none
Как убедиться в готовности доп. контроллера домена RRS feed

  • Вопрос

  • Был поднят дополнительный контроллер домена Windows 2003 sp2 как подстраховка на случай поломки основного. Операция поднятия AD прошла успешно, появилась шара Sysvol. Репликация проходит успешно:

    Тип события: Уведомление
    Источник события: NtFrs
    Код события: 13516
    Служба репликации файлов больше не препятствует компьютеру DC2_name стать контроллером домена. Системный том был успешно инициализирован и служба NetLogon была уведомлена о том, что системный том подготовлен и к нему может быть открыт общий доступ как к общему ресурсу SYSVOL. 

    Одно мне не понятно: когда я на втором КД указываю в качестве DNS-сервера его самого, то после перезагрузки при попытке залогиниться появляется ошибка о не нахождении домена, а в журнале регистрируется ошибка:

    Тип события: Ошибка
    Источник события: Winlogon
    Код события: 1219
    Отказано во входе в систему для DomainName\Администратор. Не удалось получить конфигурацию пользователя сервера терминалов. Ошибка: Указанный домен не существует или к нему невозможно подключиться.

    Если в качестве DNS-сервера указать первый КД, то всё работает нормально. Но как быть в случае отказа первого КД?

    Как грамотно убедится, что второй КД готов успешно взять на себя роль КД в случае выхода со строя основного? Нужно ли для этого временно отключить основной сервер от сети и попробовать присоединить новую раб. станцию к домену? Не будет ли негативных последствий в результате? (основной КД автоматически восстановит свою функцию после включения?)


    • Изменено yurybx 17 апреля 2012 г. 7:01
    10 апреля 2012 г. 14:24

Ответы

  • В выходной день выключил первый КД (сделав предварительно его бэкап) и проверил работу домена: политики, пользователи, ввод в домен - всё работает.

    Тему можно закрыть.

    23 апреля 2012 г. 6:20

Все ответы

  • Вот что ещё заметил: после создания второго КД на первом (только на первом!) начала появляться ошибка после каждой перезагрузки

    Тип события: Предупреждение
    Источник события: NTDS Replication
    Код события: 2088
    Время: 6:35:42
    Active Directory не может использовать DNS для разрешения указанного ниже IP—адреса исходного контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютеров и их паролей, Active Directory была успешно реплицирована с помощью NetBIOS или полное доменное имя исходного контроллера домена. 

    Прошёлся по статье http://support.microsoft.com/kb/824449/en-us - не нашёл причины.

    Обратил внимание на то, что судя по журналам сначала запускается служба каталогов:

    Тип события: Уведомление
    Источник события: NTDS General
    Код события: 1000
    Время: 6:34:07
    Завершен запуск службы каталогов Active Directory, версия 5.2.3790.3959 

    Потом запускается служба DNS:

    Тип события: Уведомление
    Источник события: DNS
    Код события: 2
    Время: 6:35:42
    DNS-сервер запущен.

    И одновременно с этим событием регистрируется ошибка 2088.

    Нормальный ли это порядок запуска служб?

    Судя по всему - нормальный, т. к. на втором КД такой же порядок, и ошибок нет.

    К стати, одновременно с ошибкой регистрируется событие об успешности обновления AD:

    Тип события: Уведомление
    Источник события: NTDS General
    Код события: 1394
    Время: 6:35:42
    Все проблемы, мешавшие обновлению базы данных Active Directory, были устранены. Новые попытки обновления базы данных Active Directory успешно выполняются. Служба сетевого входа в систему вновь запущена.

    • Изменено yurybx 11 апреля 2012 г. 9:50 Дополнение
    11 апреля 2012 г. 9:45
  • > Нормальный ли это порядок запуска служб?

    Ну, судя по тому, что сначала вас уведомлют о том AD, не может использовать DNS, а вместо этого будет использовать NETBIOS, и только после этого стартует DNS, то это не нормально.

    Можно попробовать сделать службу netlogon завивисой от службы DNS, чтобы она не стартовала раньше времени.

    DNS  на втором (новом) DC установлен и работает? Зоны интегрированны в AD или нет?


    my blog: http://shserg.ru/


    • Изменено s.h.s. _ 11 апреля 2012 г. 10:19
    11 апреля 2012 г. 10:19
  • Спасибо за советы!

    Сделал netlogon зависимой от DNS. Завтра после ночного перезапуска сервера посмотрю, что будет в журнале.

    DNS на втором DC установлен и работает. Зоны _msdcs.DomainName.local и DomainName.local интегрированы в AD. Работоспособность DNS-сервера на втором КД проверял указанием в качестве DNS-сервера его самого и давал команду nslookup <имя_какой-нибуть_машины_в_домене>. Имя резолвится нормально, правда в первой строке имеем "Non existent domain":

    *** Can't find server name for address 10.1.1.1: Non-existent domain
    Server:  UnKnown
    Address:  10.1.1.1
    Name:    machineName.DomainName.local
    Address:  10.1.1.23

    К стати, точно такой же вывод даёт nslookup и на первом КД (так было и до поднятия второго КД). Но, насколько я понимаю, это из-за отсутствия зон обратного просмотра в DNS.

    И ещё. Заметил, что когда на втором КД в качестве DNS-сервера прописан он сам и после перезагрузки нельзя на нём залогиниться, то подождав минут 5 можно логиниться нормально. 

    Также заметил, что на втором КД в оснастке "Group policy management" отсутствуют сайты! На основном КД изначально было и есть два сайта. Нормально ли это?
    • Изменено yurybx 11 апреля 2012 г. 12:10 Дополнение
    11 апреля 2012 г. 12:06
  • давайте все по порядку и сначала.

