none
Проблемы с доменом после понижения одного из контроллеров! RRS feed

  • Общие обсуждения

  • В общем ситуация такая, было два контроллера домена Server и Server1, владелец ролей был Server1 но было решено его убрать и передать все на Server. Перед понижением Server1 была сделана принудительная репликация, которая успешно завершена. Затем были успешно переданы 5 ролей FSMO на Server и при проверке netdom query fsmo - ответ он владеет всеми ролями. После этого Server1 был понижен и выключен. Сейчас пишет что домен LOCAL не доступен, при проверке владельца ролей, также отвечает что нет связи с контроллером домена. ДНС отвечает на nslookup что адрес домена LOCAL ip адрес Server, что было сделано не так и что можно сделать в данной ситуации? 
    • Изменен тип Alexander RusinovModerator 16 февраля 2015 г. 13:30 Отсутствие активности в течении нескольких дней
    5 февраля 2015 г. 7:14

Все ответы

  • Убедитесь, что на самом сервере Server и на клиентских компьютерах в настройках DNS в конфигурации TCP/IP IP-адрес Server указан в качестве первичного DNS-сервера (или на самом домен-контроллере может быть указан адрес 127.0.0.1). Также убедитесь, что Server является Глобальным каталогом. 


    5 февраля 2015 г. 7:50
    Модератор
  • Server сейчас не является глобальным каталогом и вообще не видит домен LOCAL, но как я и писал репликации выполнялись и перед понижением были еще принудительно сделаны, роли все переданы...
    • Изменено sergey_sav 5 февраля 2015 г. 8:00
    5 февраля 2015 г. 7:59
  • Вы должны назначить Server глобальным каталогом, эта функция не передается автоматически при передаче FSMO-ролей. Настройки DNS правильные?
    5 февраля 2015 г. 8:24
    Модератор
  • ДНС отвечает на все запросы и во всех записях прописан Server: DC, GC, PDC, DOMAIN...

    А как еще назначить сервер глобальным каталогом, теперь то бывший глобальный каталог недоступен.

    5 февраля 2015 г. 8:37
  • Глобальный каталог назначается в консоли Active Directory Sites and Services. Недоступность бывшего Глобального каталога не помешает объявить новый GC. Обычно требуется время на данную операцию. О том, что домен-контроллер стал Глобальным каталогом, можно судить по успешному отклику

    telnet Server 3268

    5 февраля 2015 г. 8:59
    Модератор
  • В том то и проблема, что когда я открываю "Сайты и службы" пишет не удается подключиться к домену т.к. он недоступен.
    5 февраля 2015 г. 9:09
  • Попробуйте перезагрузить домен-контроллер еще раз.

    Посмотрите Журнал событий: Системный журнал и журнал Directory Services. Какие ошибки, связанные с недоступностью AD, в нем фиксируются?

    5 февраля 2015 г. 9:15
    Модератор
  • Пишет, что хотя одна из репликаций и прошла успешно, но после было 18 ошибок и роли FSMO не являются действительными пока не будет проведена успешная репликация. а ее уже не будет т.к. Server1 уже не контроллер, в общем я понял быстрее грохнуться все и переустановить как всегда!!!

    Спасибо за помощь!!!

    5 февраля 2015 г. 9:48
  • Пишет, что хотя одна из репликаций и прошла успешно, но после было 18 ошибок и роли FSMO не являются действительными пока не будет проведена успешная репликация. а ее уже не будет т.к. Server1 уже не контроллер, в общем я понял быстрее грохнуться все и переустановить как всегда!!!

    Спасибо за помощь!!!

    Не торопитесь грохать и переустанавливать.

    1. Для диагностики нужно хоть раз выдать команду dcdiag и посмотреть на её выдачу.

    2. Наиболее вероятно, что вы понизили КД, не среплицровав на второй КД содержимое SYSVOL. Если вы ещё не уничтожили первый КД, то можно содержимое SYSVOL взять с него и произвести полномочное восстановление на оставшемся КД (расскажу как, если дело в этом).

    3. Если в журнале единственного отсавшегося КД в домене пишется, что он не может выполнять роли FSMO из-за непрошедшей репликации, это означает, что в AD остались следы другого, ныне мертвого КД. В выдаче dcdiag мы это обязательно увидим. И причиной недоступности домена эта проблема служить не может.


    Слава России!

    5 февраля 2015 г. 10:49
  • Убедитесь, что на самом сервере Server и на клиентских компьютерах в настройках DNS в конфигурации TCP/IP IP-адрес Server указан в качестве первичного DNS-сервера (или на самом домен-контроллере может быть указан адрес 127.0.0.1). Также убедитесь, что Server является Глобальным каталогом. 


    Коллега, я в таких случаях для начала предлагаю пострадавшему самому посмотреть (и нам показать) выдачу dcdiag - там может быть много интересного написано.

    Слава России!

    5 февраля 2015 г. 10:51
  • Уже грохнул !!!

    dcdiag /q как раз и говорил что не видит домена, репликация не прошла, роли FSMO переданы но не считаются проверенными....и т.д. Для меня это странно, как два сервера работали год и не могли друг другу передать все в одной сети, где по сути самые элементарные настройки!

