none
Проблема с GPO RRS feed

  • Вопрос

  • Здравствуйте, имеется два кд на вин2003, проблема была в том что не было групповых политик, на главном кд я увидел что папка sysvol не расшарена, когда я ее расшарил появились групповые политики, и я смог их редактировать, но не мог создавать новые, и вот спустя минут 10 главный кд провел репликацию со вторичным кд и все упало, групповые политики стали недоступны, уже произведенные изменения в них применялись у пользователей но с ними не работал интернет(политки были так настроены). После некоторого шаманства мне удалось сбросить политики по дефолту.

    Но теперь есть другие проблемы: на всех компьютерах при обнаружении сетевых принтеров отсутствует выбор принтеров из AD(на машинах с winxp выбор из AD есть но ничего не находит), перестал резовлиться имя домена на всех машинах в том числе и на КД, невозможно подключится к кд по rpd(сервер терминалов), пишет что домен не существует или недоступен, после применения команды dcgpofix /ignoreschema(ругаеться на esf сертификаты) подключение вновь становится возможным, но спустя минут 10 два кд опять реплицируются и вновь приходится выполнять команду dcgpofix /ignoreschema. Отключил второй кд, в итоге dcgpofix /ignoreschema прошел нормально, но пароли пользователей не меняются, остаются старыми, и в логах пишется что не может применить групповую политику

    вывод dcdiag

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
       
       Testing server: Default-First-Site-Name\ASTRA
          Starting test: Connectivity
             ......................... ASTRA passed test Connectivity

    Doing primary tests
       
       Testing server: Default-First-Site-Name\ASTRA
          Starting test: Replications
             [Replications Check,ASTRA] A recent replication attempt failed:
                From MARS to ASTRA
                Naming Context: DC=ForestDnsZones,DC=sto
                The replication generated an error (1256):
                “¤ «Ґ­­ п бЁб⥬  ­Ґ¤®бвгЇ­ . ‡  Ё­д®а¬ жЁҐ© ® а §аҐиҐ­ЁЁ Їа®Ў«Ґ¬ ў бҐвЁ, ®Ўа вЁвҐбм Є бЇа ў®з­®© бЁб⥬Ґ Windows.
                The failure occurred at 2013-04-08 16:50:58.
                The last success occurred at 2013-04-08 15:50:58.
                1 failures have occurred since the last success.
             [MARS] DsBindWithSpnEx() failed with error 1753,
             ‚ бЁб⥬Ґ ®в®Ўа ¦Ґ­Ёп Є®­Ґз­ле в®зҐЄ ­Ґ ®бв «®бм ¤®бвгЇ­ле Є®­Ґз­ле в®зҐЄ..
             [Replications Check,ASTRA] A recent replication attempt failed:
                From MARS to ASTRA
                Naming Context: DC=DomainDnsZones,DC=sto
                The replication generated an error (1256):
                “¤ «Ґ­­ п бЁб⥬  ­Ґ¤®бвгЇ­ . ‡  Ё­д®а¬ жЁҐ© ® а §аҐиҐ­ЁЁ Їа®Ў«Ґ¬ ў бҐвЁ, ®Ўа вЁвҐбм Є бЇа ў®з­®© бЁб⥬Ґ Windows.
                The failure occurred at 2013-04-08 16:50:58.
                The last success occurred at 2013-04-08 15:50:58.
                1 failures have occurred since the last success.
             [Replications Check,ASTRA] A recent replication attempt failed:
                From MARS to ASTRA
                Naming Context: CN=Schema,CN=Configuration,DC=sto
                The replication generated an error (1753):
                ‚ бЁб⥬Ґ ®в®Ўа ¦Ґ­Ёп Є®­Ґз­ле в®зҐЄ ­Ґ ®бв «®бм ¤®бвгЇ­ле Є®­Ґз­ле в®зҐЄ.
                The failure occurred at 2013-04-08 16:50:58.
                The last success occurred at 2013-04-08 15:50:58.
                1 failures have occurred since the last success.
                The directory on MARS is in the process.
                of starting up or shutting down, and is not available.
                Verify machine is not hung during boot.
             [Replications Check,ASTRA] A recent replication attempt failed:
                From MARS to ASTRA
                Naming Context: CN=Configuration,DC=sto
                The replication generated an error (1753):
                ‚ бЁб⥬Ґ ®в®Ўа ¦Ґ­Ёп Є®­Ґз­ле в®зҐЄ ­Ґ ®бв «®бм ¤®бвгЇ­ле Є®­Ґз­ле в®зҐЄ.
                The failure occurred at 2013-04-08 16:50:58.
                The last success occurred at 2013-04-08 16:11:28.
                1 failures have occurred since the last success.
                The directory on MARS is in the process.
                of starting up or shutting down, and is not available.
                Verify machine is not hung during boot.
             [Replications Check,ASTRA] A recent replication attempt failed:
                From MARS to ASTRA
                Naming Context: DC=sto
                The replication generated an error (1753):
                ‚ бЁб⥬Ґ ®в®Ўа ¦Ґ­Ёп Є®­Ґз­ле в®зҐЄ ­Ґ ®бв «®бм ¤®бвгЇ­ле Є®­Ґз­ле в®зҐЄ.
                The failure occurred at 2013-04-08 16:50:58.
                The last success occurred at 2013-04-08 16:50:44.
                1 failures have occurred since the last success.
                The directory on MARS is in the process.
                of starting up or shutting down, and is not available.
                Verify machine is not hung during boot.
             ......................... ASTRA passed test Replications
          Starting test: NCSecDesc
             ......................... ASTRA passed test NCSecDesc
          Starting test: NetLogons
             Unable to connect to the NETLOGON share! (\\ASTRA\netlogon)
             [ASTRA] An net use or LsaPolicy operation failed with error 67, ЌҐ ­ ©¤Ґ­® бҐвҐў®Ґ Ё¬п..
             ......................... ASTRA failed test NetLogons
          Starting test: Advertising
             ......................... ASTRA passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... ASTRA passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... ASTRA passed test RidManager
          Starting test: MachineAccount
             ......................... ASTRA passed test MachineAccount
          Starting test: Services
             ......................... ASTRA passed test Services
          Starting test: ObjectsReplicated
             ......................... ASTRA passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... ASTRA passed test frssysvol
          Starting test: frsevent
             ......................... ASTRA passed test frsevent
          Starting test: kccevent
             ......................... ASTRA passed test kccevent
          Starting test: systemlog
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   15:54:19
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   15:54:20
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   15:54:37
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   16:12:10
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   16:12:12
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC25A001D
                Time Generated: 04/08/2013   16:25:08
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   16:25:45
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   16:26:05
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   16:46:25
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   16:46:51
                (Event String could not be retrieved)
             ......................... ASTRA failed test systemlog
          Starting test: VerifyReferences
             ......................... ASTRA passed test VerifyReferences
       
