none
Первичный и вторичный контроллеры домена RRS feed

  • Вопрос

  • Доброго друзья. Большая просьба помочь разобраться с выявлением неправильной настройки обоих КД. Схема такая, оба КД установлены на Windows 2008R2. Контроллер домена DC1 железный (на отдельном серваке в стойке), контроллер DC2 - виртуальный, работает в Citrix XenServer.

    Всегда считал что DC2 вторичный и главный DC1. Но похоже что это не так оказалось на деле, теперь хочу понять, где и как настроили чего некорректно, те кто до меня тут все это поднимал и настраивал.

    Ситуации были следующие в минувшие дни:

    1) Пришлось все в серверной выключить из-за обслуживания серваков. Начали потом включать все хозяйство с нуля. Естественно я включил первым DC1. И обнаружил, что он дико долго грузится и остановившись на применении параметров компьютера.  Вскоре прогрузился. Но после его загрузки, аутентификация в домене не работала, ни куда нельзя было залогиниться! Только на сам DC1 смог зайти и обнаружил что все зоны в DNS пропали. Ни в первичной ни чего нет, ни в обратной! Думаю что за фигня? После этого я включаю вторичный КД DC2. Как только он загрузился, все стало работать и аутентификация и DNS зоны появились и т.п.

    В результате не понятно теперь кто главный? netdom fsmo query на обоих КД показывает что хозяин 5-ти ролей - DC1

    2) История вторая - сегодня. Обнаружил что я не могу под доменным админом зайти на DC2(виртуальный) по RDP. Выдавало что-то про службу профилей, типа она занята и зайдите позже. Залогинился под другим админом на DC2. Увидел что проц что-то жрет на 56-65%. Обнаружил svchosts. А под ним работала служба профилей и отъедала столько проца. Я пустил сервак в ребут, чтобы эта ситуация разрешилась. Сервак долго висел на перезагрузке пытаясь завершить работу службы обновлений, хотя обновы не ставились. Пришлось жестко ребутнуть. Пока сервак перезагружался я решил залогиниться на один из терминальных серверов. И получил ошибку на экране " нет доступа"!!! И пока DC2 не прогрузился я ни куда не мог зайти! После его полной загрузки прошла репликация с DC1 и аутентификация стала возможной.Вообще не пойму почему так.

    На КД в сетевых настройках указано так:

    На DC1 - Первый DNS - IP DC2,  Второй DNS - IP DC1 

    На DC2 - Первый DNS - IP DC1,  Второй DNS - IP DC2 

    Подскажите пож-та коллеги как правильно настроить взаимодействие друг с другом обоих КД и почему при выключении DC2 все встает?

    На DC1 работает файл сервер, DHCP, DNS, AD

    На DC2 работает AD и DNS

    Спасибо!


    • Изменено ItDen 28 марта 2018 г. 13:55
    28 марта 2018 г. 13:46

Все ответы

  • Всегда считал что DC2 вторичный и главный DC1. 

    первичный, главный или вторичный - это всё условно. Покажите вывод команды с контроллера домена:

    netdom query fsmo

    у того, кто имет роль PDC условно можно назвать "главным"\"первичным".

    На КД в сетевых настройках указано так:
    На DC1 - Первый DNS - IP DC2, Второй DNS - IP DC1
    На DC2 - Первый DNS - IP DC1, Второй DNS - IP DC2

    там нужно было делать в далёком 2002 году. с Windows Server 2003 такой необходимости больше нет, поэтому:
    1 DNS - сам на себя, 2 DNS - на партнёра по репликации (второй DC), 3 DNS - 127.0.0.1

    проверьте, что оба DC являются глобальными каталогами:


    28 марта 2018 г. 13:50
    Модератор
  • На DC1
    Хозяин схемы DC1.firma.local
    Хозяин именования доменов DC1.firma.local
    PDC DC1.firma.local
    Диспетчер пула RID DC1.firma.local
    Хозяин инфраструктуры DC1.firma.local
    Команда выполнена успешно.

    На DC2
    Хозяин схемы DC1.firma.local
    Хозяин именования доменов DC1.firma.local
    PDC DC1.firma.local
    Диспетчер пула RID DC1.firma.local
    Хозяин инфраструктуры DC1.firma.local
    Команда выполнена успешно.

    А подскажите пож-та, а зачем в ДНС запись вида 127.0.0.1? Первичного и вторичного ДНС ему будет недостаточно?


    28 марта 2018 г. 14:02
  • А подскажите пож-та, а зачем в ДНС запись вида 127.0.0.1? Первичного и вторичного ДНС ему будет недостаточно?

    рекомендация MS
    28 марта 2018 г. 14:05
    Модератор
  • Ну скрин крепить не буду, проверил Глобальный каталог на обоих КД. На обоих КД в свойствах NTDS Setting установлена галочка Глобальный каталог!
    28 марта 2018 г. 14:09
  • Еще недавно заметил одну странность! Это наверное третья история в этом квесте )

    Обнаружил на терминальных серверах небольшой рассинхрон по времени с КД минуты на 3-4 было. Решил пройтись по всем TS и сделать на них net time /domain:firma /set

    Так вот, часть TS синхронизировалось с DC1 показывая что на КД DC1 время такое-то, а у меня такое-то! Синхронизировать?