    покажите ipconfig /all, netdiag /q, dcdiag /q с обоих DC


    my blog: http://shserg.ru/

    11 апреля 2012 г. 14:25
  • Сегодня после ночного перезапуска ничего не изменилось: снова вылезло предупреждение 2088 (при чём порядок запуска служб судя по журналу - не изменился); снова нельзя залогиниться на втором КД, если у него в качестве DNS прописан он сам ("Не удалось войти в систему из-за следующей ошибки: Указанный домен не существует или к нему невозможно подключиться...").

    Дополнительно - вылезла ошибка на DC1 перед рестартом:

    Тип события: Ошибка
    Источник события: DNS
    Код события: 4015
    Время: 6:30:37
    DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.

    По журналу видно, что эта ошибка появлялась и перед поднятием второго КД время от времени, но только перед рестартом КД. 

    Ещё заметил, что после поднятия второго КД, на первом начали появляться ошибки W32Time после каждого рестарта:

    Тип события: Ошибка
    Источник события: W32Time
    Код события: 17
    Время: 6:34:53
    NTP-клиент поставщика времени: произошла ошибка при поиске в DNS настроенного вручную узла 'ntp.time.in.ua,ntp2.time.in.ua,nist1-ny.ustiming.org,nist1-pa.ustiming.org'. NTP-клиент вновь повторит поиск в DNS через 15 мин. Ошибка: Неизвестная служба. Эта служба отсутствует в указанном пространстве имен. (0x8007277C)

    Тип события: Ошибка

    Источник события: W32Time
    Код события: 29
    Время: 6:34:53
    NTP-клиент поставщика времени настроен на получение времени из одного  или нескольких источников, однако ни один из этих источников недоступен.  Попытки подключения к источнику не будут выполняться в течение 15 мин. NTP-клиент не имеет источника правильного времени. 

    Хотя по журналу видно, что позже синхронизация времени всё же выполняется:

    Тип события: Уведомление
    Источник события: W32Time
    Код события: 37
    Время: 6:49:53
    NTP-клиент поставщика времени получает правильные данные о времени от ntp.time.in.ua (ntp.m|0x0|10.1.1.1:123->62.149.0.30:123).

    Тип события: Уведомление
    Источник события: W32Time
    Код события: 35
    Время: 6:50:12
    Служба времени выполняет синхронизацию системного времени с источником времени ntp.time.in.ua (ntp.m|0x0|10.1.1.1:123->62.149.0.30:123).

    Теперь выкладываю то, что Вы запросили:

    С первого контроллера домена

    ipconfig /all

       

    Имя компьютера  . . . . . . . . . : DC1_name
       Основной DNS-суффикс  . . . . . . : DomainName.local
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : DomainName.local

    Подключение по локальной сети 3 - Ethernet адаптер:
       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection with I/O Acceleration
       Физический адрес. . . . . . . . . : 00-30-48-63-22-AE
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.1.1.1
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 10.1.1.220
       DNS-серверы . . . . . . . . . . . : 10.1.1.1

    netdiag /q

        Computer Name: DC1_name
        DNS Host Name: DC1_name.DomainName.local
        System info : Microsoft Windows Server 2003 (Build 3790)
        Processor : x86 Family 6 Model 15 Stepping 7, GenuineIntel
        List of installed hotfixes : 
            KB955536
            KB957097
            KB958644
            KB958687
            Q147222
        GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
        [WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
        GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

    Per interface results:
        Adapter : Подключение по локальной сети 3
            Host Name. . . . . . . . . : DC1_name
            IP Address . . . . . . . . : 10.1.1.1
            Subnet Mask. . . . . . . . : 255.255.255.0
            Default Gateway. . . . . . : 10.1.1.220
            Dns Servers. . . . . . . . : 10.1.1.1

            WINS service test. . . . . : Skipped

    Global results:
        [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '10.1.1.1' and other DCs also have some of the names registered.

    IP Security test . . . . . . . . . : Skipped

    The command completed successfully

    dcdiag /q

    <<< Пусто >>>

    12 апреля 2012 г. 6:43
  • Со второго контроллера домена, в качестве DNS - первый КД

    ipconfig /all

    Настройка протокола IP для Windows
       Имя компьютера  . . . . . . . . . : DC2_name
       Основной DNS-суффикс  . . . . . . : DomainName.local
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : нет
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : DomainName.local

    Подключение по локальной сети 2 - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Физический адрес. . . . . . . . . : 8C-89-A5-9B-92-17
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.1.1.200
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 10.1.1.220
       DNS-серверы . . . . . . . . . . . : 10.1.1.1

    netdiag /q

        Computer Name: DC2_name
        DNS Host Name: DC2.DomainName.local
        System info : Microsoft Windows Server 2003 (Build 3790)
        Processor : x86 Family 16 Model 10 Stepping 0, AuthenticAMD
        List of installed hotfixes : 
            KB958644
            Q147222
        GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
        [WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
        GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

    Per interface results:
        Adapter : Подключение по локальной сети 2
            Host Name. . . . . . . . . : DC2_name
            IP Address . . . . . . . . : 10.1.1.200
            Subnet Mask. . . . . . . . : 255.255.255.0
            Default Gateway. . . . . . : 10.1.1.220
            Dns Servers. . . . . . . . : 10.1.1.1

            WINS service test. . . . . : Skipped

    Global results:
        [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '10.1.1.1' and other DCs also have some of the names registered.

