none
ошибка с групповыми политиками RRS feed

  • Вопрос

  • Добрый день! решил поднять версию домен.контрол. с 2003 до 2012, на втором сервере для этого было установлена АД, проведа репликация со старого сервера, хозяином схемы, домена сделал сервер 2012. при открытии редактора групповой политики выдается сообщение:

    групповые политики я все же вижу, но при редактировании всплывает сообщение: 

    Права все имеются(собсетвенно это домен админ и на прошлом серве 2003)

    команда repadmin /syncall

    помогите пожалуйста.

    20 июля 2016 г. 5:56

Ответы

  • Может кому поможет еще.... 

    Сервер на Windows Server 2008R2 standard. Вписан в домен и на сервере развернуты роли AD и DNS. Сервер является не первым контроллером в домене. Другие контроллеры исправно работают. После установки роли AD и перезагрузки сервера, сервер не считает себя контроллером домена и выдает ошибку при запуске dcdiag:

    Сервер проверки: Default-First-Site-Name\DC02-SERVER
    Запуск проверки: Advertising
    Внимание: DsGetDcName вернул сведения для \\TS-server.mydomain.local
    при попытке получения доступа к DC02-SERVER.
    СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
    ......................... DC02-SERVER - не пройдена проверка

    При этом на сервере не созданы папки sysvol после первой репликации

    DNS настроены верно и работают, репликация запущенная в ручную через repadmin /syncall работает

    Для исправления нужно изменить параметр реестра. Открываем rededit и идем в ветку:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    Изменяем значение параметра SysvolReady на "1"
    Перезагружаемся

    Взято от сюда:

    http://forum.oszone.net/post-2230921.html

    5 минут полет нормальный

    Я очень надеюсь, что никто не последует вашему примеру. Потому что вы не исправили ошибку, а просто "замели её под ковёр". Вы принудительно указали службе Netlogon, что содержимое SYSVOL правильное, тогда, когда оно у вас отсутвует - не среплицировалось со старого КД. Отсюда и ошибка при попытке редактировать политику, и сообщение об ошибке в тесте NetLogons dcdiag об отсутсвующей общей папке NETLOGON - потому что под этим именем расшаривается папка Scripts в SYSVOL, а она у вас отсутствует.

    А ещё при следующем запуске Службы репликации файлов (NtFrs), если вы её не отключили, этот параметр в реестре будет сброшен - и у вас всё вернётся назад.

    Поэтому потрудитесь исправить ошибку.

    Для начала обязательно сделайте резервную копию содержимого SYSVOL (С:\WINDOWS\SYSVOL\DOMAIN, там должны быть папки Policies и Scripts) на старом КД. Далее, посмотрите на нём в журнале событий Службы репликации файлов наличие ошибок или предупреждений. Если их не увидите - перезапустите эту службу и через 15-30 минут посмотрите снова: некоторые ошибки проявляются не сразу и записываются в журнал только однократно после запуска службы.

    Что делать далее - зависит от того, что обнаружится в журнале. Если там обнаружится наиболее частая ошибка - JRNL_WRAP_ERROR - то можно попробовать произвести автоматическое восстановление, как описано в самом событии. Обычно помогает, но есть шанс потерять данные SYSVOL (потому я написал про резервную копию). Более надёжным в таких случаях является полномочное восстановление SYSVOL - запуск службы NtFrs с установленным в значение D4(шестнадцатеричное) параметром реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process   at Startup\BurFlags. Именно это можно будет проделать и в случае пропадания данных из SYSVOL - только предварительно нужно будет остановить службу NtFrs и скопировать обратно данные из резервной копии.

    При других ошибках действия должны быть другие, потому, встретив их, не стоит выполнять вышеописанные советы "на всякий случай".


    Слава России!

    • Помечено в качестве ответа IlyaBratskiy 20 июля 2016 г. 12:52
    20 июля 2016 г. 11:29
  • Теперь на Win2012 попробуйте выполнить неполномочное восстановление SYSVOL - перезапустите службу NtFrs с установленым теперь в значение D2(шестнадцатеричное)  параметром реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags


    Слава России!

    реплика пошла!) Спасибо!

    я реестр вернул на исходное состояние, подскажите как все таки исправить ошибку 

     получения доступа к ADDC1.
     СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.

