none
Устраняем ошибки AD DC Win 2012R2 RRS feed

  • Вопрос

  • Добрый день. Помогите устранить ошибки контроллера домена. А то что то ничего сделать не могу. Постоянно сообщает, что пароль Админа не опознан. При смене этого пароля происходит событие 14:

    При обработке AS-запроса для конечной службы krbtgt учетная запись Администратор не имела подходящего ключа для создания билета Kerberos (код недостающего ключа - 1). E-типы запросов: 18  17  23  24  -135  3. Доступные E-типы учетных записей: 23  -133  -128. Смена или повторный ввод пароля Администратор создаст правильный ключ.

    Так же при открытии оснастки групповых политик, выходит ошибка:

    Ошибка обработки при сборе данных с помощью базового КД.

    В сети 2 КД. Один на win 2003, второй на win 2012r2. С 2003 делал миграцию на 2012, перед понижением роли 2003 решил избавиться от ошибок.

    C:\Users\Администратор.DOMAIN>dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = SERVERDC
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\SERVERDC
          Запуск проверки: Connectivity
             ......................... SERVERDC - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\SERVERDC
          Запуск проверки: Advertising
             Внимание: DsGetDcName вернул сведения для \\Server.domain.loc при
             попытке получения доступа к SERVERDC.
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
             ......................... SERVERDC - не пройдена проверка Advertising
          Запуск проверки: FrsEvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... SERVERDC - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... SERVERDC - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... SERVERDC - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... SERVERDC - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... SERVERDC - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... SERVERDC - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... SERVERDC - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             Не удается подключиться к общему ресурсу NETLOGON.
             (\\SERVERDC\netlogon)
             [SERVERDC] Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..
             ......................... SERVERDC - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... SERVERDC - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             ......................... SERVERDC - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... SERVERDC - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... SERVERDC - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0xC000000E
                Время создания: 05/24/2016   10:35:11
                Строка события:

                При обработке AS-запроса для конечной службы krbtgt учетная запись А
    дминистратор не имела подходящего ключа для создания билета Kerberos (код недост
    ающего ключа - 1). E-типы запросов: 18  17  23  24  -135  3. Доступные E-типы уч
    етных записей: 23  -133  -128. Смена или повторный ввод пароля Администратор соз
    даст правильный ключ.
             ......................... SERVERDC - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... SERVERDC - пройдена проверка
             VerifyReferences


       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: domain
          Запуск проверки: CheckSDRefDom
             ......................... domain - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... domain - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: domain.loc
          Запуск проверки: LocatorCheck
             Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
             1355
             Не удается найти сервер времени.
             Сервер, которому принадлежит роль PDC, отключен.
             Внимание! Сбой при вызове функции
             DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
             Не удается найти сервер точного времени.
             ......................... domain.loc - не пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... domain.loc - пройдена проверка Intersite

Ответы

  • Подозреваю, что у вас нет папки, которая должна делаться общей под именем NETLOGON. По умолчанию это C:\WINDOWS\SYSVOL\domain\scripts (она же - C:\WINDOWS\SYSVOL\sysvol\имя.домена\scripts).

    Как я понимаю, вы произвели полномочное (authoritative) восстановление для пустой папки SYSVOL на новом контроллере домена. Проверьте, не исчезли ли папки Policies и Scripts на старом КД, если исчезли - поищите их в скрытой паке NTFRS_Preexisting_что-то-там и восстановите, иначе (или если найденные скопированные папки не среплицировались) - скопируйте вручную на новый КД и разбирайтесь дальше, почему не идёт репликация SYSVOL.


    Слава России!


    • Изменено M.V.V. _ 1 июня 2016 г. 15:42
    • Помечено в качестве ответа tekirinkaari 2 июня 2016 г. 16:29
    1 июня 2016 г. 15:41
  • Проверьте наличие ссылок (link) с именем домена в папке C:\WINDOWS\SYSVOL\sysvol. Если их нет - создайте. И вообще, проверьте структуру папки SYSVOL и подпапок, см. MS KB 315457, шаг 3.


    Слава России!

    • Помечено в качестве ответа tekirinkaari 2 июня 2016 г. 16:30
    1 июня 2016 г. 18:20
  • Ошибки в системном журнале событий с кодом 1111 (0x457), которые видит тест, почти наверняка можно игнорировать: скоре всего это вот это: http://www.eventid.net/display-eventid-1111-source-TermServDevices-eventno-660-phase-1.htm - не удаётся установить драйвер для принтера, находящегося на клиентском компьютере откуда вы подключались, отображаемого через RDP. Если не хотите игнорировать - найдите и установите драйвер или в свойствах подключения RDP отключите подклбчения принтера. В любом случае, на работу AD это никак не влияет.


    Слава России!

    • Помечено в качестве ответа tekirinkaari 2 июня 2016 г. 16:30
    2 июня 2016 г. 12:56

Все ответы

  • Ребят, что то не могу сам с ошибками разобраться.