    А часть TS синхронизировались с DC2. Может это наблюдение имеется из-за каких-то проблем у меня с КД?

    28 марта 2018 г. 14:17
  • Вам нужно в первую очередь отладить проблемы с синхронизацией времени. Время должны быть у всех одинаково.
    28 марта 2018 г. 14:39
    Модератор
  • выложите уже dcdiag /q с обоих кд (командную строку запускайте от админа). без этого гадать что у вас там случилось смысла нет.
    28 марта 2018 г. 16:37
  • Доброго друзья. Большая просьба помочь разобраться с выявлением неправильной настройки обоих КД. Схема такая, оба КД установлены на Windows 2008R2. Контроллер домена DC1 железный (на отдельном серваке в стойке), контроллер DC2 - виртуальный, работает в Citrix XenServer.

    Всегда считал что DC2 вторичный и главный DC1. Но похоже что это не так оказалось на деле, теперь хочу понять, где и как настроили чего некорректно, те кто до меня тут все это поднимал и настраивал.

    Ситуации были следующие в минувшие дни:

    1) Пришлось все в серверной выключить из-за обслуживания серваков. Начали потом включать все хозяйство с нуля. Естественно я включил первым DC1. И обнаружил, что он дико долго грузится и остановившись на применении параметров компьютера.  Вскоре прогрузился. Но после его загрузки, аутентификация в домене не работала, ни куда нельзя было залогиниться! Только на сам DC1 смог зайти и обнаружил что все зоны в DNS пропали. Ни в первичной ни чего нет, ни в обратной! Думаю что за фигня? После этого я включаю вторичный КД DC2. Как только он загрузился, все стало работать и аутентификация и DNS зоны появились и т.п.

    В результате не понятно теперь кто главный? netdom fsmo query на обоих КД показывает что хозяин 5-ти ролей - DC1

    2) История вторая - сегодня. Обнаружил что я не могу под доменным админом зайти на DC2(виртуальный) по RDP. Выдавало что-то про службу профилей, типа она занята и зайдите позже. Залогинился под другим админом на DC2. Увидел что проц что-то жрет на 56-65%. Обнаружил svchosts. А под ним работала служба профилей и отъедала столько проца. Я пустил сервак в ребут, чтобы эта ситуация разрешилась. Сервак долго висел на перезагрузке пытаясь завершить работу службы обновлений, хотя обновы не ставились. Пришлось жестко ребутнуть. Пока сервак перезагружался я решил залогиниться на один из терминальных серверов. И получил ошибку на экране " нет доступа"!!! И пока DC2 не прогрузился я ни куда не мог зайти! После его полной загрузки прошла репликация с DC1 и аутентификация стала возможной.Вообще не пойму почему так.

    На КД в сетевых настройках указано так:

    На DC1 - Первый DNS - IP DC2,  Второй DNS - IP DC1 

    На DC2 - Первый DNS - IP DC1,  Второй DNS - IP DC2 

    Подскажите пож-та коллеги как правильно настроить взаимодействие друг с другом обоих КД и почему при выключении DC2 все встает?

    На DC1 работает файл сервер, DHCP, DNS, AD

    На DC2 работает AD и DNS

    Спасибо!


    По поводу первой ситуации (про вторую уже ответили достаточно).

    DC1, поскольку он владелец всех ролей FSMO, пытался выполнить начальную синхронизацию разделов, к которым относятся роли FSMO: он при настройках по умолчанию не имеет права выполнять функции владельца FSMO, если где-то на другом контроллере в AD есть копия соответствующего раздела. Естественно, у него это не получилось. А DNS в Win2K8 R2 ждёт окончания этого процесса - записывая при каждой попытке событие ошибки в свой журнал. Возможно, у вас она не дождалась, возможно - решила проверять не так часто, и попали в интервал перед успешной проверкой.

    В общем, по опыту, старт одиночного владельца FSMO в Win2K8 R2 может продолжаться долго - час, например. В Win2012 MS что-то подкрутила, и старт уже выполняется сильно быстрее.

    PS Требование синхронизации для FSMO можно отключить через реестр на КД, но делать это сильно не рекомендуется - она там не просто так сделана, а чтобы исключить возможные ошибки появления двух владельцев одной и той же роли.


    Слава России!

    28 марта 2018 г. 17:51
  • Ключ /q насколько я помню - это вывод только ошибок?

