none
Ошибка репликации с дочерним доменом. RRS feed

  • Вопрос

  • Добрый день, подскажите, пожалуйста, кто знает, как победить следующую проблему:

    Есть у меня домен. И было в нем три доменных контроллера, но случился катаклизм, и контроллер оживить удалось 
    только один. 
    Ну не беда, подняли новые, перехватили роли со старого PDC на последний оставшийся в живых, потом перенесли роли на новый целый, подружили со 
    старым, вроде все хорошо, "но есть ньюанс". 
    У старого домена было настроено доверие (будь оно многократно проклято) с нижестоящим доменом. И теперь dcdiag кажет вот такую ошибку: 

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера pbd$. Использовалось конечное имя E3514235-4B06-11D1-AB04- 
    00C04FC2DCD2/c7fb3672-95a7-4a8a-82f3-98d71a9d8a4d/pbdata.MOSCOW@pbdata.MOSCOW. Это означает, что конечному серверу не удалось расшифровать 
    билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, 
    отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой 
    сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от 
    пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы 
    использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (PBDATA.MOSCOW) отличен от домена клиента (MOSCOW), 
    проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера. 


    Если ходить с родительского домена по адресу \\pbd или \\pbd.pbdata.moscow (полным именем машины) - никуда не пускает, пишет "Вход в систему не 
    произведен, конечная учетная запись указана неверно". А вот по IP или названию PBDATA - ходит нормально и видно шары. В DNS почему-то контроллер 
    нижестоящего домена обозначен по имени домена, а не самого имени сервера pbd.pbdata.moscow. Пользователи, ранее заведенные, прекрасно ходят везде и 
    всюду, как и ходили. Новосозданный администратор тоже прошел сверху вниз (из moscow в pbdata.moscow) нормально. Внутри самой оснастки "Домены и 
    доверие" из вышестоящего домена moscow проверить доверие через спецкнопку не получается, просто ничего не происходит при вводе логина-пароля. Из 
    нижестоящего домена pbdata.moscow на вышестоящий домен moscow доверие спецкнопкой проверяется, пишет, мол, доверие работоспособно и активно. А 
    сверху никак. 
    Все админские логины-пароли у меня есть, везде доступ есть, а никак. Бьюсь все выходные, не работает. 
    Все сервера-участники мероприятия - WinServer2008R2. 
    Подскажите, пожалуйста, кто знает, как эту проблему забороть-то? В идеале я хотел бы просто наладить это доверие, провести принудительную репликацию 
    "всех-на всех", чтобы гарантированно иметь рабочий экземпляр домена, и вывести последний старый сервер, ибо он тоже на ладан дышит. Но пока боязно. 

    Кроме того, сейчас проверил, что там в маленьком домене - он до сих пор считает, что живы старые доменные контроллеры. 
    C:\Users\*****>netdom /query fsmo 
    Хозяин схемы [Mos-fs-00].MOSCOW.***** 
    Хозяин именования доменов [Mos-fs-00].MOSCOW.***** 
    PDC pbd.pbdata.MOSCOW.***** 
    Диспетчер пула RID pbd.pbdata.MOSCOW.***** 
    Хозяин инфраструктуры pbd.pbdata.MOSCOW.***** 
    Команда выполнена успешно. 
    Отмечен в [] старый доменный контроллер. Теперь неясно, надо ли там руками указывать, что теперь у нас власть поменялась или, когда починится доверие, все обновится репликацией?