       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
       
       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
       
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
       
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
       
       Running partition tests on : sto
          Starting test: CrossRefValidation
             ......................... sto passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... sto passed test CheckSDRefDom
       
       Running enterprise tests on : sto
          Starting test: Intersite
             ......................... sto passed test Intersite
          Starting test: FsmoCheck
             Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
             A Global Catalog Server could not be located - All GC's are down.
             Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
             A Time Server could not be located.
             The server holding the PDC role is down.
             Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
             A Good Time Server could not be located.
             Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
             A KDC could not be located - All the KDCs are down.
             ......................... sto failed test FsmoCheck
    Помогите пожалуйста, а то я не знаю теперь что делать

    8 апреля 2013 г. 12:57

Ответы

  • извините что? я если честно не понимаю
    Single Label Domain - если конечно у вас просто netbios-имя домена в суффикс не прописано руками....
    • Помечено в качестве ответа imonkey-woooo 9 апреля 2013 г. 12:30
    8 апреля 2013 г. 13:56
    Отвечающий




  • с вторичного кд

    Настройка протокола IP для Windows



       Имя компьютера  . . . . . . . . . : mars


    Подключение по локальной сети 2 - Ethernet адаптер:

       IP-адрес  . . . . . . . . . . . . : 192.168.1.2
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.1.17
       DNS-серверы . . . . . . . . . . . : 192.168.1.1
                                           192.168.1.17



    Portal - PPP адаптер:

       IP-адрес  . . . . . . . . . . . . : 10.0.7.79

       Маска подсети . . . . . . . . . . : 255.255.255.255

       Основной шлюз . . . . . . . . . . :

       DNS-серверы . . . . . . . . . . . : 10.0.2.2

    1. Для всех сетевых подключений на всех компьютерах в домене серверы DNS должны указывать только на КД. Исправляйте выделенные жирным настройки на MARS (в локальном подключении укажите вместо этого 192.168.1.2 или 127.0.0.1, а в подключении PPP удалите сервер DNS). Аналогично исправьте на клиентских компьютерах.

    В подключении Portal на сервере MARS проверьте, что в свойствах TCP/IP для подключения не стоит галка "регистрировать это подключение в DNS".

    После чего перерегистрируйте адреса DNS в домене на MARS (ipconfig /registerdns) и перезапустите службу Netlogon (Сетевой вход в систему).

    Проверьте с помощью netdiag, что адреса нормально зарегистрированы.

    Если есть проблемы с регистрацией, то, прежде всего, проверьте, разрешена ли регистрация в DNS имен домена из одной метки (у Вас - именно такой) согласно ссылке, приведенной AndricoRus.

    После успешной регистрации всех необходимых для КД имен убедитесь (с помощью команды repadmin /showrepl или dcdiag ), что репликация AD осуществляется успешно. После этого перезапустите на обоих КД Ntfrs (Службу репликации файлов, FRS) и проверьте, возобновилась ли репликация SYSVOL, или же возникли ошибки. Если ошибки возникли, то сообщайте о них сюда - поможем лечить FRS. Либо можете полечить ее сами - процедура эта в общем виде описана в статье 315457 MS KB.


    Слава России!


    • Изменено M.V.V. _ 8 апреля 2013 г. 14:44
    • Помечено в качестве ответа imonkey-woooo 9 апреля 2013 г. 12:30
    8 апреля 2013 г. 14:43
  • netdiag с MARS

    .....................................