    IP Security test . . . . . . . . . : Skipped

    The command completed successfully

    dcdiag /q

             An Error Event occured.  EventID: 0xC25A001D
                Time Generated: 04/12/2012   09:12:38
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC25A001D
                Time Generated: 04/12/2012   09:49:32
                (Event String could not be retrieved)
             ......................... DC2_name failed test systemlog

    Со второго контроллера домена, в качестве DNS - он сам

    ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : DC2_name
       Основной DNS-суффикс  . . . . . . : DomainName.local
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : нет
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : DomainName.local

    Подключение по локальной сети 2 - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Физический адрес. . . . . . . . . : 8C-89-A5-9B-92-17
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.1.1.200
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 10.1.1.220
       DNS-серверы . . . . . . . . . . . : 10.1.1.200


    netdiag /q

        Computer Name: DC2_name
        DNS Host Name: DC2_name.DomainName.local
        System info : Microsoft Windows Server 2003 (Build 3790)
        Processor : x86 Family 16 Model 10 Stepping 0, AuthenticAMD
        List of installed hotfixes : 
            KB958644
            Q147222
        GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
        [WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
        GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

    Per interface results:

        Adapter : Подключение по локальной сети 2

            Host Name. . . . . . . . . : DC2_name
            IP Address . . . . . . . . : 10.1.1.200
            Subnet Mask. . . . . . . . : 255.255.255.0
            Default Gateway. . . . . . : 10.1.1.220
            Dns Servers. . . . . . . . : 10.1.1.200

            WINS service test. . . . . : Skipped

    Global results:
        [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '10.1.1.200' and other DCs also have some of the names registered.

    Trust relationship test. . . . . . : Failed
        [FATAL] Secure channel to domain 'DomainName' is broken. [ERROR_NO_LOGON_SERVERS]

    IP Security test . . . . . . . . . : Skipped

    The command completed successfully

    dcdiag /q

             [Replications Check,DC2_name] A recent replication attempt failed:
                From DC1_name to DC2_name
                Naming Context: CN=Schema,CN=Configuration,DC=DomainName,DC=local
                The replication generated an error (1908):
                Не удается найти контроллер этого домена.
                The failure occurred at 2012-04-12 09:51:58.
                The last success occurred at 2012-04-12 07:55:32.
                3 failures have occurred since the last success.
                Kerberos Error.
                A KDC was not found to authenticate the call.
                Check that sufficient domain controllers are available.
             Warning: DC2_name is not advertising as a time server.
             ......................... DC2_name failed test Advertising
             An Warning Event occured.  EventID: 0x80250828
                Time Generated: 04/12/2012   09:50:34
                (Event String could not be retrieved)
             ......................... DC2_name failed test kccevent
             An Error Event occured.  EventID: 0xC25A001D
                Time Generated: 04/12/2012   09:12:38
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC25A001D
                Time Generated: 04/12/2012   09:49:32
                (Event String could not be retrieved)
             ......................... DC2_name failed test systemlog

    12 апреля 2012 г. 7:13
  • >Со второго контроллера домена, в качестве DNS - он сам

    Не удается найти контроллер этого домена.

    Очевидно, что DNS на втором контроллере не работает или работает неправильно, или не содержит всей необходимой информации.

    Покажите dnscmd /info и dnscmd /enumzones с обоих ваших DC.


    my blog: http://shserg.ru/


    • Изменено s.h.s. _ 12 апреля 2012 г. 15:32
    12 апреля 2012 г. 15:32
  • С первого контроллера домена

    dnscmd /info

    Query result:
    Server info
            server name              = DC1_name.DomainName.local
            version                  = 0ECE0205 (5.2 build 3790)
            DS container             = cn=MicrosoftDNS,cn=System,DC=DomainName,DC=local
            forest name              = DomainName.local
            domain name              = DomainName.local
            builtin domain partition = ForestDnsZones.DomainName.local
            builtin forest partition = DomainDnsZones.DomainName.local
            last scavenge cycle      = not since restart (0)
      Configuration:
            dwLogLevel               = 00000000
            dwDebugLevel             = 00000000
            dwRpcProtocol            = FFFFFFFF
            dwNameCheckFlag          = 00000002
            cAddressAnswerLimit      = 0
            dwRecursionRetry         = 3
            dwRecursionTimeout       = 15
            dwDsPollingInterval      = 180
      Configuration Flags:
            fBootMethod                  = 3
            fAdminConfigured             = 1
            fAllowUpdate                 = 1
            fDsAvailable                 = 1
            fAutoReverseZones            = 1
            fAutoCacheUpdate             = 0
            fSlave                       = 0
            fNoRecursion                 = 0
            fRoundRobin                  = 1
            fStrictFileParsing           = 0
            fLooseWildcarding            = 0
            fBindSecondaries             = 1
            fWriteAuthorityNs            = 0
            fLocalNetPriority            = 1
      Aging Configuration:
            ScavengingInterval           = 0
            DefaultAgingState            = 0
            DefaultRefreshInterval       = 168
            DefaultNoRefreshInterval     = 168
      ServerAddresses:
     Addr Count = 1
                    Addr[0] => 10.1.1.1
      ListenAddresses:
            NULL IP Array.
      Forwarders:
     Addr Count = 1
                    Addr[0] => 10.1.1.220
            forward timeout  = 5
            slave            = 0
    Command completed successfully.

    dnscmd /enumzones

    Enumerated zone list:

            Zone count = 3

     Zone name                      Type       Storage         Properties

     .                              Cache      AD-Legacy
     _msdcs.DomainName.local             Primary    AD-Forest       Secure
     DomainName.local                    Primary    AD-Domain       Update

    Command completed successfully.