    Всё упирается в то, что постоянно отказывают в доступе. Работаю под пользователем Администратор. Когда запускаю на старом сервере ту же групповую политику, всё нормально проходит, а когда на новом - отказано в доступе. Что может быть?

  • первое что бросается в глаза - похоже роли FSMO не переданы на новый контроллер...

    так же и с глобальным каталогом...

    ну и есть подозрение на неправильную настройку DNS.

  • PS C:\Windows\system32> netdom query fsmo
    Хозяин схемы                SERVERDC.sm-domain.loc
    Хозяин именования доменов   SERVERDC.sm-domain.loc
    PDC                         SERVERDC.sm-domain.loc
    Диспетчер пула RID          SERVERDC.sm-domain.loc
    Хозяин инфраструктуры       SERVERDC.sm-domain.loc
    Команда выполнена успешно.

    Везде указан новый сервер.

    Запускал ntdsutil и делал transfer ролей. Предлагаете сделать захват?


  • а почему у вас домены разные? в одном случае domain.loc а в другом sm-domain.loc

    не вы ли тот уникальный админ, который "подготовил и настроил контроллер в другой сети"... ? ;)

  • Ребят, что то не могу сам с ошибками разобраться.

    Всё упирается в то, что постоянно отказывают в доступе. Работаю под пользователем Администратор. Когда запускаю на старом сервере ту же групповую политику, всё нормально проходит, а когда на новом - отказано в доступе. Что может быть?

    У вас - несовпадение типов шифрования, используемых Kerberos: тех, для которых имеется хэш ключа в учётной записи (созданный на старой версии Windows) и тех, которые имеются в запросе ( с сервера под новой версией).

    А с групповой политикой всё просто - не среплицирован SYSVOL на новый контроллер домена, в результате новый контроллер домена себя таковым не считает и не объявляет.

    Начать, думаю, надо именно с SYSVOL: посмотреть в журнале событий FRS на старом и на новом контроллерах домена, что препятствует репликации SYSVOL. Перед тем, как смотреть, лучше перезапустить Службу репликации файлов - некоторые ошибки фиксируются только однократно. После того, как поймёте, где и  в чём ошибка, можно будет её устранить.

    С несовпадением Kerberos Etype можно будет разобраться попозже, когда будет работать новый контроллер домена. Если, конечно, не это является причиной отсутствия репликации SYSVOL.


    Слава России!

  • первое что бросается в глаза - похоже роли FSMO не переданы на новый контроллер...

    так же и с глобальным каталогом...

    ну и есть подозрение на неправильную настройку DNS.


    У спрашивающего новый контроллер домена не считает и не объявляет себя таковым, потому что у него не реплицирован SYSVOL. Ошибка с невозможностью найти PDC Emulator может быть связана с этим. Для восстановления репликации SYSVOL работа PDC Emulator не важна. Разве что, имеет смысл убедиться, что время на контроллерах доменов не разошлось более, чем на пять минут - автоматическая синхронизация времени, наверняка, пострадала.

    Слава России!

    1 июня 2016 г. 10:01
  • У спрашивающего новый контроллер домена не считает и не объявляет себя таковым, потому что у него не реплицирован SYSVOL. Ошибка с невозможностью найти PDC Emulator может быть связана с этим. Для восстановления репликации SYSVOL работа PDC Emulator не важна. Разве что, имеет смысл убедиться, что время на контроллерах доменов не разошлось более, чем на пять минут - автоматическая синхронизация времени, наверняка, пострадала.

    у спрашивающего контроллеры в разных доменах ;) ... отсюда и каша...
    1 июня 2016 г. 10:11
  • у спрашивающего контроллеры в разных доменах ;) ... отсюда и каша...

    Скорее всего, он скрыл реальное имя домена в одном месте, но забыл это сделать в другом. Или сделал - но по-другому.

    Слава России!

    1 июня 2016 г. 10:34
  • у спрашивающего контроллеры в разных доменах ;) ... отсюда и каша...


    Скорее всего, он скрыл реальное имя домена в одном месте, но забыл это сделать в другом. Или сделал - но по-другому.

    Слава России!

    ну путь тогда определится и не путает исходные данные :)

    иначе гадать можно до мартышкиного заговенья )))

    1 июня 2016 г. 11:16
  • Начать, думаю, надо именно с SYSVOL: посмотреть в журнале событий FRS на старом и на новом контроллерах домена, что препятствует репликации SYSVOL. Перед тем, как смотреть, лучше перезапустить Службу репликации файлов - некоторые ошибки фиксируются только однократно. После того, как поймёте, где и  в чём ошибка, можно будет её устранить.

    Было в журналах предупреждение: 13508

    Поискал как можно запустить репликацию. Нашёл: https://support.microsoft.com/ru-ru/kb/290762

    Подойдёт?