    ошибка все же осталась как вы и сказали(просто замаскировалась)

    Этим параметром в реестре управляет служба NtFrs (или, но это не ваш случай - служба репликации DFSR, если за репликацию SYSVOL отвечает она). Поэтому просто перезапустите службу NtFrs. Если с репликацией SYSVOL всё в порядке, то ошибка должна уйти.


    Слава России!

    • Помечено в качестве ответа IlyaBratskiy 20 июля 2016 г. 12:52
    20 июля 2016 г. 12:45

Все ответы

  • доброе утро.

    Посмотрите статью: https://dirteam.com/sander/2013/10/17/knowledgebase-group-policy-management-console-gpmc-reports-a-processing-error-while-trying-to-detect-domain-controllers/ 

    А также тему на форуме: https://social.technet.microsoft.com/Forums/windowsserver/en-US/7dde2a7c-416b-4ba4-8861-cfa915c4eba9/a-processing-error-occurred-collecting-data-using-this-base-domain-controller?forum=winserverGP

    разумеется любые задачи с реестром на КД выполняйте крайне аккуратно, не помешают и бэкапы на всякий случай.
    20 июля 2016 г. 6:31
  • Не найдено сетевое имя.
    Убедитесь в том, чтобы dns-служба была настроена/работала корректно, а также сетевые настройки проверьте.

    Best Regards, Andrei ...
    MCP


    • Изменено SQxModerator 20 июля 2016 г. 8:01 добавлено
    20 июля 2016 г. 7:59
    Модератор
  • а еще не лишним будет dcdiag прогнать, он скорее всего укажет на проблему прямым текстом

    The opinion expressed by me is not an official position of Microsoft

    20 июля 2016 г. 8:55
    Модератор
  • Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = ADDC1
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\ADDC1
          Запуск проверки: Connectivity
             ......................... ADDC1 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\ADDC1
          Запуск проверки: Advertising
             Внимание: DsGetDcName вернул сведения для \\dc1.домен при попытке
             получения доступа к ADDC1.
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
             ......................... ADDC1 - не пройдена проверка Advertising
          Запуск проверки: FrsEvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... ADDC1 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... ADDC1 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... ADDC1 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... ADDC1 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... ADDC1 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... ADDC1 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... ADDC1 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             Не удается подключиться к общему ресурсу NETLOGON. (\\ADDC1\netlogon)
             [ADDC1] Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..
             ......................... ADDC1 - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... ADDC1 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... ADDC1 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... ADDC1 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... ADDC1 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x0000271A
                Время создания: 07/20/2016   13:22:25
                Строка события:
                Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
             Возникло предупреждение. Код события (EventID): 0x80050004
                Время создания: 07/20/2016   13:23:34
                Строка события:
                Адаптер Broadcom NetXtreme для сети Ethernet 1 Гбит/с #2: The networ
    k link is down.  Check to make sure the network cable is properly connected.
             Возникла ошибка. Код события (EventID): 0x0000002E
                Время создания: 07/20/2016   13:38:18
                Строка события:
                Служба времени обнаружила ошибку и была вынуждена завершить работу.
    Ошибка: 0x80070700: Попытка входа в сеть при отключенной сетевой службе входа.
             Возникла ошибка. Код события (EventID): 0xC0001B6F
                Время создания: 07/20/2016   13:38:18
                Строка события:
                Служба "Служба времени Windows" завершена из-за ошибки
             Возникла ошибка. Код события (EventID): 0x0000002E
                Время создания: 07/20/2016   13:39:03
                Строка события:
                Служба времени обнаружила ошибку и была вынуждена завершить работу.
    Ошибка: 0x80070700: Попытка входа в сеть при отключенной сетевой службе входа.
             Возникла ошибка. Код события (EventID): 0xC0001B6F
                Время создания: 07/20/2016   13:39:03
                Строка события:
                Служба "Служба времени Windows" завершена из-за ошибки
             Возникло предупреждение. Код события (EventID): 0x80050004
                Время создания: 07/20/2016   13:41:06
                Строка события:
                Адаптер Broadcom NetXtreme для сети Ethernet 1 Гбит/с #2: The networ
    k link is down.  Check to make sure the network cable is properly connected.
             Возникла ошибка. Код события (EventID): 0x0000272C
                Время создания: 07/20/2016   13:42:16
                Строка события:
                Не удалось установить связь DCOM с компьютером mercury.домен через
     какой-либо из настроенных протоколов; запрос от PID      984 (C:\Windows\system
    32\taskhost.exe).
             Возникло предупреждение. Код события (EventID): 0x00001796
                Время создания: 07/20/2016   13:45:06
                Строка события:
                Microsoft Windows Server обнаружено, что в настоящее время между кли
    ентами и этим сервером используется проверка подлинности NTLM. Это событие возни
    кает один раз при каждой загрузке, когда клиент первый раз использует NTLM с эти
    м сервером.
             Возникла ошибка. Код события (EventID): 0x00002720
                Время создания: 07/20/2016   14:00:20
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID
             ......................... ADDC1 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... ADDC1 - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: домен
          Запуск проверки: CheckSDRefDom
             ......................... домен - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... домен - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: домен
          Запуск проверки: LocatorCheck
             ......................... домен - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... домен - пройдена проверка Intersite
    20 июля 2016 г. 10:20
  • С сетью все в порядке, также время синхронизировано?
    --------------------------
    Служба времени обнаружила ошибку и была вынуждена завершить работу.
    Ошибка: 0x80070700: Попытка входа в сеть при отключенной сетевой службе входа.
    --------------------------
    Адаптер Broadcom NetXtreme для сети Ethernet 1 Гбит/с #2: The networ
    k link is down.  Check to make sure the network cable is properly connected.
    --------------------------