    Тогда на DC1 вывод команды был пустым. Я так полагаю ошибок dcdiag не нашел. Я тогда вывел результаты на DC1 без /q

    C:\Windows\system32>dcdiag
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = dc1
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\dc1
          Запуск проверки: Connectivity
             ......................... dc1 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\dc1
          Запуск проверки: Advertising
             ......................... dc1 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... dc1 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... dc1 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... dc1 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... dc1 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... dc1 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... dc1 - пройдена проверка MachineAccoun
          Запуск проверки: NCSecDesc
             ......................... dc1 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... dc1 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... dc1 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             ......................... dc1 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... dc1 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... dc1 - пройдена проверка Services
          Запуск проверки: SystemLog
             ......................... dc1 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... dc1 - пройдена проверка
             VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: FIRMA
          Запуск проверки: CheckSDRefDom
             ......................... FIRMA - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... FIRMA - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: FIRMA.local
          Запуск проверки: LocatorCheck
             ......................... FIRMA.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... FIRMA.local - пройдена проверка Intersite

    А это вывод команды на DC2. Все тоже самое с /q пусто, а без /q результат ниже

    C:\Windows\system32>dcdiag /q
    
    C:\Windows\system32>dcdiag
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC2
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\DC2
          Запуск проверки: Connectivity
             ......................... DC2 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\DC2
          Запуск проверки: Advertising
             ......................... DC2 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... DC2 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... DC2 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC2 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... DC2 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... DC2 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC2 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC2 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC2 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC2 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... DC2 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC2 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... DC2 - пройдена проверка Services
          Запуск проверки: SystemLog
             ......................... DC2 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC2 - пройдена проверка VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: FIRMA
          Запуск проверки: CheckSDRefDom
             ......................... FIRMA - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... FIRMA - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: FIRMA.local
          Запуск проверки: LocatorCheck
             ......................... FIRMA.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... FIRMA.local - пройдена проверка Intersite

    29 марта 2018 г. 6:48
  • Сам не понимаю почему на TS время разбегается с контроллером домена. Мне периодически приходится на всех серверах делать Net Time..... /set
    29 марта 2018 г. 6:50
  • Сам не понимаю почему на TS время разбегается с контроллером домена. Мне периодически приходится на всех серверах делать Net Time..... /set

    День добрый!

    Посмотрите плиз у Вас в свойствах ВМ включена синхронизация времени с хостовой машиной?



    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    29 марта 2018 г. 8:42
  • Посмотрите плиз у Вас в свойствах ВМ включена синхронизация времени с хостовой машиной?

    Хм... У меня Citrix там разве есть такая опция. В свойствах виртуальной машины (DC2) не нашел похожих настроек
    29 марта 2018 г. 9:28
  • Во всех системах виртуализации есть опционал синхронизации времени виртуальной машины с хостом. MS как раз предупреждает, что это хозяйство НУЖНО выключать. Ищите в настройках.

    Второе, оба КД должны иметь одно время. Посмотреть рассинхрон по всем КД можно так:

    w32tm /monitor

    dcdiag вернул ошибку репликации, давайте разбираться с ней.

    КД в одной подсети? Если да, очевидно, что в дефолтовом сайте, это так?

    Давайте посмотрим как внутрисайтовая реплика проходит:

    repadmin /showrepl

    А так же ошибки:

    repadmin /replsummary

    Автор пишет, что оба КД - GC, а dns не отрабатывает. Выложите с обоих КД тест dns:

    dcdiag /test:dns

    А дальше будем смотреть на результаты

    29 марта 2018 г. 16:15
  • Ок, с ВМ поразбираюсь еще, где там задается синхронизация. Ниже результаты команд по вашим рекомендациям:

    ===== DC1 =======

    1) w32tm /monitor

    C:\Windows\system32>w32tm /monitor
    DC1.FIRMA.local *** PDC ***[[2002:5a00:814::5a00:814]:123]:
        ICMP: 0ms задержка
        NTP: +0.0000000s смещение относительно DC1.FIRMA.local
            RefID: 'LOCL' [0x4C434F4C]
            Страта: 1
    DC2.FIRMA.local[90.0.8.19:123]:
        ICMP: 0ms задержка
        NTP: +0.0205398s смещение относительно DC1.FIRMA.local
            RefID: DC1.FIRMA.local [90.0.8.20]
            Страта: 2
    
    Предупреждение:
    Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
    неверно, поскольку поле RefID в пакетах времени различается в
    разных реализациях NTP и может не использовать IP-адреса.

    2) Да, КД в одной сети. IP адреса у нас конечно очень нестандартные, но это не публичные, чтобы не вызвать заблуждение, Просто так в наследство досталось уже.

    3) Репликацию не раз проверял - все вроде ок. Результат ниже

    C:\Windows\system32>repadmin /showrepl
    
    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    Default-First-Site-Name\DC1
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 6008265b-34eb-4097-9ebe-9ba78ca8be51
    DSA - код вызова: 6008265b-34eb-4097-9ebe-9ba78ca8be51
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    DC=FIRMA,DC=local
        Default-First-Site-Name\DC2 через  RPC
            DSA - GUID объекта: 7d231266-71d3-4a18-9a20-e92624ceadfd
            Последняя попытка @ 2018-03-30 09:24:03 успешна.
    