    Со второго контроллера домена

    dnscmd /info

    Query result:
    Server info
            server name              = DC2_name.DomainName.local
            version                  = 0ECE0205 (5.2 build 3790)
            DS container             = cn=MicrosoftDNS,cn=System,DC=DomainName,DC=local
            forest name              = DomainName.local
            domain name              = DomainName.local
            builtin domain partition = ForestDnsZones.DomainName.local
            builtin forest partition = DomainDnsZones.DomainName.local
            last scavenge cycle      = not since restart (0)
      Configuration:
            dwLogLevel               = 00000000
            dwDebugLevel             = 00000000
            dwRpcProtocol            = FFFFFFFF
            dwNameCheckFlag          = 00000002
            cAddressAnswerLimit      = 0
            dwRecursionRetry         = 3
            dwRecursionTimeout       = 15
            dwDsPollingInterval      = 180
      Configuration Flags:
            fBootMethod                  = 3
            fAdminConfigured             = 1
            fAllowUpdate                 = 1
            fDsAvailable                 = 1
            fAutoReverseZones            = 1
            fAutoCacheUpdate             = 0
            fSlave                       = 0
            fNoRecursion                 = 0
            fRoundRobin                  = 1
            fStrictFileParsing           = 0
            fLooseWildcarding            = 0
            fBindSecondaries             = 1
            fWriteAuthorityNs            = 0
            fLocalNetPriority            = 1
      Aging Configuration:
            ScavengingInterval           = 0
            DefaultAgingState            = 0
            DefaultRefreshInterval       = 168
            DefaultNoRefreshInterval     = 168
      ServerAddresses:
     Addr Count = 1
                    Addr[0] => 10.1.1.200
      ListenAddresses:
            NULL IP Array.
      Forwarders:
     Addr Count = 1
                    Addr[0] => 10.1.1.220
            forward timeout  = 5
            slave            = 0
    Command completed successfully.

    dnscmd /enumzones

    Enumerated zone list:

            Zone count = 3

     Zone name                      Type       Storage         Properties

     .                              Cache      AD-Legacy
     _msdcs.DomainName.local             Primary    AD-Forest       Secure
     DomainName.local                    Primary    AD-Domain       Update

    Command completed successfully.
    • Изменено yurybx 13 апреля 2012 г. 5:54
    13 апреля 2012 г. 5:42
  • покажите DCDIAG /TEST:DNS /V /S:DC2_name


    my blog: http://shserg.ru/

    13 апреля 2012 г. 13:38
  • DCDIAG /TEST:DNS /V /S:DC2_name

    Domain Controller Diagnosis

    Performing initial setup:
    * Connecting to directory service on server DC2_name.
    * Collecting site info.
    * Identifying all servers.
    * Identifying all NC cross-refs.
    * Found 2 DC(s). Testing 1 of them.
    Done gathering initial info.

    Doing initial required tests

    Testing server: MainOffice\DC2_name
    Starting test: Connectivity
    * Active Directory LDAP Services Check
    * Active Directory RPC Services Check
    ......................... DC2_name passed test Connectivity

    Doing primary tests

    Testing server: MainOffice\DC2_name
    Test omitted by user request: Replications
    Test omitted by user request: Topology
    Test omitted by user request: CutoffServers
    Test omitted by user request: NCSecDesc
    Test omitted by user request: NetLogons
    Test omitted by user request: Advertising
    Test omitted by user request: KnowsOfRoleHolders
    Test omitted by user request: RidManager
    Test omitted by user request: MachineAccount
    Test omitted by user request: Services
    Test omitted by user request: OutboundSecureChannels
    Test omitted by user request: ObjectsReplicated
    Test omitted by user request: frssysvol
    Test omitted by user request: frsevent
    Test omitted by user request: kccevent
    Test omitted by user request: systemlog
    Test omitted by user request: VerifyReplicas
    Test omitted by user request: VerifyReferences
    Test omitted by user request: VerifyEnterpriseReferences
    Test omitted by user request: CheckSecurityError

    DNS Tests are running and not hung. Please wait a few minutes...

    Running partition tests on : ForestDnsZones
    Test omitted by user request: CrossRefValidation
    Test omitted by user request: CheckSDRefDom

    Running partition tests on : DomainDnsZones
    Test omitted by user request: CrossRefValidation
    Test omitted by user request: CheckSDRefDom

    Running partition tests on : Schema
    Test omitted by user request: CrossRefValidation
    Test omitted by user request: CheckSDRefDom

    Running partition tests on : Configuration
    Test omitted by user request: CrossRefValidation
    Test omitted by user request: CheckSDRefDom

    Running partition tests on : DomainName
    Test omitted by user request: CrossRefValidation
    Test omitted by user request: CheckSDRefDom

    Running enterprise tests on : DomainName.local
    Test omitted by user request: Intersite
    Test omitted by user request: FsmoCheck
    Starting test: DNS
    Test results for domain controllers:

    DC: DC2_name.DomainName.local
    Domain: DomainName.local


    TEST: Authentication (Auth)
    Authentication test: Successfully completed

    TEST: Basic (Basc)
    Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Serv
    ice Pack level: 2.0) is supported
    NETLOGON service is running
    kdc service is running
    DNSCACHE service is running
    DNS service is running
    DC is a DNS server
    Network adapters information:
    Adapter [00000008] Realtek PCIe GBE Family Controller:
    MAC address is 8C:89:A5:9B:92:17
    IP address is static
    IP address: 10.1.1.200
    DNS servers:
    10.1.1.1 (DC1_name.DomainName.local.) [Valid]
    The A record for this DC was found
    The SOA record for the Active Directory zone was found
    The Active Directory zone on this DC/DNS server was found (pri
    mary)
    Root zone on this DC/DNS server was not found

    TEST: Forwarders/Root hints (Forw)
    Recursion is enabled
    Forwarders Information:
    10.1.1.220 (<name unavailable>) [Valid]

    TEST: Delegations (Del)
    Delegation information for the zone: DomainName.local.
    Delegated domain name: _msdcs.DomainName.local.
    DNS server: DC1_name.DomainName.local. IP:10.1.1.1 [Valid]

    TEST: Dynamic update (Dyn)
    Warning: Dynamic update is enabled on the zone but not secure
    DomainName.local.
    Test record _dcdiag_test_record added successfully in zone Alk
    iv.local.
    Test record _dcdiag_test_record deleted successfully in zone A
    lkiv.local.