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 20 июля 2016 г. 10:27 добавлено
    20 июля 2016 г. 10:26
    Модератор
  • Может кому поможет еще.... 

    Сервер на Windows Server 2008R2 standard. Вписан в домен и на сервере развернуты роли AD и DNS. Сервер является не первым контроллером в домене. Другие контроллеры исправно работают. После установки роли AD и перезагрузки сервера, сервер не считает себя контроллером домена и выдает ошибку при запуске dcdiag:

    Сервер проверки: Default-First-Site-Name\DC02-SERVER
    Запуск проверки: Advertising
    Внимание: DsGetDcName вернул сведения для \\TS-server.mydomain.local
    при попытке получения доступа к DC02-SERVER.
    СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
    ......................... DC02-SERVER - не пройдена проверка

    При этом на сервере не созданы папки sysvol после первой репликации

    DNS настроены верно и работают, репликация запущенная в ручную через repadmin /syncall работает

    Для исправления нужно изменить параметр реестра. Открываем rededit и идем в ветку:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    Изменяем значение параметра SysvolReady на "1"
    Перезагружаемся

    Взято от сюда:

    http://forum.oszone.net/post-2230921.html

    5 минут полет нормальный

    20 июля 2016 г. 10:31
  • Осталась ошибка что не достаточно прав на редактирование
    20 июля 2016 г. 10:44
  • Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = ADDC1
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\ADDC1
          Запуск проверки: Connectivity
             ......................... ADDC1 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\ADDC1
          Запуск проверки: Advertising
             ......................... ADDC1 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... ADDC1 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... ADDC1 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... ADDC1 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... ADDC1 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... ADDC1 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... ADDC1 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... ADDC1 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             Не удается подключиться к общему ресурсу NETLOGON. (\\ADDC1\netlogon)
             [ADDC1] Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..
             ......................... ADDC1 - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... ADDC1 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... ADDC1 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... ADDC1 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... ADDC1 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x00002720
                Время создания: 07/20/2016   14:00:20
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения
    окально Активация для приложения COM-сервера с CLSID
             Возникла ошибка. Код события (EventID): 0x0000164A
                Время создания: 07/20/2016   14:27:17
                Строка события:
                Служба Netlogon не может создать общий ресурс сервера C:\Windows\SY
    VOL\sysvol\домен\SCRIPTS. Ошибка:
             Возникла ошибка. Код события (EventID): 0x00002720
                Время создания: 07/20/2016   14:27:27
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения
    окально Активация для приложения COM-сервера с CLSID
             Возникло предупреждение. Код события (EventID): 0x80050004
                Время создания: 07/20/2016   14:28:38
                Строка события:
                Адаптер Broadcom NetXtreme для сети Ethernet 1 Гбит/с #2: The netwo
    k link is down.  Check to make sure the network cable is properly connected.
             Возникла ошибка. Код события (EventID): 0x0000164A
                Время создания: 07/20/2016   14:29:01
                Строка события:
                Служба Netlogon не может создать общий ресурс сервера C:\Windows\SY
    VOL\sysvol\домен\SCRIPTS. Ошибка:
             Возникла ошибка. Код события (EventID): 0x0000272C
                Время создания: 07/20/2016   14:29:31
                Строка события:
                Не удалось установить связь DCOM с компьютером mercury.домен чере
     какой-либо из настроенных протоколов; запрос от PID      48c (C:\Windows\syste
    32\taskhost.exe).
             Возникла ошибка. Код события (EventID): 0x00000448
                Время создания: 07/20/2016   14:29:58
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось примени
