none
AD сервер не является приемлемым RRS feed

  • Вопрос

  • Здравствуйте!

    Был сервер AD, был добавлен ещё один. Сутки было всё отлично, dcdiag был без ошибок. Потом был перезагружен новый сервер и перестала работать авторизация у части пользователей

    dcdiag

    Старый сервер term01

    	
    Диагностика сервера каталогов
    
    
    Выполнение начальной настройки:
    
       Выполняется попытка поиска основного сервера...
    
       Основной сервер = term01
    
       * Определен лес AD. 
       Сбор начальных данных завершен.
    
    
    Выполнение обязательных начальных проверок
    
       
       Сервер проверки: Default-First-Site-Name\TERM01
    
          Запуск проверки: Connectivity
    
             ......................... TERM01 - пройдена проверка Connectivity
    
    
    
    Выполнение основных проверок
    
       
       Сервер проверки: Default-First-Site-Name\TERM01
    
          Запуск проверки: Advertising
    
             ......................... TERM01 - пройдена проверка Advertising
    
          Запуск проверки: FrsEvent
    
             ......................... TERM01 - пройдена проверка FrsEvent
    
          Запуск проверки: DFSREvent
    
             За последние 24 часа после предоставления SYSVOL в общий доступ
    
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
    
             репликации SYSVOL могут стать причиной проблем групповой политики. 
             ......................... TERM01 - не пройдена проверка DFSREvent
    
          Запуск проверки: SysVolCheck
    
             ......................... TERM01 - пройдена проверка SysVolCheck
    
          Запуск проверки: KccEvent
    
             ......................... TERM01 - пройдена проверка KccEvent
    
          Запуск проверки: KnowsOfRoleHolders
    
             ......................... TERM01 - пройдена проверка
    
             KnowsOfRoleHolders
    
          Запуск проверки: MachineAccount
    
             ......................... TERM01 - пройдена проверка MachineAccount
    
          Запуск проверки: NCSecDesc
    
             ......................... TERM01 - пройдена проверка NCSecDesc
    
          Запуск проверки: NetLogons
    
             ......................... TERM01 - пройдена проверка NetLogons
    
          Запуск проверки: ObjectsReplicated
    
             ......................... TERM01 - пройдена проверка ObjectsReplicated
    
          Запуск проверки: Replications
    
             [Replications Check,TERM01] Сбой при последней попытке репликации:
    
                Из FS00 в TERM01
    
                Контекст именования: CN=Schema,CN=Configuration,DC=ospk,DC=local
    
                При репликации возникла ошибка (1825):
    
                Ошибка в пакете безопасности.
    
                Сбой возник в 2017-06-19 19:46:11.
    
                Последняя успешная операция была в 2017-06-19 18:46:00. После
    
                последней успешной операции было 
    
                2 сбоев.
    
             [Replications Check,TERM01] Сбой при последней попытке репликации:
    
                Из FS00 в TERM01
    
                Контекст именования: CN=Configuration,DC=ospk,DC=local
    
                При репликации возникла ошибка (1825):
    
                Ошибка в пакете безопасности.
    
                Сбой возник в 2017-06-19 19:46:11.
    
                Последняя успешная операция была в 2017-06-19 19:42:50. После
    
                последней успешной операции было 
    
                1 сбоев.
    
             ......................... TERM01 - не пройдена проверка Replications
    
          Запуск проверки: RidManager
    
             ......................... TERM01 - пройдена проверка RidManager
    
          Запуск проверки: Services
    
             ......................... TERM01 - пройдена проверка Services
    
          Запуск проверки: SystemLog
    
             Возникло предупреждение. Код события (EventID): 0x000727A5
    
                Время создания: 06/19/2017   19:45:15
    
                Строка события:
    
                Служба WinRM не прослушивает запросы WS-Management. 
    
    
             Возникло предупреждение. Код события (EventID): 0x80040020
    
                Время создания: 06/19/2017   19:45:31
    
                Строка события:
    
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен буфер записи. В результате возможно повреждение данных.
    
             Возникло предупреждение. Код события (EventID): 0x80040020
    
                Время создания: 06/19/2017   19:45:31
    
                Строка события:
    
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен буфер записи. В результате возможно повреждение данных.
    