    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '192.168.1.1' and other DCs also have some of the names registered.
        PASS - All the DNS entries for DC are registered on DNS server '192.168.1.2' and other DCs also have some of the names registered.
        [WARNING] The DNS entries for this DC are not registered correctly on DNS server '10.0.2.2'. Please wait for 30 minutes for DNS server replication.


    Во-первых, уберите сервер DNS из настроек подключения удаленного доступа (или интерфеса соединения по требованию RRAS). Я уже об этом писал Вам: уберите в свойствах протокола TCP/IP для подключения автоматическое получение серверов DNS и оставьте список серверов пустым.  Иначе с некоторой вероятностью (грубо говоря, 1/3) будете иметь проблемы с разрешением имен DNS в домене.

    Во-вторых, причина проблем - ни на одном из КД служба репликации файлов не считает содержимое SYSVOL годным для работы контроллера домена. Как с этим бороться - описано по ссылке в моем предыдущем ответе.

    Вкратце, Вам нужно сделать следующее:

    1. Остановить на обоих КД службу ntfrs

    2. Найти КД с правильным содержимым SYSVOL (обычно это - контроллер с FSMO-ролью PDC Emulator, редактор групповой политики старается вносить исправления именно на нем). Т.е. проверьте струтуру папки SYSVOL на каждом из КД, чтобы она соответсвовала описанной в указанной статье и, если структура на обоих КД правильная - сравните содержимое: где есть актуальные файлы.

    Будем надеяться, что правильное содержимое хотя бы на одном КД есть, если нет, то в статье по ссылке описано, как воссоздать структуру это папки, а что до содержимого, то политики домена и контроллеров домена по умолчанию воссоздаются командой dcgpofix.exe, а прочие политики - увы, придется считать потерянными, т.е. их придется  удалить и создать заново

    3. На КД с правильным содержимым установить в реестре значение Burflags=0xD4 (точный путь к значению см. в статье), на остальных КД - значение Burflags=0xD2.

    4. Перезапустить службу ntfrs.


    Слава России!

    • Помечено в качестве ответа imonkey-woooo 9 апреля 2013 г. 12:29
    8 апреля 2013 г. 20:05
  • увидел что папка sysvol не расшарена, когда я ее расшарил появились групповые политики, и я смог их редактировать, но не мог создавать новые
    В целом ситуация понятна - логи File Replication Service, что там? подозреваю, что Journal Wrap... и если уж с русской версии выкладываете логи - обеспечьте читабельность: никто в своё рабочее время не будет бегать по гуглам с кодами ошибок...
    • Помечено в качестве ответа AndricoRusEditor 9 апреля 2013 г. 13:16
    8 апреля 2013 г. 13:19
    Отвечающий

Все ответы

  • После отключения второго кд стало еще хуже, мало того что пароли не менятся, так еще пользователи войти не могут
    8 апреля 2013 г. 13:05
  • увидел что папка sysvol не расшарена, когда я ее расшарил появились групповые политики, и я смог их редактировать, но не мог создавать новые
    В целом ситуация понятна - логи File Replication Service, что там? подозреваю, что Journal Wrap... и если уж с русской версии выкладываете логи - обеспечьте читабельность: никто в своё рабочее время не будет бегать по гуглам с кодами ошибок...
    • Помечено в качестве ответа AndricoRusEditor 9 апреля 2013 г. 13:16
    8 апреля 2013 г. 13:19
    Отвечающий
  • и ipconfig предоставьте пожалуйста с обоих КД


    Если Вам как то помогли, будьте добры пометьте ответ. Другим будет удобней ориентироваться.

    8 апреля 2013 г. 13:23
  • ipconfig c глвного кд

    астройка протокола IP для Windows



       Имя компьютера  . . . . . . . . . : astra

       Основной DNS-суффикс  . . . . . . : sto

       Тип узла. . . . . . . . . . . . . : неизвестный

       IP-маршрутизация включена . . . . : да

       WINS-прокси включен . . . . . . . : да

       Порядок просмотра суффиксов DNS . : sto



    Подключение по локальной сети 2 - Ethernet адаптер:



       DNS-суффикс этого подключения . . :

       Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT сетевое подключение

       Физический адрес. . . . . . . . . : 00-0C-29-5F-D3-14

       DHCP включен. . . . . . . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 192.168.1.1

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз . . . . . . . . . . : 192.168.1.17

       DNS-серверы . . . . . . . . . . . : 192.168.1.1

                                           192.168.1.2
    с вторичного кд

    Настройка протокола IP для Windows



       Имя компьютера  . . . . . . . . . : mars

       Основной DNS-суффикс  . . . . . . : sto

       Тип узла. . . . . . . . . . . . . : неизвестный

       IP-маршрутизация включена . . . . : да

       WINS-прокси включен . . . . . . . : да

       Порядок просмотра суффиксов DNS . : sto



    Интерфейс RAS-сервера - PPP адаптер:



       DNS-суффикс этого подключения . . :

       Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

       Физический адрес. . . . . . . . . : 00-53-45-00-00-00

       DHCP включен. . . . . . . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 192.168.1.129