    TEST: Records registration (RReg)
    Network Adapter [00000008] Realtek PCIe GBE Family Controller:

    Matching A record found at DNS server 10.1.1.1:
    DC2_name.DomainName.local

    Matching CNAME record found at DNS server 10.1.1.1:
    13ce65d5-b4ec-4ffe-b5d1-ccad6d5946c1._msdcs.DomainName.local

    Matching DC SRV record found at DNS server 10.1.1.1:
    _ldap._tcp.dc._msdcs.DomainName.local


    Summary of test results for DNS servers used by the above domain contro
    llers:

    DNS server: 10.1.1.1 (DC1_name.DomainName.local.)
    All tests passed on this DNS server
    This is a valid DNS server
    Name resolution is funtional. _ldap._tcp SRV record for the fores
    t root domain is registered
    Delegation to the domain _msdcs.DomainName.local. is operational

    DNS server: 10.1.1.220 (<name unavailable>)
    All tests passed on this DNS server
    This is a valid DNS server

    Summary of DNS test results:

    Auth Basc Forw Del Dyn RReg Ext
    ________________________________________________________________
    Domain: DomainName.local
    DC2_name PASS PASS PASS PASS WARN PASS n/a

      ......................... DomainName.local passed test DNS


    • Изменено yurybx 17 апреля 2012 г. 7:00
    13 апреля 2012 г. 15:37
  • Мне не совсем понятно следующее:

    зачем на DC1_name включена маршрутизация?

    зачем на обоих DC указан в качестве шлюза один из них: DC2_name (10.1.1.220) ?

    зачем в качестве форвардеров на обоих DNS-серверах указан один из них: : DC2_name (10.1.1.220)?

    >Тип узла. . . . . . . . . . . . . : неизвестный

    Это лучше исправить, т.к. у вас не используется WINS, то подойдет B-node


    my blog: http://shserg.ru/

    13 апреля 2012 г. 18:20
  • Вы не совсем так поняли :)  DC2_name имеет ip-адрес 10.1.1.200 (двести), а маршрутизатор - 10.1.1.220 (двести двадцать). Их легко спутать, т.к. ассоциативно 200 немного похоже на 220. Действительно на обоих серверах включена маршрутизация (шлюз 10.1.1.220), потому что ни один из них не подключён непосредственно к интернету. Зато к интернету непосредственно подключён шлюз, который раздаёт интернет всем компьютерам посредством NAT. Его адрес - 10.1.1.220.

    Та же история с DNS-форвардером. Для того, чтобы сами сервера и все компьютеры могли резолвить имена в интернете, должен быть DNS-сервер, который знает эти имена, или знает, где их взять. Эту роль выполняет шлюз. На шлюзе поднят кеширующий DNS-сервер, который "смотрит" в мир. Он и прописан DNS-форвардером на обоих DC.

    Что касается B-node - спасибо за подсказку, займусь этим вопросом.

    Спасибо за ответы!


    • Изменено yurybx 14 апреля 2012 г. 14:19
    14 апреля 2012 г. 14:02
  • >Вы не совсем так поняли :) 

    Посыпаю голову пеплом. Был невнимателен.

    Node-type конечно лучше поправить, но это не приведет к решению вашей проблемылемы. Честно говоря, не совсем понимаю, как такая ситуация вообще может иметь место быть (репликация работает, но при этом интегрированные в AD зоны DNS содержат разную информацию).


    my blog: http://shserg.ru/

    16 апреля 2012 г. 5:01
  • Первый КД был установлен задолго до меня и пережил нескольких сисадминов. Судя по рассказам, на нём были вирусы, которые когда-то вычищали. Сейчас он точно чист, ни в некоторых ситуациях ведёт себя странно: во время установки или удаления любой программы висит минут 10, после чего успешно заканчивает операцию; при установке второго КД возникла проблема с репликацией, которая решилась правкой какого-то ключа в реестре и перезапуском NTFRS на основном КД (какого - не помню, на работе есть ссылка). Короче одному Богу известно, что там на нём творилось до моего прихода. Однако переустанавливать КД не собираюсь: слишком много всего придётся настраивать заново. Тем более, что в остальном сервер работает нормально.

    Посему следующий вопрос: могу ли я вручную поправить информацию в зонах DNS второго КД, чтобы он мог брать на себя роль КД?


    • Изменено yurybx 16 апреля 2012 г. 16:54
    16 апреля 2012 г. 16:52
  • Можно автоматически выполнить перерегистрацию SRV-записей: http://support.microsoft.com/kb/556002

    А вообще было бы любопытно взглянуть на файлы Netlogon.dns с ваших DC.

    да, а команду DCDIAG /TEST:DNS /V /S:DC2_name вы выполняли, когда в качестве DNS на втором Dc был указан первый DC?


    my blog: http://shserg.ru/

    16 апреля 2012 г. 17:09
  • С первого контроллера домена

    Netlogon.dns

    _ldap._tcp.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.pdc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.gc._msdcs.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.gc._msdcs.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _ldap._tcp.50e94031-2594-419d-a1e4-eb1f21935831.domains._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    35433e58-8ed6-4333-8166-6cc1d09ef539._msdcs.DomainName.local. 600 IN CNAME DC1_name.DomainName.local.
    _kerberos._tcp.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _kerberos._tcp.Default-First-Site._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _ldap._tcp.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _kerberos._tcp.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _kerberos._tcp.Default-First-Site._sites.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _gc._tcp.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _gc._tcp.Default-First-Site._sites.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _kerberos._udp.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _kpasswd._tcp.DomainName.local. 600 IN SRV 0 100 464 DC1_name.DomainName.local.
    _kpasswd._udp.DomainName.local. 600 IN SRV 0 100 464 DC1_name.DomainName.local.
    _ldap._tcp.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.TAPI3Directory.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.TAPI3Directory.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    DomainName.local. 600 IN A 10.1.1.1
    gc._msdcs.DomainName.local. 600 IN A 10.1.1.1
    TAPI3Directory.DomainName.local. 600 IN A 10.1.1.1
    DomainDnsZones.DomainName.local. 600 IN A 10.1.1.1
    ForestDnsZones.DomainName.local. 600 IN A 10.1.1.1
    _ldap._tcp.MainOffice._sites.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.gc._msdcs.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _kerberos._tcp.MainOffice._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _kerberos._tcp.MainOffice._sites.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _gc._tcp.MainOffice._sites.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.TAPI3Directory.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.gc._msdcs.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _kerberos._tcp.RemoteOffice2._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _kerberos._tcp.RemoteOffice2._sites.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _gc._tcp.RemoteOffice2._sites.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.TAPI3Directory.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.gc._msdcs.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _kerberos._tcp.RemoteOffice1._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _kerberos._tcp.RemoteOffice1._sites.DomainName.local. 600 IN SRV 0 100 88 DC1_name.DomainName.local.
    _gc._tcp.RemoteOffice1._sites.DomainName.local. 600 IN SRV 0 100 3268 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.TAPI3Directory.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC1_name.DomainName.local.