    ь основанные на данных реестра параметры политики для объекта групповой политик
     "LDAP://CN=User,CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=Syste
    ,DC=домен". Параметры групповой политики не могут быть применены, пока не буд
    т исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибк
    , содержатся в подробностях об этом событии.
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 07/20/2016   14:29:58
                Строка события:
                Windows не удалось применить параметры "Scripts". Параметры "Script
    " могут иметь свой собственный файл журнала. Щелкните ссылку "Дополнительные св
    дения".
             Возникло предупреждение. Код события (EventID): 0x0000000C
                Время создания: 07/20/2016   14:38:29
                Строка события:
                NTP-клиент поставщика времени: этот компьютер настроен на использов
    ние доменной иерархии для определения своего источника времени, но при этом он
    вляется эмулятором основного контроллера домена Active Directory для домена в к
    рне леса, поэтому в доменной иерархии не существует компьютера, расположенного
    ыше, который можно использовать как источник времени. Рекомендуется настроить н
    дежную службу времени в корневом домене или вручную настроить основной контролл
    р домена Active Directory для синхронизации с внешним источником времени. В про
    ивном случае этот компьютер будет выступать в роли заслуживающего доверия источ
    ика времени в доменной иерархии. Если внешний источник времени не настроен или
    е используется для этого компьютера, можно отключить NTP-клиент.
             ......................... ADDC1 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... ADDC1 - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: домен
          Запуск проверки: CheckSDRefDom
             ......................... домен- пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... домен- пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: домен
          Запуск проверки: LocatorCheck
             ......................... домен- пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... домен- пройдена проверка Intersite
    20 июля 2016 г. 10:49
  • при установке роли ад и днс, вышла вот такая ошибка

    20 июля 2016 г. 11:05
  • Покажите результат следующей команды в командной строке (cmd.exe) на проблемном сервере:
    dcdiag /test:dns
    P.S. в некоторых случаях схожие проблемы могут быть связанны с поддержкой ipv6.


    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 20 июля 2016 г. 11:07 добавлено
    20 июля 2016 г. 11:06
    Модератор
  • Покажите результат следующей команды в командной строке (cmd.exe) на проблемном сервере:
    dcdiag /test:dns
    P.S. в некоторых случаях схожие проблемы могут быть связанны с поддержкой ipv6.


    Best Regards, Andrei ...
    MCP


    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = ADDC1
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\ADDC1
          Запуск проверки: Connectivity
             ......................... ADDC1 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\ADDC1

          Запуск проверки: DNS

             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... ADDC1 - пройдена проверка DNS

       Выполнение проверок разделов на: DomainDnsZones

       Выполнение проверок разделов на: ForestDnsZones

       Выполнение проверок разделов на: Schema

       Выполнение проверок разделов на: Configuration

       Выполнение проверок разделов на: домен

       Выполнение проверок предприятия на: домен
          Запуск проверки: DNS
             ......................... домен - пройдена проверка DNS

    20 июля 2016 г. 11:10
  • при установке роли ад и днс, вышла вот такая ошибка

    Это не ошибка, это предупреждение. На него нужно обращать внимание далеко не всегда. 

    Если DNS более высокого уровня для вашего домена AD (к примеру - домен loc если у вас домен AD - domain.loc) не существует , то это предупреждение можно и нужно игнорировать.

    А вот если у вас домен AD интегрирован в пространство имён DNS интернета (иногда так делается), то тогда, конечно, делегирование надо настраивать.


    Слава России!

    20 июля 2016 г. 11:11
  • при установке роли ад и днс, вышла вот такая ошибка

    Это не ошибка, это предупреждение. На него нужно обращать внимание далеко не всегда. 

    Если DNS более высокого уровня для вашего домена AD (к примеру - домен loc если у вас домен AD - domain.loc) не существует , то это предупреждение можно и нужно игнорировать.