    5 февраля 2015 г. 12:07
  • M.V.V._, согласен с вашим замечанием в качестве общего подхода к troubleshooting, но не согласен в данном конкретном вопросе. У автора вопроса был вывод домен-контроллера с переносом FSMO-ролей. Вот и стал выяснять, что он сделал, а что упустил. Да и, по собственному опыту, решение проблем с чужим DC всегда начинаю с проверки настроек DNS, тем более по времени это занимает не больше минуты.
    5 февраля 2015 г. 12:11
    Модератор
  • Вообще-то репликация AD, если за ней не следить, вполне может не проработать полгода - а потом она уже сама не восстановится.

    Но если бы репликация AD не прошла, то вы бы ни роли FSMO не передали, ни контроллер домена не понизили бы штатно - только принудительно.

    Но кроме репликации AD есть ещё и репликация папки SYSVOL, которую осуществляет служба репликации DFS,  DFSR (или, в старых версиях Windows Server до 2008 либо в режиме совместимости с ними - Служба репликации файлов, FRS). Мастер настройки контроллера домена контролирует её менее строго. А если начальная реплкиация папки SYSVOL на новый КД не прошла, то этот КД не может работать как контроллер домена. dcdiag эту ситуацию покажет.

    А вообще, на мой взгляд, хорошей практикой является проверка перед понижением существующего КД с помощью dcdiag остающиеся КД, если их 1-2.


    Слава России!

    5 февраля 2015 г. 12:22
  • M.V.V._, согласен с вашим замечанием в качестве общего подхода к troubleshooting, но не согласен в данном конкретном вопросе. У автора вопроса был вывод домен-контроллера с переносом FSMO-ролей. Вот и стал выяснять, что он сделал, а что упустил. Да и, по собственному опыту, решение проблем с чужим DC всегда начинаю с проверки настроек DNS, тем более по времени это занимает не больше минуты.

    Спорить не буду, просто изложил своё мнение.

    Конечно, неверная настройка DNS является очень частой причиной проблем с AD, но не единственной. Поэтому, на мой взгляд, лучше начинать диагностику с запуска dcdiag (а для Win2K3 - ещё и netdiag). Тем более, что грубые ошибки настройки DNS по выдаче dcdiag будут видны сразу по невозможности подключиться к КД.

    PS А не больше минуты это занимает у того, кто знает, что искать, а для этого надо хотя бы грубо понимать, как работает AD. Но немалая доля авторов вопросов по AD (например, автор этой темы), к сожалению, в эту категорию не попадает.


    Слава России!

    5 февраля 2015 г. 12:29
  • В ДНС проблем не было, dcdiag, когда Server1 работал отвечал все хорошо, после понижения на Server выдал, что все-таки была успешная репликация 04.02.2015, в конечном итоге еще и была принудительная репликация.

    Вы пишите если не следить, может и не сделать репликацию, а скажите какие проблемы могут возникнуть между серверами, которые находятся рядом, друг-друга видят, оба в группе GC, на обоих стоит служба ДНС и зоны _msdcs.LOCAL и LOCAL.LOC интегрированы в AD и в этих зонах оба сервера прописаны как обслуживающие зоны ?

    5 февраля 2015 г. 14:46
  • В вашем случае, я полагаю, проблема возникла (точнее - была изначально) с репликацией папки SYSVOL с помощью DFSR (или FRS). Это - другая репликация, отличающаяся от репликации базы данных AD. dcdiag детектирует эту проблему весьма косвенно - сообщает о наличии ошибок или предупреждений в журнале событий соответствующей службы за последние 24 часа. Но такие предупреждения могут быть и при работающей репликации SYSVOL, так что в каждом случае надо журнал смотреть отдельно и, желательно - сразу после загрузки или перезапуска службы репликации: некоторые ошибки/предупреждения фиксируются там только один раз после запуска.

    Но это всё - предположения, которые сейчас, без достаточной информации, проверить невозможно.

    Проблемы бывают разные. Иногда - самые неожиданные. Например, я наблюдал ситуацию, когда контроллер домена после сбоя RAID-контроллера, на котором был размещён (на зеркале) системный том, и вызванной им последующей перезагрузки не смог восстановить репликацию из-за USN Rollback.

    А все проблемы я перечислить даже не берусь. Проще смотреть, что произошло в каждом конкретном случае.


    Слава России!


    • Изменено M.V.V. _ 5 февраля 2015 г. 16:51
    5 февраля 2015 г. 16:48
  • быстрее грохнуться все и переустановить как всегда!!!

    как всегда это:

    - сделать резервную копию

    - выполнить требуемые задачи

    - восстановить из резервной копии в случае сбоев

    на будущее.

    5 февраля 2015 г. 20:07
    Модератор
  • Как раз я это и имел ввиду, если разбираться с проблемой, то можно просидеть 2 дня, копаться в настройках, искать, и все впустую, а можно восстановить из резервной копии.
    1 марта 2015 г. 10:01