    CN=Configuration,DC=FIRMA,DC=local
        Default-First-Site-Name\DC2 через  RPC
            DSA - GUID объекта: 7d231266-71d3-4a18-9a20-e92624ceadfd
            Последняя попытка @ 2018-03-30 08:58:06 успешна.
    
    CN=Schema,CN=Configuration,DC=FIRMA,DC=local
        Default-First-Site-Name\DC2 через  RPC
            DSA - GUID объекта: 7d231266-71d3-4a18-9a20-e92624ceadfd
            Последняя попытка @ 2018-03-30 08:58:06 успешна.
    
    DC=DomainDnsZones,DC=FIRMA,DC=local
        Default-First-Site-Name\DC2 через  RPC
            DSA - GUID объекта: 7d231266-71d3-4a18-9a20-e92624ceadfd
            Последняя попытка @ 2018-03-30 09:16:10 успешна.
    
    DC=ForestDnsZones,DC=FIRMA,DC=local
        Default-First-Site-Name\DC2 через  RPC
            DSA - GUID объекта: 7d231266-71d3-4a18-9a20-e92624ceadfd
            Последняя попытка @ 2018-03-30 09:23:40 успешна.

    3) Repadmin /replsummary

    C:\Windows\system32>repadmin /replsummary
    Время запуска сводки по репликации: 2018-03-30 09:26:56
    
    Начат сбор данных для сводки по репликации, подождите:
      .....
    
    
    Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
     DC2                       28m:50s    0 /   5    0
     DC1                  36m:09s    0 /   5    0
    
    
    Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
     DC2                       36m:09s    0 /   5    0
     DC1                  28m:50s    0 /   5    0

    4) dcdiag /test:dns

    C:\Windows\system32>dcdiag /test:dns
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC1
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\DC1
          Запуск проверки: Connectivity
             ......................... DC1 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\DC1
    
          Запуск проверки: DNS
    
             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... DC1 - пройдена проверка DNS
    
       Выполнение проверок разделов на: ForestDnsZones
    
       Выполнение проверок разделов на: DomainDnsZones
    
       Выполнение проверок разделов на: Schema
    
       Выполнение проверок разделов на: Configuration
    
       Выполнение проверок разделов на: FIRMA
    
       Выполнение проверок предприятия на: FIRMA.local
          Запуск проверки: DNS
             Результаты проверки контроллеров домена:
    
                Контроллер домена: DC1.FIRMA.local
                Домен: FIRMA.local
    
    
                   TEST: Basic (Basc)
                      Warning: The AAAA record for this DC was not found
    
                   TEST: Dynamic update (Dyn)
                      Warning: Failed to delete the test record dcdiag-test-record i
    n zone FIRMA.local
    
                   TEST: Records registration (RReg)
                      Сетевой адаптер
                      [00000007] Intel(R) I350 Gigabit Network Connection:
                         Внимание!
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.20:
                         DC1.FIRMA.local
    
                         Внимание!
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.20:
                         gc._mDC2s.FIRMA.local
    
                         Внимание!
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.19:
                         DC1.FIRMA.local
    
                         Внимание!
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.19:
                         gc._mDC2s.FIRMA.local
    
                   Внимание! Не удается найти регистрации записей для некоторых
                   сетевых адаптеров
    
                   DC1                     PASS WARN PASS PASS WARN WARN n/a
             ......................... FIRMA.local - пройдена проверка DNS

    Следующим постом выложу все тоже самое для DC2


    30 марта 2018 г. 6:30
  • ========= DC2 ===========

    1) w32tm /monitor

    C:\Windows\System32>w32tm /monitor
    DC2.FIRMA.local[[2002:5a00:813::5a00:813]:123]:
        ICMP: ошибка 0x8007271D
        NTP: -0.0004131s смещение относительно DC1.FIRMA.local
            RefID: DC1.FIRMA.local [90.0.8.20]
            Страта: 2
    DC1.FIRMA.local *** PDC ***[90.0.8.20:123]:
        ICMP: 0ms задержка
        NTP: +0.0000000s смещение относительно DC1.FIRMA.local
            RefID: 'LOCL' [0x4C434F4C]
            Страта: 1
    
    Предупреждение:
    Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
    неверно, поскольку поле RefID в пакетах времени различается в
    разных реализациях NTP и может не использовать IP-адреса.

    2) repadmin /showrepl

    C:\Windows\system32>repadmin /showrepl
    
    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    Default-First-Site-Name\DC2
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 7d231266-71d3-4a18-9a20-e92624ceadfd
    DSA - код вызова: ccb09c98-5ee9-4ccd-9b1d-d522f3a2719d
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    DC=FIRMA,DC=local
        Default-First-Site-Name\DC1 через  RPC
            DSA - GUID объекта: 6008265b-34eb-4097-9ebe-9ba78ca8be51
            Последняя попытка @ 2018-03-30 09:35:07 успешна.
    