       Маска подсети . . . . . . . . . . : 255.255.255.255

       Основной шлюз . . . . . . . . . . :



    Подключение по локальной сети 2 - Ethernet адаптер:



       DNS-суффикс этого подключения . . :

       Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection

       Физический адрес. . . . . . . . . : 00-0C-29-8C-52-41

       DHCP включен. . . . . . . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 192.168.1.2

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз . . . . . . . . . . : 192.168.1.17

       DNS-серверы . . . . . . . . . . . : 192.168.1.1

                                           192.168.1.17



    Portal - PPP адаптер:



       DNS-суффикс этого подключения . . :

       Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

       Физический адрес. . . . . . . . . : 00-53-45-00-00-00

       DHCP включен. . . . . . . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 10.0.7.79

       Маска подсети . . . . . . . . . . : 255.255.255.255

       Основной шлюз . . . . . . . . . . :

       DNS-серверы . . . . . . . . . . . : 10.0.2.2

       NetBIOS через TCP/IP. . . . . . . : отключен

    8 апреля 2013 г. 13:44
  • ещё и single-label domain...
    8 апреля 2013 г. 13:52
    Отвечающий
  • ещё и single-label domain...

    извините что? я если честно не понимаю
    8 апреля 2013 г. 13:53
  • извините что? я если честно не понимаю
    Single Label Domain - если конечно у вас просто netbios-имя домена в суффикс не прописано руками....
    • Помечено в качестве ответа imonkey-woooo 9 апреля 2013 г. 12:30
    8 апреля 2013 г. 13:56
    Отвечающий
  • ждём логов FRS...
    8 апреля 2013 г. 13:56
    Отвечающий
  • на главном постоянно это

    Служба репликации файлов столкнулась с проблемами при включении репликации с "MARS" на "ASTRA" для "c:\windows\sysvol\domain", использующего DNS-имя "mars.sto". Служба репликации файлов (FRS) продолжит повторные попытки.
     Ниже указаны причины, по которым может выдаваться это предупреждение.
     
     [1] FRS не может разрешить DNS-имя "mars.sto" с этого компьютера.
     [2] FRS не запущена на "mars.sto".
     [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

    на вторичном

    Служба репликации файлов столкнулась с проблемами при включении репликации с "ASTRA" на "MARS" для "c:\windows\sysvol\domain", использующего DNS-имя "astra.sto". Служба репликации файлов (FRS) продолжит повторные попытки.
     Ниже указаны причины, по которым может выдаваться это предупреждение.
     
     [1] FRS не может разрешить DNS-имя "astra.sto" с этого компьютера.
     [2] FRS не запущена на "astra.sto".
     [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

    И я никак не могу понять, раз в 20 минут новые пользователи не могут зайти на терминальный сервер, пишет сервер недоступен или не существует(в логах ошибка winlogon), и спасает только команда dcgpofix /ignoreschema, подскажите почему так

    8 апреля 2013 г. 14:02
  • на 2 контроллер в ДНС поправьте что бы вторым был он сам а не 17

    вопрос на засыпку они между собой пингуются nslookup отрабатывает прямую и обратную зоны?


    Если Вам как то помогли, будьте добры пометьте ответ. Другим будет удобней ориентироваться.

    8 апреля 2013 г. 14:19
  • на 2 контроллер в ДНС поправьте что бы вторым был он сам а не 17

    вопрос на засыпку они между собой пингуются nslookup отрабатывает прямую и обратную зоны?


    Если Вам как то помогли, будьте добры пометьте ответ. Другим будет удобней ориентироваться.


    к сожалению это не помогло, теперь обнаружилась еще одна проблема, не могу ввести новую машину в домен, при вводе она пишет что не удалось ввести в домен, но индефицировала оба кд

    Так же обнаружил, что на линукс машине, которая была до этого введена в домен сам домен sto пингуется и правильно резолвится, а вот на других виндовых машинах нет.

    и да, nslookup отрабатывает правильно
    8 апреля 2013 г. 14:27




  • с вторичного кд

    Настройка протокола IP для Windows



       Имя компьютера  . . . . . . . . . : mars


    Подключение по локальной сети 2 - Ethernet адаптер:

       IP-адрес  . . . . . . . . . . . . : 192.168.1.2
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.1.17
       DNS-серверы . . . . . . . . . . . : 192.168.1.1
                                           192.168.1.17



    Portal - PPP адаптер:

       IP-адрес  . . . . . . . . . . . . : 10.0.7.79

       Маска подсети . . . . . . . . . . : 255.255.255.255

       Основной шлюз . . . . . . . . . . :

       DNS-серверы . . . . . . . . . . . : 10.0.2.2

    1. Для всех сетевых подключений на всех компьютерах в домене серверы DNS должны указывать только на КД. Исправляйте выделенные жирным настройки на MARS (в локальном подключении укажите вместо этого 192.168.1.2 или 127.0.0.1, а в подключении PPP удалите сервер DNS). Аналогично исправьте на клиентских компьютерах.

    В подключении Portal на сервере MARS проверьте, что в свойствах TCP/IP для подключения не стоит галка "регистрировать это подключение в DNS".