             Возникло предупреждение. Код события (EventID): 0x80040020
    
                Время создания: 06/19/2017   19:45:31
    
                Строка события:
    
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен буфер записи. В результате возможно повреждение данных.
    
             Возникла ошибка. Код события (EventID): 0x0000041F
    
                Время создания: 06/19/2017   19:45:50
    
                Строка события:
    
                Ошибка при обработке групповой политики. Не удалось разрешить имя компьютера. Возможные причины: 
    
    
             Возникла ошибка. Код события (EventID): 0xC0001B61
    
                Время создания: 06/19/2017   19:45:50
    
                Строка события:
    
                Превышение времени ожидания (30000 мс) при ожидании подключения службы "QEMU Guest Agent".
    
             Возникло предупреждение. Код события (EventID): 0x00002724
    
                Время создания: 06/19/2017   19:45:53
    
                Строка события:
    
                Этому компьютеру назначен по крайней мере один динамический IPv6-адрес. Для надежной работы DHCPv6-сервера следует использовать только статические IPv6-адреса.
    
             Возникло предупреждение. Код события (EventID): 0x000727AA
    
                Время создания: 06/19/2017   19:46:04
    
                Строка события:
    
                Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/term01.ospk.local, WSMAN/term01. 
    
    
             Возникло предупреждение. Код события (EventID): 0x000003F6
    
                Время создания: 06/19/2017   19:46:04
    
                Строка события:
    
                Разрешение имен для имени _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.ospk.local. истекло после отсутствия ответа от настроенных серверов DNS.
    
             Возникло предупреждение. Код события (EventID): 0x000003F6
    
                Время создания: 06/19/2017   19:46:27
    
                Строка события:
    
                Разрешение имен для имени win8.ipv6.microsoft.com. истекло после отсутствия ответа от настроенных серверов DNS.
    
             Возникло предупреждение. Код события (EventID): 0x00000090
    
                Время создания: 06/19/2017   20:01:40
    
                Строка события:
    
                Служба времени прекратила объявлять себя как источник точного времени.
    
             Возникло предупреждение. Код события (EventID): 0x00001796
    
                Время создания: 06/19/2017   20:14:20
    
                Строка события:
    
                Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.
    
    
             ......................... TERM01 - не пройдена проверка SystemLog
    
          Запуск проверки: VerifyReferences
    
             ......................... TERM01 - пройдена проверка VerifyReferences
    
       
       
       Выполнение проверок разделов на: ForestDnsZones
    
          Запуск проверки: CheckSDRefDom
    
             ......................... ForestDnsZones - пройдена проверка
    
             CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... ForestDnsZones - пройдена проверка
    
             CrossRefValidation
    
       
       Выполнение проверок разделов на: DomainDnsZones
    
          Запуск проверки: CheckSDRefDom
    
             ......................... DomainDnsZones - пройдена проверка
    
             CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... DomainDnsZones - пройдена проверка
    
             CrossRefValidation
    
       
       Выполнение проверок разделов на: Schema
    
          Запуск проверки: CheckSDRefDom
    
             ......................... Schema - пройдена проверка CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... Schema - пройдена проверка
    
             CrossRefValidation
    
       
       Выполнение проверок разделов на: Configuration
    
          Запуск проверки: CheckSDRefDom
    
             ......................... Configuration - пройдена проверка
    
             CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... Configuration - пройдена проверка
    
             CrossRefValidation
    
       
       Выполнение проверок разделов на: ospk
    
          Запуск проверки: CheckSDRefDom
    
             ......................... ospk - пройдена проверка CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... ospk - пройдена проверка CrossRefValidation
    
       
       Выполнение проверок предприятия на: ospk.local
    
          Запуск проверки: LocatorCheck
    
             ......................... ospk.local - пройдена проверка LocatorCheck
    
          Запуск проверки: Intersite
    
             ......................... ospk.local - пройдена проверка Intersite



    Новый сервер fs00

    Диагностика сервера каталогов
    
    
    Выполнение начальной настройки:
    
       Выполняется попытка поиска основного сервера...
    
       Основной сервер = FS00
    
       * Определен лес AD. 
       Сбор начальных данных завершен.
    