    CN=Configuration,DC=FIRMA,DC=local
        Default-First-Site-Name\DC1 через  RPC
            DSA - GUID объекта: 6008265b-34eb-4097-9ebe-9ba78ca8be51
            Последняя попытка @ 2018-03-30 08:50:47 успешна.
    
    CN=Schema,CN=Configuration,DC=FIRMA,DC=local
        Default-First-Site-Name\DC1 через  RPC
            DSA - GUID объекта: 6008265b-34eb-4097-9ebe-9ba78ca8be51
            Последняя попытка @ 2018-03-30 08:50:47 успешна.
    
    DC=DomainDnsZones,DC=FIRMA,DC=local
        Default-First-Site-Name\DC1 через  RPC
            DSA - GUID объекта: 6008265b-34eb-4097-9ebe-9ba78ca8be51
            Последняя попытка @ 2018-03-30 09:15:55 успешна.
    
    DC=ForestDnsZones,DC=FIRMA,DC=local
        Default-First-Site-Name\DC1 через  RPC
            DSA - GUID объекта: 6008265b-34eb-4097-9ebe-9ba78ca8be51
            Последняя попытка @ 2018-03-30 09:34:27 успешна.

    3) repadmin /replsummary

    C:\Windows\system32>repadmin /replsummary
    Время запуска сводки по репликации: 2018-03-30 09:37:09
    
    Начат сбор данных для сводки по репликации, подождите:
      .....
    
    
    Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
     DC2                       39m:03s    0 /   5    0
     DC1                  46m:22s    0 /   5    0
    
    
    Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
     DC2                       46m:22s    0 /   5    0
     DC1                  39m:03s    0 /   5    0

    4) dcdiag /test:dns

    C:\Windows\system32>dcdiag /test:dns
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC2
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\DC2
          Запуск проверки: Connectivity
             ......................... DC2 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\DC2
    
          Запуск проверки: DNS
    
             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... DC2 - пройдена проверка DNS
    
       Выполнение проверок разделов на: ForestDnsZones
    
       Выполнение проверок разделов на: DomainDnsZones
    
       Выполнение проверок разделов на: Schema
    
       Выполнение проверок разделов на: Configuration
    
       Выполнение проверок разделов на: FIRMA
    
       Выполнение проверок предприятия на: FIRMA.local
          Запуск проверки: DNS
             Результаты проверки контроллеров домена:
    
                Контроллер домена: DC2.FIRMA.local
                Домен: FIRMA.local
    
    
                   TEST: Basic (Basc)
                      Warning: The AAAA record for this DC was not found
    
                   TEST: Dynamic update (Dyn)
                      Warning: Failed to delete the test record dcdiag-test-record i
    n zone FIRMA.local
    
                   TEST: Records registration (RReg)
                      Сетевой адаптер [00000020] Citrix PV Network Adapter:
                         Внимание!
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.20:
                         DC2.FIRMA.local
    
                         Внимание!
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.20:
                         gc._mDC2s.FIRMA.local
    
                         Внимание!
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.19:
                         DC2.FIRMA.local
    
                         Внимание!
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.19:
                         gc._mDC2s.FIRMA.local
    
                   Внимание! Не удается найти регистрации записей для некоторых
                   сетевых адаптеров
    
                   DC2                          PASS WARN PASS PASS WARN WARN n/a
             ......................... FIRMA.local - пройдена проверка DNS





    • Изменено ItDen 30 марта 2018 г. 6:40
    30 марта 2018 г. 6:39
  • Слушайте, ну как минимум косяки с DNS есть.

    Отсюда вываливается вопрос - IPv6 отключен?

    Давайте дебажить dns дальше. С обоих КД нужно будет выполнить dcdiag /test:dns /v

    Будет ооочень большой рулон

    30 марта 2018 г. 7:47
  • IPv6 - галочка в настройках сетевого интерфейса снята!
    30 марта 2018 г. 8:18
  • Ну тогда test:dns с ключом /v в студию
    30 марта 2018 г. 8:25
  • IPv6 - галочка в настройках сетевого интерфейса снята!

    Верните ее обратно, не нужно выключать IPv6.  И дебажьте дальше, я не мешаю больше вам.
    30 марта 2018 г. 8:29
  • Ну тогда test:dns с ключом /v в студию
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       * Проверка, является ли локальный компьютер DC2 сервером каталогов. 
       Основной сервер = DC2
       * Подключение к службе каталога на сервере DC2.
       * Идентифицирован лес AD. 
       Collecting AD specific global data 
       * Сбор сведений о сайте.
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=FIRMA,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded 
       Iterating through the sites 
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FIRMA,DC=local
       Getting ISTG and options for the site
       * Выполнение идентификации всех серверов.
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=FIRMA,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers 
       Getting information for the server CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FIRMA,DC=local 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FIRMA,DC=local 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * Идентификация всех перекрестных ссылок NC.
       * Найдено 2 DC (контроллеров домена). Проверка 1 из них.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
       