    После чего перерегистрируйте адреса DNS в домене на MARS (ipconfig /registerdns) и перезапустите службу Netlogon (Сетевой вход в систему).

    Проверьте с помощью netdiag, что адреса нормально зарегистрированы.

    Если есть проблемы с регистрацией, то, прежде всего, проверьте, разрешена ли регистрация в DNS имен домена из одной метки (у Вас - именно такой) согласно ссылке, приведенной AndricoRus.

    После успешной регистрации всех необходимых для КД имен убедитесь (с помощью команды repadmin /showrepl или dcdiag ), что репликация AD осуществляется успешно. После этого перезапустите на обоих КД Ntfrs (Службу репликации файлов, FRS) и проверьте, возобновилась ли репликация SYSVOL, или же возникли ошибки. Если ошибки возникли, то сообщайте о них сюда - поможем лечить FRS. Либо можете полечить ее сами - процедура эта в общем виде описана в статье 315457 MS KB.


    Слава России!


    • Изменено M.V.V. _ 8 апреля 2013 г. 14:44
    • Помечено в качестве ответа imonkey-woooo 9 апреля 2013 г. 12:30
    8 апреля 2013 г. 14:43
  • Регистрация DNS вроде прошла почти успешно, но очень много в выводе

    [WARNING] Cannot find DC in domain 'STO'. [ERROR_NO_SUCH_DOMAIN]

    а в выводе dcdiag

    Starting test: FsmoCheck
             Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
             A Global Catalog Server could not be located - All GC's are down.
             Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
             A Time Server could not be located.
             The server holding the PDC role is down.
             Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
             A Good Time Server could not be located.
             Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
             A KDC could not be located - All the KDCs are down.
             ......................... sto failed test FsmoCheck

    В выводе repadmin /showrepl все отлично

    Вывод dcdiag и раньше до этого бедствия был такой же, но он заканчивался на

    Starting test: FsmoCheck
             Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
             A Global Catalog Server could not be located - All GC's are down.


    8 апреля 2013 г. 15:07
  • Насчет успешной регистрации в DNS - покажите вывод netdiag (с обоих КД).

    Если там все хорошо, то перезапустите службу репликации файлов на обоих КД и посмотрите, какие будут сообщения.  В норме FRS должна сообщить (информационное сообщение), что она больше не препятствует серверу объявлять себя контроллером домена.

    PS Global Catalog у вас на обоих серверах, или только на одном?

    PPS А dcdiag на MARS что пишет?


    Слава России!


    • Изменено M.V.V. _ 8 апреля 2013 г. 17:52
    8 апреля 2013 г. 17:52
  • netdiag с ASTRA(главный кд)

    ...................................

        Computer Name: ASTRA
        DNS Host Name: astra.sto
        System info : Microsoft Windows Server 2003 R2 (Build 3790)
        Processor : x86 Family 6 Model 44 Stepping 2, GenuineIntel
        List of installed hotfixes :
            KB2570791
            KB925902
            KB930178
            KB931784
            KB932168
            KB954550-v5
            Q147222


    Netcard queries test . . . . . . . : Passed
        GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
        [WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
        GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



    Per interface results:

        Adapter : Подключение по локальной сети 2

            Netcard queries test . . . : Passed

            Host Name. . . . . . . . . : astra
            IP Address . . . . . . . . : 192.168.1.1
            Subnet Mask. . . . . . . . : 255.255.255.0
            Default Gateway. . . . . . : 192.168.1.17
            Dns Servers. . . . . . . . : 192.168.1.1
                                         192.168.1.2


            AutoConfiguration results. . . . . . : Passed

            Default gateway test . . . : Passed

            NetBT name test. . . . . . : Passed
            [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

            WINS service test. . . . . : Skipped
                There are no WINS servers configured for this interface.


    Global results:


    Domain membership test . . . . . . : Failed
        [WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.


    NetBT transports test. . . . . . . : Passed
        List of NetBt transports currently configured:
            NetBT_Tcpip_{7F6694FB-1FEA-4507-B2E7-C63E183E0F65}
        1 NetBt transport currently configured.


    Autonet address test . . . . . . . : Passed


    IP loopback ping test. . . . . . . : Passed


    Default gateway test . . . . . . . : Passed


    NetBT name test. . . . . . . . . . : Passed
        [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


    Winsock test . . . . . . . . . . . : Passed


    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '192.168.1.1' and other DCs also have some of the names registered.
        PASS - All the DNS entries for DC are registered on DNS server '192.168.1.2' and other DCs also have some of the names registered.


    Redir and Browser test . . . . . . : Passed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{7F6694FB-1FEA-4507-B2E7-C63E183E0F65}
        The redir is bound to 1 NetBt transport.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{7F6694FB-1FEA-4507-B2E7-C63E183E0F65}
        The browser is bound to 1 NetBt transport.


    DC discovery test. . . . . . . . . : Failed
            [FATAL] Cannot find DC in domain 'STO'. [ERROR_NO_SUCH_DOMAIN]


    DC list test . . . . . . . . . . . : Failed
            'STO': Cannot find DC to get DC list from [test skipped].