    
    Выполнение обязательных начальных проверок
    
       
       Сервер проверки: Default-First-Site-Name\FS00
    
          Запуск проверки: Connectivity
    
             ......................... FS00 - пройдена проверка Connectivity
    
    
    
    Выполнение основных проверок
    
       
       Сервер проверки: Default-First-Site-Name\FS00
    
          Запуск проверки: Advertising
    
             Внимание: DsGetDcName вернул сведения для \\term01.ospk.local при
    
             попытке получения доступа к FS00.
    
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
    
             ......................... FS00 - не пройдена проверка Advertising
    
          Запуск проверки: FrsEvent
    
             ......................... FS00 - пройдена проверка FrsEvent
    
          Запуск проверки: DFSREvent
    
             За последние 24 часа после предоставления SYSVOL в общий доступ
    
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
    
             репликации SYSVOL могут стать причиной проблем групповой политики. 
             ......................... FS00 - не пройдена проверка DFSREvent
    
          Запуск проверки: SysVolCheck
    
             ......................... FS00 - пройдена проверка SysVolCheck
    
          Запуск проверки: KccEvent
    
             ......................... FS00 - пройдена проверка KccEvent
    
          Запуск проверки: KnowsOfRoleHolders
    
             ......................... FS00 - пройдена проверка KnowsOfRoleHolders
    
          Запуск проверки: MachineAccount
    
             ......................... FS00 - пройдена проверка MachineAccount
    
          Запуск проверки: NCSecDesc
    
             ......................... FS00 - пройдена проверка NCSecDesc
    
          Запуск проверки: NetLogons
    
             Не удается подключиться к общему ресурсу NETLOGON. (\\FS00\netlogon)
    
             [FS00] Сбой операции net use или LsaPolicy с ошибкой 67,
    
             Не найдено сетевое имя..
    
             ......................... FS00 - не пройдена проверка NetLogons
    
          Запуск проверки: ObjectsReplicated
    
             ......................... FS00 - пройдена проверка ObjectsReplicated
    
          Запуск проверки: Replications
    
             ......................... FS00 - пройдена проверка Replications
    
          Запуск проверки: RidManager
    
             ......................... FS00 - пройдена проверка RidManager
    
          Запуск проверки: Services
    
             ......................... FS00 - пройдена проверка Services
    
          Запуск проверки: SystemLog
    
             Возникло предупреждение. Код события (EventID): 0x000727A5
    
                Время создания: 06/19/2017   19:45:50
    
                Строка события:
    
                Служба WinRM не прослушивает запросы WS-Management. 
    
    
             Возникла ошибка. Код события (EventID): 0x0000106A
    
                Время создания: 06/19/2017   19:53:27
    
                Строка события:
    
                Не удалось обновить IP-адрес на интерфейсе Isatap isatap.{548ABAB2-B417-43A2-8C99-5697ED4DC26B}. Тип обновления: 1. Код ошибки: 0x490.
    
             Возникло предупреждение. Код события (EventID): 0x00002724
    
                Время создания: 06/19/2017   19:53:31
    
                Строка события:
    
                Этому компьютеру назначен по крайней мере один динамический IPv6-адрес. Для надежной работы DHCPv6-сервера следует использовать только статические IPv6-адреса.
    
            
             Возникло предупреждение. Код события (EventID): 0x80040099
    
                Время создания: 06/19/2017   20:19:00
    
                Строка события:
    
                Операция ввода-вывода по адресу логического блока  для диска \Device\00000036 (имя PDO: ) выполнена повторно.
    
             Возникла ошибка. Код события (EventID): 0xC004000B
    
                Время создания: 06/19/2017   20:31:58
    
                Строка события:
    
                Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.
    
             Возникла ошибка. Код события (EventID): 0xC004000B
    
                Время создания: 06/19/2017   20:31:59
    
                Строка события:
    
                Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.
    
             Возникла ошибка. Код события (EventID): 0xC004000B
    
                Время создания: 06/19/2017   20:31:59
    
                Строка события:
    
                Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.
    
             Возникла ошибка. Код события (EventID): 0xC004000B
    
                Время создания: 06/19/2017   20:31:59
    
                Строка события:
    
                Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.
    
             Возникла ошибка. Код события (EventID): 0xC004000B
    
                Время создания: 06/19/2017   20:32:00
    
                Строка события:
    
                Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.
    
             Возникла ошибка. Код события (EventID): 0xC004000B
    
                Время создания: 06/19/2017   20:32:00
    
                Строка события:
    
                Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.
    