    А вот если у вас домен AD интегрирован в пространство имён DNS интернета (иногда так делается), то тогда, конечно, делегирование надо настраивать.


    Слава России!

    Понятно, игнорируем.. но пока что не нашел решения с ошибкой прав
    20 июля 2016 г. 11:17
  • Покажите результат следующей команды в командной строке (cmd.exe) на проблемном сервере:
    Dcdiag /test:DNS /v /e


    Best Regards, Andrei ...
    MCP

    20 июля 2016 г. 11:23
    Модератор
  • Может кому поможет еще.... 

    Сервер на Windows Server 2008R2 standard. Вписан в домен и на сервере развернуты роли AD и DNS. Сервер является не первым контроллером в домене. Другие контроллеры исправно работают. После установки роли AD и перезагрузки сервера, сервер не считает себя контроллером домена и выдает ошибку при запуске dcdiag:

    Сервер проверки: Default-First-Site-Name\DC02-SERVER
    Запуск проверки: Advertising
    Внимание: DsGetDcName вернул сведения для \\TS-server.mydomain.local
    при попытке получения доступа к DC02-SERVER.
    СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
    ......................... DC02-SERVER - не пройдена проверка

    При этом на сервере не созданы папки sysvol после первой репликации

    DNS настроены верно и работают, репликация запущенная в ручную через repadmin /syncall работает

    Для исправления нужно изменить параметр реестра. Открываем rededit и идем в ветку:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    Изменяем значение параметра SysvolReady на "1"
    Перезагружаемся

    Взято от сюда:

    http://forum.oszone.net/post-2230921.html

    5 минут полет нормальный

    Я очень надеюсь, что никто не последует вашему примеру. Потому что вы не исправили ошибку, а просто "замели её под ковёр". Вы принудительно указали службе Netlogon, что содержимое SYSVOL правильное, тогда, когда оно у вас отсутвует - не среплицировалось со старого КД. Отсюда и ошибка при попытке редактировать политику, и сообщение об ошибке в тесте NetLogons dcdiag об отсутсвующей общей папке NETLOGON - потому что под этим именем расшаривается папка Scripts в SYSVOL, а она у вас отсутствует.

    А ещё при следующем запуске Службы репликации файлов (NtFrs), если вы её не отключили, этот параметр в реестре будет сброшен - и у вас всё вернётся назад.

    Поэтому потрудитесь исправить ошибку.

    Для начала обязательно сделайте резервную копию содержимого SYSVOL (С:\WINDOWS\SYSVOL\DOMAIN, там должны быть папки Policies и Scripts) на старом КД. Далее, посмотрите на нём в журнале событий Службы репликации файлов наличие ошибок или предупреждений. Если их не увидите - перезапустите эту службу и через 15-30 минут посмотрите снова: некоторые ошибки проявляются не сразу и записываются в журнал только однократно после запуска службы.

    Что делать далее - зависит от того, что обнаружится в журнале. Если там обнаружится наиболее частая ошибка - JRNL_WRAP_ERROR - то можно попробовать произвести автоматическое восстановление, как описано в самом событии. Обычно помогает, но есть шанс потерять данные SYSVOL (потому я написал про резервную копию). Более надёжным в таких случаях является полномочное восстановление SYSVOL - запуск службы NtFrs с установленным в значение D4(шестнадцатеричное) параметром реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process   at Startup\BurFlags. Именно это можно будет проделать и в случае пропадания данных из SYSVOL - только предварительно нужно будет остановить службу NtFrs и скопировать обратно данные из резервной копии.

    При других ошибках действия должны быть другие, потому, встретив их, не стоит выполнять вышеописанные советы "на всякий случай".


    Слава России!

    • Помечено в качестве ответа IlyaBratskiy 20 июля 2016 г. 12:52
    20 июля 2016 г. 11:29
  • Может кому поможет еще.... 