    Со второго контроллера домена

    Netlogon.dns

    DomainName.local. 600 IN A 10.1.1.200
    _ldap._tcp.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.50e94031-2594-419d-a1e4-eb1f21935831.domains._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    13ce65d5-b4ec-4ffe-b5d1-ccad6d5946c1._msdcs.DomainName.local. 600 IN CNAME DC2_name.DomainName.local.
    _kerberos._tcp.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kerberos._tcp.Default-First-Site._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kerberos._tcp.RemoteOffice1._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kerberos._tcp.RemoteOffice2._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kerberos._tcp.MainOffice._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _ldap._tcp.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.dc._msdcs.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _kerberos._tcp.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kerberos._tcp.MainOffice._sites.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kerberos._udp.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kpasswd._tcp.DomainName.local. 600 IN SRV 0 100 464 DC2_name.DomainName.local.
    _kpasswd._udp.DomainName.local. 600 IN SRV 0 100 464 DC2_name.DomainName.local.
    DomainDnsZones.DomainName.local. 600 IN A 10.1.1.200
    _ldap._tcp.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    ForestDnsZones.DomainName.local. 600 IN A 10.1.1.200
    _ldap._tcp.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.MainOffice._sites.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _kerberos._tcp.Default-First-Site._sites.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kerberos._tcp.RemoteOffice1._sites.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _kerberos._tcp.RemoteOffice2._sites.DomainName.local. 600 IN SRV 0 100 88 DC2_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.DomainDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.Default-First-Site._sites.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.RemoteOffice1._sites.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    _ldap._tcp.RemoteOffice2._sites.ForestDnsZones.DomainName.local. 600 IN SRV 0 100 389 DC2_name.DomainName.local.
    • Изменено yurybx 17 апреля 2012 г. 6:48
    17 апреля 2012 г. 6:33
  • Да, DCDIAG /TEST:DNS /V /S:DC2_name выполнял, когда DNS-ом был прописан первый КД. Вот вывод этой команды со второго КД, когда в качестве DNS - он сам:

    Domain Controller Diagnosis

    Performing initial setup:
       * Connecting to directory service on server DC2_name.
       * Collecting site info.
       * Identifying all servers.
       * Identifying all NC cross-refs.
       * Found 2 DC(s). Testing 1 of them.
       Done gathering initial info.

    Doing initial required tests
       
       Testing server: MainOffice\DC2_name
          Starting test: Connectivity
             * Active Directory LDAP Services Check
             * Active Directory RPC Services Check
             ......................... DC2_name passed test Connectivity

    Doing primary tests
       
       Testing server: MainOffice\DC2_name
          Test omitted by user request: Replications
          Test omitted by user request: Topology
          Test omitted by user request: CutoffServers
          Test omitted by user request: NCSecDesc
          Test omitted by user request: NetLogons
          Test omitted by user request: Advertising
          Test omitted by user request: KnowsOfRoleHolders
          Test omitted by user request: RidManager
          Test omitted by user request: MachineAccount
          Test omitted by user request: Services
          Test omitted by user request: OutboundSecureChannels
          Test omitted by user request: ObjectsReplicated
          Test omitted by user request: frssysvol
          Test omitted by user request: frsevent
          Test omitted by user request: kccevent
          Test omitted by user request: systemlog
          Test omitted by user request: VerifyReplicas
          Test omitted by user request: VerifyReferences
          Test omitted by user request: VerifyEnterpriseReferences
          Test omitted by user request: CheckSecurityError

    DNS Tests are running and not hung. Please wait a few minutes...
       
       Running partition tests on : ForestDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom
       
       Running partition tests on : DomainDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom
       
       Running partition tests on : Schema
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom
       
       Running partition tests on : Configuration
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom
       
       Running partition tests on : DomainName
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom
       
       Running enterprise tests on : DomainName.local
          Test omitted by user request: Intersite
          Test omitted by user request: FsmoCheck
          Starting test: DNS
             Test results for domain controllers:
                
                DC: DC2_name.DomainName.local
                Domain: DomainName.local

                      
                   TEST: Authentication (Auth)
                      Authentication test: Successfully completed
                      
                   TEST: Basic (Basc)
                       Microsoft(R) Windows(R) Server 2003, Enterprise Edition (Service Pack level: 2.0) is supported
                      NETLOGON service is running
                      kdc service is running
                      DNSCACHE service is running
                      DNS service is running
                      DC is a DNS server
                      Network adapters information:
                      Adapter [00000008] Realtek PCIe GBE Family Controller:
                         MAC address is 8C:89:A5:9B:92:17
                         IP address is static
                         IP address: 10.1.1.200
                         DNS servers:
                            10.1.1.200 (<name unavailable>) [Valid]
                      The A record for this DC was found
                      The SOA record for the Active Directory zone was found
                      The Active Directory zone on this DC/DNS server was found (primary)
                      Root zone on this DC/DNS server was not found
                      
                   TEST: Forwarders/Root hints (Forw)
                      Recursion is enabled
                      Forwarders Information: 
                         10.1.1.220 (<name unavailable>) [Valid] 
                      
                   TEST: Delegations (Del)
                      Delegation information for the zone: DomainName.local.
                         Delegated domain name: _msdcs.DomainName.local.
                            DNS server: DC1_name.DomainName.local. IP:10.1.1.1 [Valid] 
                      
                   TEST: Dynamic update (Dyn)
                      Warning: Dynamic update is enabled on the zone but not secure DomainName.local.
                      Test record _dcdiag_test_record added successfully in zone DomainName.local.
                      Test record _dcdiag_test_record deleted successfully in zone DomainName.local.
                      