       Сервер проверки: Default-First-Site-Name\DC2
          Запуск проверки: Connectivity
             * Active Directory LDAP Services Check
             Determining IP4 connectivity 
             Determining IP6 connectivity 
             * Active Directory RPC Services Check
             ......................... DC2 - пройдена проверка Connectivity
    
    Выполнение основных проверок
       
       Сервер проверки: Default-First-Site-Name\DC2
          Проверка пропущена по запросу пользователя: Advertising
          Проверка пропущена по запросу пользователя: CheckSecurityError
          Проверка пропущена по запросу пользователя: CutoffServers
          Проверка пропущена по запросу пользователя: FrsEvent
          Проверка пропущена по запросу пользователя: DFSREvent
          Проверка пропущена по запросу пользователя: SysVolCheck
          Проверка пропущена по запросу пользователя: KccEvent
          Проверка пропущена по запросу пользователя: KnowsOfRoleHolders
          Проверка пропущена по запросу пользователя: MachineAccount
          Проверка пропущена по запросу пользователя: NCSecDesc
          Проверка пропущена по запросу пользователя: NetLogons
          Проверка пропущена по запросу пользователя: ObjectsReplicated
          Проверка пропущена по запросу пользователя: OutboundSecureChannels
          Проверка пропущена по запросу пользователя: Replications
          Проверка пропущена по запросу пользователя: RidManager
          Проверка пропущена по запросу пользователя: Services
          Проверка пропущена по запросу пользователя: SystemLog
          Проверка пропущена по запросу пользователя: Topology
          Проверка пропущена по запросу пользователя: VerifyEnterpriseReferences
          Проверка пропущена по запросу пользователя: VerifyReferences
          Проверка пропущена по запросу пользователя: VerifyReplicas
       
          Запуск проверки: DNS
             
             Проверки DNS выполняются без зависания. Подождите несколько минут...
             See DNS test in enterprise tests section for results
             ......................... DC2 - пройдена проверка DNS
       
       Выполнение проверок разделов на: ForestDnsZones
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок разделов на: DomainDnsZones
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок разделов на: Schema
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок разделов на: Configuration
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок разделов на: FIRMA
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок предприятия на: FIRMA.local
          Запуск проверки: DNS
             Результаты проверки контроллеров домена:
                
                Контроллер домена: DC2.FIRMA.local
                Домен: FIRMA.local
                
                      
                   TEST: Authentication (Auth)
                      Тест проверки подлинности: завершен успешно
                      
                   TEST: Basic (Basc)
                      ОС
                      Microsoft Windows Server 2008 R2 Enterprise  (Service Pack level: 1.0)
                      поддерживается.
                      NETLOGON служба запущена.
                      kdc служба запущена.
                      DNSCACHE служба запущена.
                      DNS служба запущена.
                      DC является DNS-сервером
                      Сведения о сетевых адаптерах:
                      Адаптер [00000020] Citrix PV Network Adapter:
                         MAC address is F6:41:A0:C4:EC:E1
                         IP-адрес является статическим 
                         IP address: 90.0.8.19
                         DNS-серверы:
                            90.0.8.20 (DC1.FIRMA.local.) [Valid]
                            90.0.8.19 (DC2) [Valid]
                      The A host record(s) for this DC was found
                      Warning: The AAAA record for this DC was not found
                      [Error details: 9501 (Type: Win32 - Description: Для данного запроса записей в DNS не найдено.) - FIRMA.local]
                      The SOA record for the Active Directory zone was found
                      The Active Directory zone on this DC/DNS server was found primary
                      Root zone on this DC/DNS server was not found
                      
                   TEST: Forwarders/Root hints (Forw)
                      Recursion is enabled
                      Forwarders Information: 
                         208.67.220.220 (<name unavailable>) [Valid] 
                         208.67.222.222 (<name unavailable>) [Valid] 
                      
                   TEST: Delegations (Del)
                      Delegation information for the zone: FIRMA.local.
                         Delegated domain name: _mDC2s.FIRMA.local.
                            DNS server: DC1.FIRMA.local. IP:90.0.8.20 [Valid]
                      
                   TEST: Dynamic update (Dyn)
                      Test record dcdiag-test-record added successfully in zone FIRMA.local
                      Warning: Failed to delete the test record dcdiag-test-record in zone FIRMA.local
                      [Error details: 9505 (Type: Win32 - Description: Небезопасный пакет DNS.)]
                      
                   TEST: Records registration (RReg)
                      Сетевой адаптер [00000020] Citrix PV Network Adapter:
                         Matching CNAME record found at DNS server 90.0.8.20:
                         7d231266-71d3-4a18-9a20-e92624ceadfd._mDC2s.FIRMA.local
    
                         Matching A record found at DNS server 90.0.8.20:
                         DC2.FIRMA.local
    
                         Внимание! 
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.20: 
                         DC2.FIRMA.local
                         [Error details: 9501 (Type: Win32 - Description: Для данного запроса записей в DNS не найдено.)]
                         