             ......................... FS00 - не пройдена проверка SystemLog
    
          Запуск проверки: VerifyReferences
    
             ......................... FS00 - пройдена проверка VerifyReferences
    
       
       
       Выполнение проверок разделов на: DomainDnsZones
    
          Запуск проверки: CheckSDRefDom
    
             ......................... DomainDnsZones - пройдена проверка
    
             CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... DomainDnsZones - пройдена проверка
    
             CrossRefValidation
    
       
       Выполнение проверок разделов на: ForestDnsZones
    
          Запуск проверки: CheckSDRefDom
    
             ......................... ForestDnsZones - пройдена проверка
    
             CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... ForestDnsZones - пройдена проверка
    
             CrossRefValidation
    
       
       Выполнение проверок разделов на: Schema
    
          Запуск проверки: CheckSDRefDom
    
             ......................... Schema - пройдена проверка CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... Schema - пройдена проверка
    
             CrossRefValidation
    
       
       Выполнение проверок разделов на: Configuration
    
          Запуск проверки: CheckSDRefDom
    
             ......................... Configuration - пройдена проверка
    
             CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... Configuration - пройдена проверка
    
             CrossRefValidation
    
       
       Выполнение проверок разделов на: ospk
    
          Запуск проверки: CheckSDRefDom
    
             ......................... ospk - пройдена проверка CheckSDRefDom
    
          Запуск проверки: CrossRefValidation
    
             ......................... ospk - пройдена проверка CrossRefValidation
    
       
       Выполнение проверок предприятия на: ospk.local
    
          Запуск проверки: LocatorCheck
    
             ......................... ospk.local - пройдена проверка LocatorCheck
    
          Запуск проверки: Intersite
    
             ......................... ospk.local - пройдена проверка Intersite

    netdom query fsmo

    Хозяин схемы                term01.ospk.local
    Хозяин именования доменов   term01.ospk.local
    PDC                         term01.ospk.local
    Диспетчер пула RID          term01.ospk.local
    Хозяин инфраструктуры       term01.ospk.local
    Команда выполнена успешно.

    Когда-то давно был другой контроллер домена. В журнале DFS на новом сервере вышло

    Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером fs01.ospk.local. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена. 
    Однако этого сервера fs01 давно нет. В управление DFS -> sysvol его нет. В сайтах и доверии то же.

    После чтения гугла попробовал

    https://support.microsoft.com/ru-ru/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-for-dfsr-replicated-sysvol-like-d4-d2-for-frs

    Не смотря на то, что всё прошло вроде как надо опять вышло предупреждение, что для синхронизации он ждет не существующий контроллер домена fs01.
    Что сделать в данном случае? Как убрать не существующий FS01 из репликации?






    19 июня 2017 г. 15:40

Ответы

  • Однако этого сервера fs01 давно нет. В управление DFS -> sysvol его нет. В сайтах и доверии то же.



    Есть такой интересный ключ в реестре - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\SysVols\Seeding SysVols\имя.домена, и в нём может быть параметр "Parent Computer" - посмотрите, нет ли там этого вашего fs01?

    Слава России!


    19 июня 2017 г. 20:56
  • В ntdsutil сделал без особой надежды

    seize pdc
    seize rid master
    seize domain naming master
    seize schema master
    seize infrastructure master

    Репликация заработала. Сейчас смотрю логи, но одно могу сказать точно - sysvol и netlogon появились, с файлами. Новый контроллер домена стал доступен в оснастках.

    Спасибо всем за помощь!

    20 июня 2017 г. 6:32

Все ответы

  • Думаю стоит посмотреть что произошло в винтами на сервере FS00

    Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.


    The opinion expressed by me is not an official position of Microsoft

    19 июня 2017 г. 15:49
    Модератор
  • Проверил поверхность дисков mhdd  - все чисто. Возможно у raid конроллера (raid 1) была ошибка, но он ни на что не ругается, raid помечен как active. Или драйвер.

    P.S. Драйвер raid поменял, сейчас данной ошибки нет, но это не изменило проблем с AD


    19 июня 2017 г. 16:06
  • Однако этого сервера fs01 давно нет. В управление DFS -> sysvol его нет. В сайтах и доверии то же.



    Есть такой интересный ключ в реестре - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\SysVols\Seeding SysVols\имя.домена, и в нём может быть параметр "Parent Computer" - посмотрите, нет ли там этого вашего fs01?