    Сервер на Windows Server 2008R2 standard. Вписан в домен и на сервере развернуты роли AD и DNS. Сервер является не первым контроллером в домене. Другие контроллеры исправно работают. После установки роли AD и перезагрузки сервера, сервер не считает себя контроллером домена и выдает ошибку при запуске dcdiag:

    Сервер проверки: Default-First-Site-Name\DC02-SERVER
    Запуск проверки: Advertising
    Внимание: DsGetDcName вернул сведения для \\TS-server.mydomain.local
    при попытке получения доступа к DC02-SERVER.
    СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
    ......................... DC02-SERVER - не пройдена проверка

    При этом на сервере не созданы папки sysvol после первой репликации

    DNS настроены верно и работают, репликация запущенная в ручную через repadmin /syncall работает

    Для исправления нужно изменить параметр реестра. Открываем rededit и идем в ветку:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    Изменяем значение параметра SysvolReady на "1"
    Перезагружаемся

    Взято от сюда:

    http://forum.oszone.net/post-2230921.html

    5 минут полет нормальный

    Я очень надеюсь, что никто не последует вашему примеру. Потому что вы не исправили ошибку, а просто "замели её под ковёр". Вы принудительно указали службе Netlogon, что содержимое SYSVOL правильное, тогда, когда оно у вас отсутвует - не среплицировалось со старого КД. Отсюда и ошибка при попытке редактировать политику, и сообщение об ошибке в тесте NetLogons dcdiag об отсутсвующей общей папке NETLOGON - потому что под этим именем расшаривается папка Scripts в SYSVOL, а она у вас отсутствует.

    А ещё при следующем запуске Службы репликации файлов (NtFrs), если вы её не отключили, этот параметр в реестре будет сброшен - и у вас всё вернётся назад.

    Поэтому потрудитесь исправить ошибку.

    Для начала обязательно сделайте резервную копию содержимого SYSVOL (С:\WINDOWS\SYSVOL\DOMAIN, там должны быть папки Policies и Scripts) на старом КД. Далее, посмотрите на нём в журнале событий Службы репликации файлов наличие ошибок или предупреждений. Если их не увидите - перезапустите эту службу и через 15-30 минут посмотрите снова: некоторые ошибки проявляются не сразу и записываются в журнал только однократно после запуска службы.

    Что делать далее - зависит от того, что обнаружится в журнале. Если там обнаружится наиболее частая ошибка - JRNL_WRAP_ERROR - то можно попробовать произвести автоматическое восстановление, как описано в самом событии. Обычно помогает, но есть шанс потерять данные SYSVOL (потому я написал про резервную копию). Более надёжным в таких случаях является полномочное восстановление SYSVOL - запуск службы NtFrs с установленным в значение D4(шестнадцатеричное) параметром реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process   at Startup\BurFlags. Именно это можно будет проделать и в случае пропадания данных из SYSVOL - только предварительно нужно будет остановить службу NtFrs и скопировать обратно данные из резервной копии.

    При других ошибках действия должны быть другие, потому, встретив их, не стоит выполнять вышеописанные советы "на всякий случай".


    Слава России!

    Вы очень хорошо все описываете.

    проделал по шагам:

    да действительно ошибка JRNL_WRAP_ERROR

    остановил службу добавил в реестре Enable Journal Wrap Automatic Restore с параметром 1, перезапустил службу, жду:

    Через 5 минут ошибки перестали сыпаться, 

    НО! прошло 15 мин, репликации на новый домен не произошло, тобишь папка sysvol на 2012 винде пустая, а на старом сервере 2003 все папки на месте


    20 июля 2016 г. 12:05
  • Теперь на Win2012 попробуйте выполнить неполномочное восстановление SYSVOL - перезапустите службу NtFrs с установленым теперь в значение D2(шестнадцатеричное)  параметром реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags


    Слава России!


    • Изменено M.V.V. _ 20 июля 2016 г. 12:23
    20 июля 2016 г. 12:23
  • Теперь на Win2012 попробуйте выполнить неполномочное восстановление SYSVOL - перезапустите службу NtFrs с установленым теперь в значение D2(шестнадцатеричное)  параметром реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags


    Слава России!

    реплика пошла!) Спасибо!

    я реестр вернул на исходное состояние, подскажите как все таки исправить ошибку 

     получения доступа к ADDC1.
     СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.

    ошибка все же осталась как вы и сказали(просто замаскировалась)

    20 июля 2016 г. 12:31
  • Теперь на Win2012 попробуйте выполнить неполномочное восстановление SYSVOL - перезапустите службу NtFrs с установленым теперь в значение D2(шестнадцатеричное)  параметром реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags


    Слава России!

    реплика пошла!) Спасибо!

    я реестр вернул на исходное состояние, подскажите как все таки исправить ошибку 

     получения доступа к ADDC1.
     СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.

