    por fim, tentei despromover a força meus 2 secundários na base de teste usando o dcpromo /forceremoval mas ai o ambiente teste ficou todo cagado, o ec10 que é o principal morreu de vez ate o dns.

    há algum outro teste que você conheça que eu possa fazer? estou ficando desesperado com isso ja.

    quarta-feira, 20 de junho de 2018 16:34
  • Olá.

    Nesse caso, fico com receio de opinar. Não queria e não quero sugerir algo que pode danificar sua infra. No mais, não entendi alguns pontos:

    - Tudo isso já afeta seu ambiente de produção? Lembro-me que você criou um de teste.

    - O que está em máquina virtual e o que está em máquina física?

    Com disse antes, fui enfático em não sugerir nada de risco. Espero que em nenhum post tenha dado margem à ambiguidade. Sinta-se livre para me contactar por e-mail caso queira trocar mais algumas ideias:

    mauricio_sene@yahoo.com.br


    https://inframicrosoft.wordpress.com/


    • Editado J. Maurício quarta-feira, 20 de junho de 2018 16:52
    quarta-feira, 20 de junho de 2018 16:52
  • Olá.

    Nesse caso, fico com receio de opinar. Não queria e não quero sugerir algo que pode danificar sua infra. No mais, não entendi alguns pontos:

    - Tudo isso já afeta seu ambiente de produção? Lembro-me que você criou um de teste.

    - O que está em máquina virtual e o que está em máquina física?

    Com disse antes, fui enfático em não sugerir nada de risco. Espero que em nenhum post tenha dado margem à ambiguidade. Sinta-se livre para me contactar por e-mail caso queira trocar mais algumas ideias:

    mauricio_sene@yahoo.com.br


    https://inframicrosoft.wordpress.com/


    Não Mauricio, fica tranquilo. o ambiente oficial esta intacto. Tudo o que fiz foi na base teste mesmo.

    Os 3 servidores são físicos:

    • EC10 - AD e DNS Primario
    • EC00 - AD e DNS Secundário
    • EC01 - AD e (esse era o que não iniciava o DNS, se lembra? ele tinha a função DNS mas não estava funcionando) Alem dele ter o AD, ser catalogo global e ter um DNS que não esta em funcionamento, ele tem um hyper-v nele e com a base teste descobri que esse hyper-v dele tem uma configuração de cluster ( servidor tem função de cluster) só que o que não entendi, é porque quando eu dou um ping do meu servidor principal EC10 no meu nome de domino, ao invés dele pingar o próprio IP 172.20.0.1 ele esta pingando o IP 172.20.0.12 que é o IP de cluster. No meu dns, sai caçando esse IP e tem um hostname la gravado como ECcluster para esse IP, só que na teoria esse cluster pelo que tenho de histórico aqui é para redundância dos servidor virtuais que estão divididos em 2 servidores, um deles o EC01 e o outro o EC02 que por acaso não tem nenhum serviço de AD e DNS instalado nele.

    A minha duvida é a seguinte, porque meu domínio esta apontando para esse cluster? não tenho históricos de como era o ambiente e como ficou, sei que existe uma grande probabilidade da pessoa anterior ter tentando migrar o AD e fez de maneira errada, mas preciso muito conseguir resolver isso.

    O meu cenário hoje é esse, mas minha ideia e meu plano de ação é o seguinte:

    O EC00 atual e o EC10 vão sair da estrutura, vou tirar eles pois tenho um servidor novo aqui já com windows server instalado, e vou fazer desse novo o meu AD e DNS primário (tive essa decisão pelos varios problemas que estou encontrando no ambiente), só que o EC01 será mantido por causa do hyper-v, eu iria tirar as funções dele de AD e DNS e iria promover um outro servidor como secundário. 

    Baseando-se nesse cenário e todos esses problemas, qual seria a melhor pratica? estava pensando se eu fizer um processo como se eu tivesse perdido o EC10 e EC00 e roubasse as credenciais do EC10 será que consigo solucionar esses problemas? pois não estou conseguindo exergar outra forma de resolver isso. 

    quarta-feira, 20 de junho de 2018 17:21
  • 

    Veja acima, essas são as funcoes que meu EC01 tem, veja que ele tem um recurso de cluster, mas aparentemente é para o hyper-v não para o fisico AD.

    ou seja, porque quando pingo do meu principal o meu dominio eicvs.com.br ele me traz como resposta o IP desse eccluster...