    Trust relationship test. . . . . . : Skipped


    Kerberos test. . . . . . . . . . . : Skipped
            'STO': Cannot find DC to get DC list from [test skipped].


    LDAP test. . . . . . . . . . . . . : Failed
        Cannot find DC to run LDAP tests on. The error occurred was: Указанный домен не существует или к нему невозможно подключиться.

     
            [WARNING] Cannot find DC in domain 'STO'. [ERROR_NO_SUCH_DOMAIN]


    Bindings test. . . . . . . . . . . : Passed


    WAN configuration test . . . . . . : Skipped
        No active remote access connections.


    Modem diagnostics test . . . . . . : Passed

    IP Security test . . . . . . . . . : Skipped

    netdiag с MARS

    .....................................

        Computer Name: MARS
        DNS Host Name: mars.sto
        System info : Microsoft Windows Server 2003 (Build 3790)
        Processor : x86 Family 6 Model 44 Stepping 2, GenuineIntel
        List of installed hotfixes :
            KB954550-v5
            Q147222


    Netcard queries test . . . . . . . : Passed
        GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
        [WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
        GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



    Per interface results:

        Adapter : Подключение по локальной сети 2

            Netcard queries test . . . : Passed

            Host Name. . . . . . . . . : mars
            IP Address . . . . . . . . : 192.168.1.2
            Subnet Mask. . . . . . . . : 255.255.255.0
            Default Gateway. . . . . . : 192.168.1.17
            Dns Servers. . . . . . . . : 192.168.1.1
                                         192.168.1.2


            AutoConfiguration results. . . . . . : Passed

            Default gateway test . . . : Passed

            NetBT name test. . . . . . : Passed
            [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

            WINS service test. . . . . : Skipped
                There are no WINS servers configured for this interface.

        Adapter : {297655D4-D736-46E9-AF31-F1D00BB5C0B7}

            Netcard queries test . . . : Passed

            Host Name. . . . . . . . . : mars
            IP Address . . . . . . . . : 192.168.1.129
            Subnet Mask. . . . . . . . : 255.255.255.255
            Default Gateway. . . . . . :
            Dns Servers. . . . . . . . :

            AutoConfiguration results. . . . . . : Passed

            Default gateway test . . . : Skipped
                [WARNING] No gateways defined for this adapter.

            NetBT name test. . . . . . : Passed
            [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

            WINS service test. . . . . : Skipped
                There are no WINS servers configured for this interface.

        Adapter : {B0C03CC0-0070-4CBB-AA25-D1A6BE041635}

            Netcard queries test . . . : Passed

            Host Name. . . . . . . . . : mars
            IP Address . . . . . . . . : 10.0.7.79
            Subnet Mask. . . . . . . . : 255.255.255.255
            Default Gateway. . . . . . :
            NetBIOS over Tcpip . . . . : Disabled
            Dns Servers. . . . . . . . : 10.0.2.2


            AutoConfiguration results. . . . . . : Passed

            Default gateway test . . . : Skipped
                [WARNING] No gateways defined for this adapter.

            NetBT name test. . . . . . : Skipped
                NetBT is disabled on this interface. [Test skipped]

            WINS service test. . . . . : Skipped
                NetBT is disable on this interface. [Test skipped].


    Global results:


    Domain membership test . . . . . . : Failed
        [WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.


    NetBT transports test. . . . . . . : Passed
        List of NetBt transports currently configured:
            NetBT_Tcpip_{9A5886C9-D865-4010-8321-30248CAA62C0}
            NetBT_Tcpip_{297655D4-D736-46E9-AF31-F1D00BB5C0B7}
        2 NetBt transports currently configured.


    Autonet address test . . . . . . . : Passed


    IP loopback ping test. . . . . . . : Passed


    Default gateway test . . . . . . . : Passed


    NetBT name test. . . . . . . . . . : Passed
        [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


    Winsock test . . . . . . . . . . . : Passed


    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '192.168.1.1' and other DCs also have some of the names registered.
        PASS - All the DNS entries for DC are registered on DNS server '192.168.1.2' and other DCs also have some of the names registered.
        [WARNING] The DNS entries for this DC are not registered correctly on DNS server '10.0.2.2'. Please wait for 30 minutes for DNS server replication.


    Redir and Browser test . . . . . . : Passed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{9A5886C9-D865-4010-8321-30248CAA62C0}
            NetBT_Tcpip_{297655D4-D736-46E9-AF31-F1D00BB5C0B7}
        The redir is bound to 2 NetBt transports.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{9A5886C9-D865-4010-8321-30248CAA62C0}
            NetBT_Tcpip_{297655D4-D736-46E9-AF31-F1D00BB5C0B7}
        The browser is bound to 2 NetBt transports.


    DC discovery test. . . . . . . . . : Failed
            [FATAL] Cannot find DC in domain 'STO'. [ERROR_NO_SUCH_DOMAIN]


    DC list test . . . . . . . . . . . : Failed
            'STO': Cannot find DC to get DC list from [test skipped].


    Trust relationship test. . . . . . : Passed
        'STO': Cannot find DC to get DC list from [test skipped].
        Secure channel for domain 'STO' is to '\\ASTRA'.