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _ldap._tcp.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _ldap._tcp.a2d03bf7-846d-4985-a528-18adb87640a3.domains._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _kerberos._tcp.dc._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _ldap._tcp.dc._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _kerberos._tcp.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _kerberos._udp.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _kpasswd._tcp.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _ldap._tcp.Default-First-Site-Name._sites.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _kerberos._tcp.Default-First-Site-Name._sites.dc._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _ldap._tcp.Default-First-Site-Name._sites.dc._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _kerberos._tcp.Default-First-Site-Name._sites.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _ldap._tcp.gc._mDC2s.FIRMA.local
    
                         Matching A record found at DNS server 90.0.8.20:
                         gc._mDC2s.FIRMA.local
    
                         Внимание! 
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.20: 
                         gc._mDC2s.FIRMA.local
                         
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _gc._tcp.Default-First-Site-Name._sites.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.20:
                         _ldap._tcp.Default-First-Site-Name._sites.gc._mDC2s.FIRMA.local
    
                         Matching CNAME record found at DNS server 90.0.8.19:
                         7d231266-71d3-4a18-9a20-e92624ceadfd._mDC2s.FIRMA.local
    
                         Matching A record found at DNS server 90.0.8.19:
                         DC2.FIRMA.local
    
                         Внимание! 
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.19: 
                         DC2.FIRMA.local
                         [Error details: 9501 (Type: Win32 - Description: Для данного запроса записей в DNS не найдено.)]
                         
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _ldap._tcp.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _ldap._tcp.a2d03bf7-846d-4985-a528-18adb87640a3.domains._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _kerberos._tcp.dc._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _ldap._tcp.dc._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _kerberos._tcp.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _kerberos._udp.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _kpasswd._tcp.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _ldap._tcp.Default-First-Site-Name._sites.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _kerberos._tcp.Default-First-Site-Name._sites.dc._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _ldap._tcp.Default-First-Site-Name._sites.dc._mDC2s.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _kerberos._tcp.Default-First-Site-Name._sites.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _ldap._tcp.gc._mDC2s.FIRMA.local
    
                         Matching A record found at DNS server 90.0.8.19:
                         gc._mDC2s.FIRMA.local
    
                         Внимание! 
                         Отсутствует запись AAAA на DNS-сервере 90.0.8.19: 
                         gc._mDC2s.FIRMA.local
                         
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _gc._tcp.Default-First-Site-Name._sites.FIRMA.local
    
                         Matching  SRV record found at DNS server 90.0.8.19:
                         _ldap._tcp.Default-First-Site-Name._sites.gc._mDC2s.FIRMA.local
    
                   Внимание! Не удается найти регистрации записей для некоторых
                   сетевых адаптеров
             
             Отчет о результатах проверки DNS-серверов, используемых приведенными
             выше контроллерами домена:
             
                DNS-сервер: 208.67.220.220 (<name unavailable>)
                   Все проверки для данного DNS-сервера пройдены
                   
                DNS-сервер: 208.67.222.222 (<name unavailable>)
                   Все проверки для данного DNS-сервера пройдены
                   
                DNS-сервер: 90.0.8.19 (DC2)
                   Все проверки для данного DNS-сервера пройдены
                   Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
                   
                DNS-сервер: 90.0.8.20 (DC1.FIRMA.local.)
                   Все проверки для данного DNS-сервера пройдены
                   Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
                   DNS delegation for the domain  _mDC2s.FIRMA.local. is operational on IP 90.0.8.20
    
                   
             Отчет по результатам проверки DNS:
             
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Домен: FIRMA.local
                   DC2                          PASS WARN PASS PASS WARN WARN n/a  
             
             ......................... FIRMA.local - пройдена проверка DNS
          Проверка пропущена по запросу пользователя: LocatorCheck
          Проверка пропущена по запросу пользователя: Intersite
    


    30 марта 2018 г. 9:10
  • Хорошо.

    Давайте теперь определимся кто такие

    90.0.8.20 - видимо КД?
     90.0.8.19 - видимо второй кд?

    А кто эти тогда?

    208.67.220.220
    208.67.222.222 

    Ну и вроде как SRV записи в DNS не все.

    В прямой зоне, в _msdcs.твойдомен - dc - _tcp записи _kerberos и _ldap обоих кд есть?

    И в gc посмотрите, тоже говорит, что А-записей нет.

    Тогда вообще слабо понимаю как репликация работает

    30 марта 2018 г. 10:27
  • А кто эти тогда?

    OpenDNS это.

    И в gc посмотрите, тоже говорит, что А-записей нет.

    Нет "четырехашек", как только ТС вернет IPv6 на место, они зарегистрируются и эти ошибки уйдут.