                   TEST: Records registration (RReg)
                      Network Adapter [00000008] Realtek PCIe GBE Family Controller:
                         Matching A record found at DNS server 10.1.1.200:
                         DC2_name.DomainName.local

                         Matching CNAME record found at DNS server 10.1.1.200:
                         13ce65d5-b4ec-4ffe-b5d1-ccad6d5946c1._msdcs.DomainName.local

                         Matching DC SRV record found at DNS server 10.1.1.200:
                         _ldap._tcp.dc._msdcs.DomainName.local

             
             Summary of test results for DNS servers used by the above domain controllers:

                DNS server: 10.1.1.1 (DC1_name.DomainName.local.)
                   All tests passed on this DNS server
                   This is a valid DNS server 
                   Delegation to the domain _msdcs.DomainName.local. is operational
                   
                DNS server: 10.1.1.200 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server 
                   Name resolution is funtional. _ldap._tcp SRV record for the forest root domain is registered 
                   
                DNS server: 10.1.1.220 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server 
                   
             Summary of DNS test results:
             
                                                Auth Basc Forw Del  Dyn  RReg Ext  
                   ________________________________________________________________
                Domain: DomainName.local
                   DC2_name                           PASS PASS PASS PASS WARN PASS n/a  
             
             ......................... DomainName.local passed test DNS

    17 апреля 2012 г. 6:59
  • Да, и вот эта статья, по которой устранялась проблема отсутствия шар sysvol и netlogon на втором КД:

    http://mes26-mes.blogspot.com/2010/04/if-sysvol-netlogon-not-shared-on-2nd-dc.html

    Performing the steps below solved my problem: 
    1. Expand "HKLM\System\CurrentControlSet\Services\NtFrs\Parameters" 
    2. Change value for "Enable Journal Wrap Automatic Restore" from 0 to 1. If the DWORD Value does not exist, create a new one with the exact spelling as above, including spaces but without the quotes. 
    3. Stop the NTFRS Service (open a command prompt and type "net stop ntfrs") 
    4. Start the NTFRS Service (net start ntfrs) 
    5. Monitor the File Replication Service Event Logs for events: 
    • 13553 – The DC is performing the recovery process 
    • 13554 – The DC is ready to pull the replica from another DC. 
    • 13516 - At this point go to step 6. (the problem is resolved if you receive this event) 
    6. Using a command prompt type: "net share" and look for the Netlogon and Sysvol Shares to appear. The Journal Wrap error is only fixed after the Domain Controller receives the new SYSVOL replica from a peer Domain Controller. This may take a period of time depending on where your peer DC is located and on bandwidth. 
    7. Change value for "Enable Journal Wrap Automatic Restore" from 1 to 0.

    Всё это делалось на первом КД, после чего репликация на втором прошла успешно, были созданы шары SYSVOL и NETLOGON.

    17 апреля 2012 г. 7:22
  • Делал так: удалял файл netlogon.dns на втором КД, после чего перезапускал службу netlogon. Файл тут же был создан, но он оказался идентичным предыдущему. Что бы Вы посоветовали сделать в такой ситуации? Я могу, конечно, вручную поправить информацию DNS-зон, но не потеряются ли мои изменения при следующей репликации?

    И ещё вопрос: каких именно записей в DNS не хватает или какие из них некорректны? Проблема именно в DNS?
    • Изменено yurybx 17 апреля 2012 г. 14:39
    17 апреля 2012 г. 14:12
  • Пробовал сегодня удалять роль контроллера домена и устанавливать заново (на втором КД). Удалял также роль DNS-сервера. Проблема осталась. При этом в журнале появлялись следующие ошибки:

    Второй КД:

    Тип события: Предупреждение
    Источник события: NTDS KCC
    Код события: 1435
    Время: 8:58:53
    В ходе проверки согласованности знаний при выполнении операции Active Directory произошла непредвиденная ошибка. 
     Тип операции:
    KccAddEntry 
    Различающееся имя объекта:
    CN=57924bea-36d7-4da5-a290-6fc9f378e589,CN=NTDS Settings,CN=DC2_name,CN=Servers,CN=MainOffice,CN=Sites,CN=Configuration,DC=DomainName,DC=local 
    Попытка выполнения операции будет предпринята в ходе следующей проверки. 
    Дополнительные данные 
    Значение ошибки:
    5 0000200E: SvcErr: DSID-033704A1, problem 5001 (BUSY), data -1605
    Внутренний ID:
    f02030f
    ------------------------------------------------
    Тип события: Ошибка
    Источник события: NTDS KCC
    Код события: 1131
    Время: 8:58:53
    Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
    В ходе проверки согласованности знаний возникла ошибка при добавлении объекта подключения со следующего исходного контроллера домена на следующий конечный контроллер домена. 
    Исходный контроллер домена:
    CN=NTDS Settings,CN=DC1_name,CN=Servers,CN=MainOffice,CN=Sites,CN=Configuration,DC=DomainName,DC=local 
    Конечный контроллер домена:
    CN=NTDS Settings,CN=DC2_name,CN=Servers,CN=MainOffice,CN=Sites,CN=Configuration,DC=DomainName,DC=local 
     Дополнительные данные 
    Точка создания внутреннего кода:
    f0a025d

    ------------------------------------------------

    Тип события: Ошибка

    Источник события: DNS
    Код события: 4015
    Время: 9:04:42
    DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.
    Данные:
    0000: 51 00 00 00               Q...    