    Службы репликации перезапускал и появлялись предупреждения: 13566 и 13512

    1 июня 2016 г. 13:49
  • ну путь тогда определится и не путает исходные данные :)

    иначе гадать можно до мартышкиного заговенья )))

    M.V.V. _ прав, впредь постараюсь быть внимательнее.
    1 июня 2016 г. 13:52
  • Сделал как по ссылке выше и журнал FRS говорит, что репликация состоялась, однако системный журнал говорит, что возникла ошибка GroupPolicy 1058

    копаю дальше

    1 июня 2016 г. 14:43
  • что теперь в dcdiag тесты Advertising и NetLogons сообщают?


    Слава России!

    1 июня 2016 г. 14:49
  •   Запуск проверки: Advertising
        ......................... SERVERDC - пройдена проверка Advertising

    Запуск проверки: NetLogons
        Не удается подключиться к общему ресурсу NETLOGON.
        (\\SERVERDC\netlogon)
        [SERVERDC] Сбой операции net use или LsaPolicy с ошибкой 67,
        Не найдено сетевое имя..
        ......................... SERVERDC - не пройдена проверка NetLogons

    1 июня 2016 г. 14:57
  • Подозреваю, что у вас нет папки, которая должна делаться общей под именем NETLOGON. По умолчанию это C:\WINDOWS\SYSVOL\domain\scripts (она же - C:\WINDOWS\SYSVOL\sysvol\имя.домена\scripts).

    Как я понимаю, вы произвели полномочное (authoritative) восстановление для пустой папки SYSVOL на новом контроллере домена. Проверьте, не исчезли ли папки Policies и Scripts на старом КД, если исчезли - поищите их в скрытой паке NTFRS_Preexisting_что-то-там и восстановите, иначе (или если найденные скопированные папки не среплицировались) - скопируйте вручную на новый КД и разбирайтесь дальше, почему не идёт репликация SYSVOL.


    Слава России!


    • Изменено M.V.V. _ 1 июня 2016 г. 15:42
    • Помечено в качестве ответа tekirinkaari 2 июня 2016 г. 16:29
    1 июня 2016 г. 15:41
  • Проверил. Папки исчезли.

    есть только C:\Windows\SYSVOL\sysvol\domain.loc на обоих DC, но они пустые.

    папку "NTFRS_Preexisting_что-то-там" не нашел. Зато нашел папку sysvol какого то старого бэкапа и там есть папки scripts и policies. Они подойдут, если я их скопирую по папкам sysvol на обоих КД?

    1 июня 2016 г. 16:19
  • Да, подойдут. Скопировать нужно на один - на другой должно среплицироваться.

    Только вот, если меняли политики с тех пор, то изменения у вас пропали.


    Слава России!


    • Изменено M.V.V. _ 1 июня 2016 г. 16:31
    1 июня 2016 г. 16:28
  • Папки среплицировались.

    Особо политик не много было, можно и поправить будет, лишь бы всё работало нормально.

    Проверка NetLogons всё так же не проходит.

    не вижу шары на обоих КД \\КД\netlogon

    1 июня 2016 г. 16:42
  • Проверьте наличие ссылок (link) с именем домена в папке C:\WINDOWS\SYSVOL\sysvol. Если их нет - создайте. И вообще, проверьте структуру папки SYSVOL и подпапок, см. MS KB 315457, шаг 3.


    Слава России!

    • Помечено в качестве ответа tekirinkaari 2 июня 2016 г. 16:30
    1 июня 2016 г. 18:20
  • Проверил структуру папки, всё нормально. Ссылки сделал.

    Хочу уточнить, что в папках, где должны быть ссылки уже были папки со стрелкой на иконке с названием домена. Dcdiag, при этом не изменился.

    Расшарил папку scripts (Netlogon).

    dcdiag на новом, основном сервере показывает прохождение всех тестов, а на старом сервере показывает ошибки 457 в разделе systemlog:

    An Error Event occured.  EventID: 0x00000457 

        Time Generated: 06/02/2016   16:21:08
         (Event String could not be retrieved)
      An Error Event occured.  EventID: 0x00000457
         Time Generated: 06/02/2016   16:21:09
         (Event String could not be retrieved)
      ......................... SERVER failed test systemlog

  • Ошибки в системном журнале событий с кодом 1111 (0x457), которые видит тест, почти наверняка можно игнорировать: скоре всего это вот это: http://www.eventid.net/display-eventid-1111-source-TermServDevices-eventno-660-phase-1.htm - не удаётся установить драйвер для принтера, находящегося на клиентском компьютере откуда вы подключались, отображаемого через RDP. Если не хотите игнорировать - найдите и установите драйвер или в свойствах подключения RDP отключите подклбчения принтера. В любом случае, на работу AD это никак не влияет.


    Слава России!

    • Помечено в качестве ответа tekirinkaari 2 июня 2016 г. 16:30
    2 июня 2016 г. 12:56
  • Да, тут же шестнадцатиричная система. Так и есть, игнорирую.

    Тогда, получается, в dcdiag больше ошибок нет. Есть еще какие проверки по работоспособности DC?
    В журналах пока нет новых ни ошибок, ни предупреждений.
    От души благодарю за помощь.

    2 июня 2016 г. 16:28