    Kerberos test. . . . . . . . . . . : Skipped
            'STO': Cannot find DC to get DC list from [test skipped].


    LDAP test. . . . . . . . . . . . . : Failed
        Cannot find DC to run LDAP tests on. The error occurred was: Указанный домен не существует или к нему невозможно подключиться.

     
            [WARNING] Cannot find DC in domain 'STO'. [ERROR_NO_SUCH_DOMAIN]


    Bindings test. . . . . . . . . . . : Passed


    WAN configuration test . . . . . . : Passed
    Entry Name: Portal
    Device Type: Framing protocol :  PPP
    LCP Extensions :  Enabled
    Software Compression :  Disabled
         TCP/IP
    IP Address :  Server Assigned
    Name Server: Server Assigned
    IP Header compression :  Disabled
    Use default gateway on remote network : Enabled

        Connection Statistics:
        Bytes Transmitted     : 17580
        Bytes Received        : 17182
        Frames Transmitted    : 279
        Frames Received       : 271
        CRC    Errors         : 271
        Timeout Errors        : 0
        Alignment Errors      : 0
        H/W Overrun Errors    : 0
        Framing Errors        : 0
        Buffer Overrun Errors : 0
        Compression Ratio In  : 0
        Compression Ratio Out : 0
        Baud Rate ( Bps )     : 1000000000
        Connection Duration   : 17909937


    Modem diagnostics test . . . . . . : Passed

    IP Security test . . . . . . . . . : Skipped

      dcdiag с MARS

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
       
       Testing server: Default-First-Site-Name\MARS
          Starting test: Connectivity
             ......................... MARS passed test Connectivity

    Doing primary tests
       
       Testing server: Default-First-Site-Name\MARS
          Starting test: Replications
             ......................... MARS passed test Replications
          Starting test: NCSecDesc
             ......................... MARS passed test NCSecDesc
          Starting test: NetLogons
             Unable to connect to the NETLOGON share! (\\MARS\netlogon)
             [MARS] An net use or LsaPolicy operation failed with error 1203, ЌЁ ®¤­  Ё§ б«г¦Ў ¤®бвгЇ  Є бҐвЁ ­Ґ ᬮЈ«  ®Ўа Ў®в вм § ¤ ­­л© бҐвҐў®© Їгвм..
             ......................... MARS failed test NetLogons
          Starting test: Advertising
             Fatal Error:DsGetDcName (MARS) call failed, error 1355
             The Locator could not find the server.
             ......................... MARS failed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... MARS passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... MARS passed test RidManager
          Starting test: MachineAccount
             ......................... MARS passed test MachineAccount
          Starting test: Services
             ......................... MARS passed test Services
          Starting test: ObjectsReplicated
             ......................... MARS passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... MARS passed test frssysvol
          Starting test: frsevent
             There are warning or error events within the last 24 hours after the

             SYSVOL has been shared.  Failing SYSVOL replication problems may cause

             Group Policy problems.
             ......................... MARS failed test frsevent
          Starting test: kccevent
             ......................... MARS passed test kccevent
          Starting test: systemlog
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   21:31:58
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0002720
                Time Generated: 04/08/2013   21:32:16
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   21:32:28
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/08/2013   21:32:43
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0002720
                Time Generated: 04/08/2013   21:47:17
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0002720
                Time Generated: 04/08/2013   22:02:16
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0002720
                Time Generated: 04/08/2013   22:17:17
                (Event String could not be retrieved)
             ......................... MARS failed test systemlog
          Starting test: VerifyReferences
             ......................... MARS passed test VerifyReferences
       
       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
       
       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
       
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
       
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
       
       Running partition tests on : sto
          Starting test: CrossRefValidation
             ......................... sto passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... sto passed test CheckSDRefDom
       
       Running enterprise tests on : sto
          Starting test: Intersite
             ......................... sto passed test Intersite
          Starting test: FsmoCheck
             Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
             A Global Catalog Server could not be located - All GC's are down.
             Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
             A Time Server could not be located.
             The server holding the PDC role is down.
             Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
             A Good Time Server could not be located.
             Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
             A KDC could not be located - All the KDCs are down.
             ......................... sto failed test FsmoCheck

    dcdiag с ASTRA можно сказать в точь точь такой же

    А глобальный каталог да один, на ASTRA


    8 апреля 2013 г. 18:11
  • netdiag с MARS

    .....................................

    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '192.168.1.1' and other DCs also have some of the names registered.
        PASS - All the DNS entries for DC are registered on DNS server '192.168.1.2' and other DCs also have some of the names registered.
        [WARNING] The DNS entries for this DC are not registered correctly on DNS server '10.0.2.2'. Please wait for 30 minutes for DNS server replication.


    Во-первых, уберите сервер DNS из настроек подключения удаленного доступа (или интерфеса соединения по требованию RRAS). Я уже об этом писал Вам: уберите в свойствах протокола TCP/IP для подключения автоматическое получение серверов DNS и оставьте список серверов пустым.  Иначе с некоторой вероятностью (грубо говоря, 1/3) будете иметь проблемы с разрешением имен DNS в домене.