    Não estou entendendo mais nada rsrsrs

    quarta-feira, 20 de junho de 2018 17:26
  • olha isso...
    quarta-feira, 20 de junho de 2018 17:43
  • Como você mesmo disse, muito provável que configurações importantes foram deixadas de lado em algum momento. Não sei como posso ajudar, mas de uma coisa tenho certeza. Se não há documentação do ambiente, agora é a hora de fazê-la (rs). 

    Se não me engano, esse EC01 era seu AD master. Quando o recurso de Failover foi implantado, uma entrada relacionando o ECCLuster com o domínio foi criada no DNS (manual ou automaticamente - não sei ao certo).

    O DNS é a alma do ambiente - penso que mais de 90% das respostas estarão lá. Depois de ter em mente todas as mudanças, pense em como ajustar o DNS para que todos os recursos e serviços continuem disponíveis.


    https://inframicrosoft.wordpress.com/

    quarta-feira, 20 de junho de 2018 17:52
  • Como você mesmo disse, muito provável que configurações importantes foram deixadas de lado em algum momento. Não sei como posso ajudar, mas de uma coisa tenho certeza. Se não há documentação do ambiente, agora é a hora de fazê-la (rs). 

    Se não me engano, esse EC01 era seu AD master. Quando o recurso de Failover foi implantado, uma entrada relacionando o ECCLuster com o domínio foi criada no DNS (manual ou automaticamente - não sei ao certo).

    O DNS é a alma do ambiente - penso que mais de 90% das respostas estarão lá. Depois de ter em mente todas as mudanças, pense em como ajustar o DNS para que todos os recursos e serviços continuem disponíveis.


    https://inframicrosoft.wordpress.com/

    Voce acha que se eu fizer um processo como se fosse um disaster recovery (ou seja, como se eu tivesse perdido o AD do principal e secundario) e no servidor novo roubasse as credenciais esses problemas seriam resolvidos? 

    Ou sera que o melhor seria tentar fazer funcionar esse DNS desse EC01? mas não sei nem por onde começar, pois quando abro ele a impressão que eu tenho é que mataram ele na mão.

    quarta-feira, 20 de junho de 2018 17:57
  • Rapaz, já que seu AD "master" (EC10) está aparentemente sem problemas, acredito ser mais seguro ir despromovendo os caras que não devem mais ser DC - EC01 por exemplo. Com certeza ajustes manuais serão necessários no DNS. O jeito vai ser criar um plano de ação e outro de recuperação caso as coisas comecem a ir de mal a pior. Infelizmente, não tenho experiência na definição desses processos.

    https://inframicrosoft.wordpress.com/

    quarta-feira, 20 de junho de 2018 18:13
  • Rapaz, já que seu AD "master" (EC10) está aparentemente sem problemas, acredito ser mais seguro ir despromovendo os caras que não devem mais ser DC - EC01 por exemplo. Com certeza ajustes manuais serão necessários no DNS. O jeito vai ser criar um plano de ação e outro de recuperação caso as coisas comecem a ir de mal a pior. Infelizmente, não tenho experiência na definição desses processos.

    https://inframicrosoft.wordpress.com/

    vou ter que remontar meu ambiente teste rsrsrs...deixei ele bem bagunçado com varios testes que fiz. Mas vou investigar mais e fazer mais testes.eu estava aqui pensando. há alguma forma de atualizar o windows server 2008 para o 2012 com tudo que tem nele sem perder as informações? como se eu estivesse atualizando o windows? vi esse tutorial http://www.andreruschel.com/2012/07/migrando-windows-server-2008-r2-para.html
    quarta-feira, 20 de junho de 2018 19:14
  • Aparentemente parece até ser possível: Link de apoio

    Agora se terá problemas, só testando pra saber.


    https://inframicrosoft.wordpress.com/

    • Marcado como Resposta IgorFKModerator quinta-feira, 28 de junho de 2018 16:26
    quarta-feira, 20 de junho de 2018 19:44
  • Boa tarde,

    Por falta de retorno essa thread está encerrada.

    Se necessário favor abrir uma nova thread.

    Atenciosamente,

    Igor F. Kunrath

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    Technet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quinta-feira, 28 de junho de 2018 16:26
    Moderador