    Слава России!


    19 июня 2017 г. 20:56
  • Спасибо за ключ реестра, попробовал, похоже на движение в нужном направлении.  Но ошибка осталась. Я про:

        СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.

    Репликация, если верить repadmin /showrepl, пошла, ошибки нет. Однако netlogon и sysvol не появились как шары. Да и в папке windows они пустые.


    19 июня 2017 г. 21:29
  • Эта ошибка, скорее всего - от того, что SYSVOL так и не реплицировался (по крайней мере, других причин для этой ошибки в выдаче dcdiag не видно). Добейтесь, чтобы SYSVOL среплицировался - она исчезнет.

    PS Проблема с репликацией SYSVOL может находиться на другом DC. Смотрите журналы событий Репликации DFS на обоих DC. Некоторые ошибки фиксируются только вскоре после запуска службы репликации DFS, поэтому если вам кажется, что ошибок нет - перезапустите службу.

    PPS repadmin проверяет репликацию базы AD, но не SYSVOL.


    Слава России!

    19 июня 2017 г. 22:06
  • В логах после перезапуска службы репликации есть только одно сообщение типа "Сведения", не считая информации об остановке, запуске службы и того, что служба нашла члена репликации.

    "Служба репликации DFS обнаружила, что по крайней мере одно подключение настроено для группы репликации Domain System Volume. "

    Больше ни одного сообщения, ждал после перезапуска минут 20 на двух DC.


    Решил перезагрузить оба сервера и получил ошибку AD на старом рабочем сервере. Пошел гуглить с надеждой на лучшее.

    Этот сервер является владельцем роли FSMO, но не считает ее допустимой. Для раздела, содержащего FSMO, сервер с момента своего перезапуска не выполнил успешную репликацию ни с одним из партнеров. Ошибки репликации мешают проверке этой роли.

    19 июня 2017 г. 23:07
  • Описанная выше ошибка AD на TERM01 - следствие того, что не прошла репликация с FS00 на него. Если ситуация будет критическая, то её можно обойти - отключить требование начальной синхронизации в реестре и КД станет работать владельцем FSMO и без репликации, но так лучше не делать. У вас раньше как раз была была такая ошибка, кстати (в dcdiag  в первом сообщении), причём как раз в этом направлении репликации. Но вы потом сказали, что у вас с repadmin всё в порядке, и я подумал, что ошибка ушла.

    Теперь ищите ошибки репликации с помощью repadmin /showrepl на обоих КД.

    PS Промелькнувший там код ошибки 1825 (RPC_S_SEC_PKG_ERROR) связан, вероятно, с тем, что имя контроллера домена FS00 разрешается не в тот IP-адрес в DNS. Или же, в более худшем случае - проблемами с неправильными или дублирующимися SPN. Смотрите журанлы событий Система обоих КД - нет ли там ошибок Kerberos, содержащих имя одного из КД (dcdiag мог решить, что они слишком старые и не показать их, так что посмотрите глазами). 


    Слава России!


    • Изменено M.V.V. _ 20 июня 2017 г. 1:35
    20 июня 2017 г. 1:24
  • repadmin /showrepl на обоих КД пишет, что успешно.

    Ещё хотел отметить

    1)в "AD пользователи и компьютеры" на новом сервере подключен старый рабочий сервер. Новый сервер помечен как "недоступен" на обоих серверах

    2)в логах dfs (C:\windows\dfs.log) при старте синхронизации на старом рабочем сервере после установки подключения к новому серверу

    +	[Error:9027(0x2343) DownstreamTransport::EstablishConnection downstreamtransport.cpp:3921 2644 C Удаленный партнер сообщил о сбое]
    +	[Error:1753(0x6d9) DownstreamTransport::EstablishConnection downstreamtransport.cpp:3921 2644 W В системе отображения конечных точек не осталось доступных конечных точек.]



    20 июня 2017 г. 2:29
  • В ntdsutil сделал без особой надежды

    seize pdc
    seize rid master
    seize domain naming master
    seize schema master
    seize infrastructure master

    Репликация заработала. Сейчас смотрю логи, но одно могу сказать точно - sysvol и netlogon появились, с файлами. Новый контроллер домена стал доступен в оснастках.

    Спасибо всем за помощь!

    20 июня 2017 г. 6:32