    Во-вторых, причина проблем - ни на одном из КД служба репликации файлов не считает содержимое SYSVOL годным для работы контроллера домена. Как с этим бороться - описано по ссылке в моем предыдущем ответе.

    Вкратце, Вам нужно сделать следующее:

    1. Остановить на обоих КД службу ntfrs

    2. Найти КД с правильным содержимым SYSVOL (обычно это - контроллер с FSMO-ролью PDC Emulator, редактор групповой политики старается вносить исправления именно на нем). Т.е. проверьте струтуру папки SYSVOL на каждом из КД, чтобы она соответсвовала описанной в указанной статье и, если структура на обоих КД правильная - сравните содержимое: где есть актуальные файлы.

    Будем надеяться, что правильное содержимое хотя бы на одном КД есть, если нет, то в статье по ссылке описано, как воссоздать структуру это папки, а что до содержимого, то политики домена и контроллеров домена по умолчанию воссоздаются командой dcgpofix.exe, а прочие политики - увы, придется считать потерянными, т.е. их придется  удалить и создать заново

    3. На КД с правильным содержимым установить в реестре значение Burflags=0xD4 (точный путь к значению см. в статье), на остальных КД - значение Burflags=0xD2.

    4. Перезапустить службу ntfrs.


    Слава России!

    • Помечено в качестве ответа imonkey-woooo 9 апреля 2013 г. 12:29
    8 апреля 2013 г. 20:05
  • Спасибо большое)) все заработало, восстановил дерево SYSVOL, перезапустил ntfrs и теперь все хорошо, даже глобальный каталог стал обнаруживаться, хотя до этого был не доступен.

    Но теперь у меня еще один вопрос. Не получается восстановить групповые политики по дефолту. dcgpofix /ignoreschema пишет Программа не может восстановить сертификаты EFS в GPO Default Domain Policy. Из за этого групповых политик считай нету, и соответственно постоянные ошибки о невозможности применить групповые политики и о недоступности файла GPT.ini. И плюс к этому применяются старые политики которые были до краха(например настройка прокси и запрет на ее смену) которые просто не убираются. Помогите пожалуйста с этим.
    9 апреля 2013 г. 12:39
  • Выкладывайте сообщение об ошибке dcgpofix и сообщение из журнала событий полностью (в журнале событий для копирования сообщения в буфер обмена целиком есть специальная кнопка).


    Слава России!

    9 апреля 2013 г. 17:13
  • Выкладывайте сообщение об ошибке dcgpofix и сообщение из журнала событий полностью (в журнале событий для копирования сообщения в буфер обмена целиком есть специальная кнопка).


    Слава России!

    dcgpofix

    C:\Documents and Settings\zalunin>dcgpofix /ignoreschema

    Программа восстановления групповой политики по умолчанию операционной системы Mi
    crosoft(R) Windows(R), версия 5.1

    (C) Корпорация Майкрософт (Microsoft Corp.), 1981-2003

    Восстановление объектов групповой политики по умолчанию (GPO) для домена

    Синтаксис: DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]


    Эта программа может восстанавливать политику домена по умолчанию,
    политику контроллеров домена по умолчанию или обе эти политики в состоянии, имев
    шем место
    непосредственно после чистой установки. Эту операцию может выполнять только адми
    нистратор домена.

    Предупреждение. Все изменения, внесенные в эти GPO, будут утеряны. Данная програ
    мма
    предназначена только для использования при аварийном восстановлении.

    Будет восстановлена политика домена по умолчанию и политика контроллеров домена
    по умолчанию для следующего домена
    sto
    Продолжить? <Да/Нет>? Y
    Предупреждение. Данная операция заменит все назначения прав пользователей, произ
    веденные в выбранных GPO. Это может вызвать сбои в работе некоторых приложений с
    ервера. Продолжить? <Да/Нет>? Y
    Предупреждение. Программа не может восстановить сертификаты EFS в GPO Default Do
    main Policy
    Восстановление не выполнено.  Дополнительные сведения см. в предыдущих сообщениях

    ошибка 1058

    Тип события:    Ошибка
    Источник события:    Userenv
    Категория события:    Отсутствует
    Код события:    1058
    Дата:        10.04.2013
    Время:        10:39:47
    Пользователь:        NT AUTHORITY\SYSTEM
    Компьютер:    ASTRA
    Описание:
    Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=sto. Этот файл должен находиться в <\\sto\sysvol\sto\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удается найти указанный файл. ). Обработка групповой политики прекращена.

    ошибка 1030

    Тип события:    Ошибка
    Источник события:    Userenv
    Категория события:    Отсутствует
    Код события:    1030
    Дата:        10.04.2013
    Время:        10:39:47
    Пользователь:        NT AUTHORITY\SYSTEM
    Компьютер:    ASTRA
    Описание:
    Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

    10 апреля 2013 г. 6:41
  • В каком состоянии Вы восстановили SYSVOL: Какие папки и вложенные в них подпапки есть в папке C:\WINODWS\SYSVOL, восстановили ли Вы точки монтирования (Junction зщште) Согласно статье, нга которую я давал ссылку?


    Слава России!

    10 апреля 2013 г. 17:00