    ошибка все же осталась как вы и сказали(просто замаскировалась)

    Этим параметром в реестре управляет служба NtFrs (или, но это не ваш случай - служба репликации DFSR, если за репликацию SYSVOL отвечает она). Поэтому просто перезапустите службу NtFrs. Если с репликацией SYSVOL всё в порядке, то ошибка должна уйти.


    Слава России!

    • Помечено в качестве ответа IlyaBratskiy 20 июля 2016 г. 12:52
    20 июля 2016 г. 12:45
  • Теперь на Win2012 попробуйте выполнить неполномочное восстановление SYSVOL - перезапустите службу NtFrs с установленым теперь в значение D2(шестнадцатеричное)  параметром реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags


    Слава России!

    реплика пошла!) Спасибо!

    я реестр вернул на исходное состояние, подскажите как все таки исправить ошибку 

     получения доступа к ADDC1.
     СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.

    ошибка все же осталась как вы и сказали(просто замаскировалась)

    Этим параметром в реестре управляет служба NtFrs (или, но это не ваш случай - служба репликации DFSR, если за репликацию SYSVOL отвечает она). Поэтому просто перезапустите службу NtFrs. Если с репликацией SYSVOL всё в порядке, то ошибка должна уйти.


    Слава России!

    Не дождался ответа, просто перезапустил сервер

    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = ADDC1
       * Определен лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\ADDC1
          Запуск проверки: Connectivity
             ......................... ADDC1 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\ADDC1
          Запуск проверки: Advertising
             ......................... ADDC1 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... ADDC1 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... ADDC1 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... ADDC1 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x80000B46
                Время создания: 07/20/2016   16:43:33
                Строка события:
                Безопасность данного сервера каталогов можно существенно повысить, е
    сли настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM
     или дайджест), не требующих подписи (проверки целостности), и простых привязок
    LDAP, которые  выполняются через открытое (не зашифрованное с помощью SSL/TLS) п
    одключение. Даже если клиенты не используют такие привязки, настройка сервера на
     их отклонение улучшит его безопасность.
             ......................... ADDC1 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... ADDC1 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... ADDC1 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... ADDC1 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... ADDC1 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... ADDC1 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... ADDC1 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... ADDC1 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... ADDC1 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x00000448
                Время создания: 07/20/2016   16:17:59
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики
     "LDAP://CN=User,CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System
    ,DC=Домен". Параметры групповой политики не могут быть применены, пока не буде
    т исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку
    , содержатся в подробностях об этом событии.
             Возникло предупреждение. Код события (EventID): 0x0000043D
                Время создания: 07/20/2016   16:17:59
                Строка события:
                Windows не удалось применить параметры "Scripts". Параметры "Scripts
    " могут иметь свой собственный файл журнала. Щелкните ссылку "Дополнительные сведения".
             Возникла ошибка. Код события (EventID): 0x00002720
                Время создания: 07/20/2016   16:42:04
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID
             Возникло предупреждение. Код события (EventID): 0x80050004
                Время создания: 07/20/2016   16:43:17
                Строка события:
                Адаптер Broadcom NetXtreme для сети Ethernet 1 Гбит/с #2: The networ
    k link is down.  Check to make sure the network cable is properly connected.
             Возникло предупреждение. Код события (EventID): 0x0000000C
                Время создания: 07/20/2016   16:44:05
                Строка события:
                NTP-клиент поставщика времени: этот компьютер настроен на использование доменной иерархии для определения своего источника времени, но при этом он является эмулятором основного контроллера домена Active Directory для домена в корне леса, поэтому в доменной иерархии не существует компьютера, расположенного в
    ыше, который можно использовать как источник времени. Рекомендуется настроить надежную службу времени в корневом домене или вручную настроить основной контроллер домена Active Directory для синхронизации с внешним источником времени. В противном случае этот компьютер будет выступать в роли заслуживающего доверия источника времени в доменной иерархии. Если внешний источник времени не настроен или н
    е используется для этого компьютера, можно отключить NTP-клиент.
             ......................... ADDC1 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... ADDC1 - пройдена проверка VerifyReferences
    
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Домен
          Запуск проверки: CheckSDRefDom
             ......................... Домен- пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Домен- пройдена проверка
             CrossRefValidation
    
       Выполнение проверок предприятия на: Домен
          Запуск проверки: LocatorCheck
             ......................... Домен- пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... Домен- пройдена проверка Intersite

    Спасибо большое!
    20 июля 2016 г. 12:51