    30 марта 2018 г. 10:52
  • 90.0.8.20 - DC1

    90.0.8.19 - DC2

    208.67.220.220 и 208.67.222.222 - это да, OpenDNS. Они нужны нам для более-менее корректной работы Office365 (У нас облачный Exchange). Просто у нас был провайдер Билайн и когда были прописаны его ДНС, то GeoDNS как-то криво работал и у нас очень сильно зависал Outlook у пользователей. Бывший коллега нашел жти OpenDNS стало лучше. Но все равно пинг какой-то долгий до outlook.office365.com > 50, 65мс. Я тут тоже тему создавал как-то по этой проблеме. Сейчас перешли на нового провайдера, у него естественно свои ДНС, которые я не прописывал у себя еще и не пробовал как через них наша почта будет работать.

    По поводу записей.....

    На обоих КД я зашел в ДНС-_msdcs.<мой домен> - DC, есть по две записи _Kerberos для DC1 и _Ldap для DC2

    В разделе GC в _tcp есть 2 записи _ ldap для DC1 и DC2

    В корне GC есть следующее:

    1) 2 А записи для DC1 и DC2

    2) 2 AAAA записи - 2002:5a00:813::5a00:813 и 2002:5a00:814::5a00:814 - это ж IPv6

    30 марта 2018 г. 11:13
  • А кто эти тогда?

    OpenDNS это.

    И в gc посмотрите, тоже говорит, что А-записей нет.

    Нет "четырехашек", как только ТС вернет IPv6 на место, они зарегистрируются и эти ошибки уйдут.

    Галочки верну, но лучше когда все уйдут с работы, на всякий случай, может удаленно сделаю.
    30 марта 2018 г. 11:15
  • Скажите еще друзья пож-та, а глюки эти или непонятное с репликацией, может быть из-за старого домена?

    У нас еще есть один домен на Win2003R2, который свое уже отжил, и в нем остался только один файловый сервер. С которого я пока ни как данные все не перенесу на сервер в основном домене (Наш основной домен с которым Вы мне помогаете разобраться на Windows Server 2008R2). Между этими двумя доменами раннее было настроено доверие. Потом что-то в старом домене видимо в днс неверно настроили и сейчас из нового домена в старый можно попасть по \\<имя сервера>\<шара>, а из старого домена в новый никак! Даже по IP. Но и фиг в общем-то с этим, т.к. как только я освобожу на нашем файл-сервере в основном домене место, я скопирую данные из старого и можно будет удалить вообще доверительные отношения и выключить КД и файл-сервер старого домена.

    Единственное что есть в ДНС в основном домене касаемо старого домена, это в ДНС основного домена в свойствах зоны <мой домен> в "Передаче зон" указан КД старого домена. Благодаря этому я так понимаю работает доступ в старый домен из основного через Доверительные отношения? И эта настройка сделана только на DC1. На DC2 ее нет!

    Но наверное это не влияет? В моем случае реплика идет между КД основного домена. Старый домен тут вроде как в стороне курит.


    • Изменено ItDen 30 марта 2018 г. 11:27
    30 марта 2018 г. 11:25
  • Тогда вперед по шторе и проверять на наличие те записи, на которые ругается test DNS

    Что-то подсказывает, что наведёте порядок с dns - все проблемы уйдут.

    В принципе ничего страшного нет в том, что бы создать руками записи А типа, если они действительно отсутствуют, но не плохо перед этим забекапиться хотя бы webadmin`ом и следить за тем, какие изменения внесёте в dns.

    По сути из ошибок - только ругань на отсутствующие записи

    30 марта 2018 г. 11:30
  • 2) 2 AAAA записи - 2002:5a00:813::5a00:813 и 2002:5a00:814::5a00:814 - это ж IPv6

    Это - адреса, регистрируемые адаптером 6to4 (это такая технология взаимодействия IP V4 и V6), соответствующие адресам IPv4 ваших контроллеров домена. Появились они потому, что вы выбрали для них адреса из публичного диапазона, а для таких адресов по умолчанию служба 6to4 (которая тоже включен по умолчанию) создаёт адаптеры и регистрирует их адреса IPv6.

    Если нет возможности сменить адресацию сети на частный диапазон, а эти адреса мешают - отключите службу 6to4 (если, конечно, вы не используете эту технологию взаимодействия):

    netsh int 6to4 set state disabled


    Слава России!

    30 марта 2018 г. 12:03
  • Это вот эти ошибки?

    Отсутствует запись AAAA на DNS-сервере 90.0.8.19: 
                         DC2.FIRMA.local
                         [Error details: 9501 (Type: Win32 - Description: Для данного запроса записей в DNS не найдено.)]
    Отсутствует запись AAAA на DNS-сервере 90.0.8.20: 
                         gc._mDC2s.FIRMA.local

    30 марта 2018 г. 12:14
  • В DNS "сервер" - "Зона прямого просмотра" - "_msdcs.domain" - "gc" - есть запись типа А/АААА с адресом 90.0.8.20 ?

    Тест DNS говорит, что её там нет

    2 апреля 2018 г. 6:30
  • Ну так что, что-то получилось?
    5 апреля 2018 г. 5:10