    Первый КД:

    Тип события: Предупреждение
    Источник события: NtFrs
    Код события: 13508
    Время: 9:01:58
    Описание:
    Служба репликации файлов столкнулась с проблемами при включении репликации с "DC2_name" на "DC1_name" для "c:\windows\sysvol\domain", использующего DNS-имя "DC2_name.DomainName.local". Служба репликации файлов (FRS) продолжит повторные попытки. 
     Ниже указаны причины, по которым может выдаваться это предупреждение. 
      [1] FRS не может разрешить DNS-имя "DC2_name.DomainName.local" с этого компьютера. 
     [2] FRS не запущена на "DC2_name.DomainName.local". 
     [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. 
      Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.
    Данные:
    0000: 0d 00 00 00               ....    

    ------------------------------------------------

    Тип события: Предупреждение
    Источник события: NtFrs
    Код события: 13509
    Время: 9:03:48
    Служба репликации файлов разрешила репликацию с DC2_name на DC1_name для c:\windows\sysvol\domain после нескольких повторных попыток.

    ------------------------------------------------

    Тип события: Ошибка
    Источник события: NETLOGON
    Код события: 5775
    Время: 9:43:46
    Ошибка при динамическом удалении записи DNS "d62e75e1-2a0d-4bab-97f5-3d8a1eb57de4._msdcs.DomainName.local. 600 IN CNAME DC2_name.DomainName.local." на следующем DNS-сервере.  
    IP-адрес DNS-сервера: 10.1.1.200 
    Возвращенный код ответа (RCODE): 5 
    Возвращенный код состояния: 9005  
    Действие пользователя  
    Чтобы предотвратить ненужные подключения удаленных компьютеров к контроллеру домена, удалите запись вручную или устраните ошибку, препятствующую динамическому удалению записи. Подробнее об отладке DNS см. в Центре справки и поддержки.  
    Дополнительные сведения 
    Описание ошибки: Операция DNS отвергнута. 
    Данные:
    0000: 05 00                     ..      


    Вот ещё что заметил: когда-то, ещё до меня, был второй КД "postdove", запись которого была в OU "Domain controllers". Когда подключал свой второй КД, я удалил её. Но запись для postdove до сих пор фигурирует в зоне DNS _msdcs.DomainName.local.





    • Изменено yurybx 18 апреля 2012 г. 8:36
    18 апреля 2012 г. 8:32
  • Сегодня также создавал тестовый домен на DC2_name и делал его контроллером домена. При этом вход на него осуществлялся нормально. Правда, в журнале были ошибки:

    Тип события: Предупреждение
    Источник события: DNS
    Код события: 4521
    Время: 12:30:12
    DNS-сервер обнаружил ошибку 32 при попытке загрузки зоны _msdcs.test.local из службы каталогов Active Directory. DNS-сервер повторит попытку загрузки этой зоны по истечении цикла тайм-аута. Эта ошибка может быть вызвана высокой нагрузкой на службу каталогов Active Directory, что может быть временным состоянием.

    (То же самое для зоны test.local.)

    Тип события: Ошибка
    Источник события: DNS
    Код события: 4015
    Время: 12:30:13
    DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.
    Данные:
    0000: 51 00 00 00               Q...    

    Тип события: Ошибка
    Источник события: NETLOGON
    Код события: 5774
    Время: 12:30:12
    Ошибка при динамической регистрации записи DNS "_ldap._tcp.test.local. 600 IN SRV 0 100 389 DC2_name.test.local." на следующем DNS-сервере.  
    IP-адрес DNS-сервера: <UNAVAILABLE> 
    Возвращенный код ответа (RCODE): 0 
    Возвращенный код состояния: 0  

    Тип события: Предупреждение
    Источник события: NETLOGON
    Код события: 5781
    Время: 12:30:24
    Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "test.local.".  Эти записи используются другими компьютерами для поиска данного сервера как контроллера домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложения).  

    Тип события: Предупреждение
    Источник события: LSASRV
    Категория события: SPNEGO (согласователь) 
    Код события: 40960
    Время: 12:32:27
    Система безопасности обнаружила ошибку проверки подлинности  сервера ldap/DC2_name.test.local. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

    Говорят ли эти ошибки о том, что со вторым КД что-то не так, и его следует переустановить с нуля?

    18 апреля 2012 г. 10:31
  • ShS, скажите, пожалуйста, какие именно записи DNS-зон различаются?

    19 апреля 2012 г. 4:07
  • Вот ещё странно: netdiag выдаёт ошибку ERROR_NO_LOGON_SERVERS,  а nltest /dsgetdc говорит, что все нормально.
    19 апреля 2012 г. 6:21
  • Вообще ничего не понимаю. Через 15 мин. простоя второй КД уже не выдаёт по команде netdiag ошибку ERROR_NO_LOGON_SERVERS, не смотря на то, что в качестве DNS прописан он сам.


    • Изменено yurybx 19 апреля 2012 г. 6:51
    19 апреля 2012 г. 6:26
  • Поднял третий контроллер домена на виртуальной машине. Использовал другой дистрибутив. Проблема точно та же. 

    Значит проблема на первом КД. Куда копать?

    19 апреля 2012 г. 9:08
  • В выходной день выключил первый КД (сделав предварительно его бэкап) и проверил работу домена: политики, пользователи, ввод в домен - всё работает.

    Тему можно закрыть.

    23 апреля 2012 г. 6:20