    7 марта 2017 г. 10:17

Ответы

  • Для начала проверим поиск поддомена - в DNS и в целом Посмотрите выдачу с контроллера корневого домена команд (из командной строки в режиме адмнистратора)

      nltest /dnsgetdc:pdbdata.MOSCOW.****

      nltest /dsgetdc:pdbdata.MOSCOW.****

    Если команды отрабатывают нормально, то можно попробовать посмотреть с контроллера корневого домена состояние доверительных отношений в обе стороны:

    netdom trust MOSCOW.**** /ud:MOSCOW\админ_корневого_домена /pd:его_пароль  /d:pdbdata.MOSCOW.**** /uo:pdbdata\админ_поддомена /po:его_пароль /verify

    netdom trust pdbdata.MOSCOW.**** /ud:pdbdata\админ_поддомена /pd:его_пароль  /d:MOSCOW.**** /uo:pdbdata\админ_корневого_домена /po:его_пароль /verify

    И я правильно понимаю, что репликация на контроллер(ы) корневого домена с контроллера поддомена у вас идёт без проблем? Или не работает репликация не только на контроллер поддомена, но и в обратную сторону?

    Что касается восстановления репликации с доменом после окончания срока жизни захороненных объектов (те самые полгода), то процедура в целом описана в статье 2020053 MS KB. Как вы можете заметить, процедура эта довольно-таки непростая и имеющая творческий характер, поэтому, если есть разумная по трудозатратам возможность избавиться от этого вашего поддомена, ей стоит воспользоваться.


    Слава России!

    7 марта 2017 г. 13:25
  • Ну, на PDB - там вообще повреждение в структуре БД Active Directory.

    Можно, кончено, попытаться поправить (с помощью ремонта базы с потерей информации - esentutl /p), но далеко не факт, что это поможет (потому как неведомо, что потеряется). А такая ошибка - она вполне может быть причиной всего остального.

    Короче, в морг!


    Слава России!


    9 марта 2017 г. 12:58
  • Даже не знаю, чем тут можно помочь. Чтобы возобновить репликацию, нужно, как минимум, сбросить пароль доверительного отношения со стороны корневого домена. А проверка через netdom trust почему-то вообще не работает с той стороны.

    Можно, разве что, попробовать выполнить вслепую сброс:

    netdom trust MOSCOW.*****.ru /ud:MOSCOW\b***** /pd:пароль /d:pdbdata.MOSCOW.*****.ru /uo:pbdata\a***** /po:пароль/verify

    Если repadmin /showrepl на pdb будет после этого показывать не ошибку "Отказно в доступе" при репликации с MOS-IK-00, а что-то другое, то, значит, можно двигаться дальше (например, если репликация упрётся в то, что её слишком давно не было - по статье по ссылке в моём предыдущем ответе). Единственно, опасаюсь, что при неудаче потеряется и тот доступ из корневого домена в поддомен, который есть сейчас. Так что, это вам решать, стоит ли пытаться сбрасывать доверительное отношение.

    PS Как я понимаю, MOS-IK-00 - это единственный оставшийся из старых контроллер домена, а MOS-FS-00 и BACKUP-SRV - два умерших.

    PPS Чтобы наверняка исключить влияние расхождений в DNS (хотя я их тут ни разу не вижу, но мало ли), имеет смысл проверить наличие и правильность (а при необходимости - создать или отредактировать) в домене MOSCOW делегирования на поддомен PDBDATA - оно должно указывать на PDB - и если там всё в порядке, указать в качестве серверов DNS на PDB только контроллеры корневого домена. Вряд ли это, однако, как-то повлияет на устранение проблемы.


    Слава России!

    8 марта 2017 г. 1:31

Все ответы

  • У вас налицо явные проблемы с репликацией на контроллер поддомена. Вызваны они, скорее всего, рассогласованием паролей для доверительного отношения (про которое пишется в ошибке KRB_AP_MODIFIED). Попробуйте сначала в консоли AD Domains and Trusts с контроллера корневого домена и с контроллера поддомена проверить и, при необходимости переустановить отношения доверия. Если получится - это самый простой путь восстановить доверие. Если нет - придётся разбираться подробнее.

    Что касается репликации, то она восстановится сама, только если всё это безобразие длится меньше полугода. Чтобы посмотреть, когда была последняя успешная репликация, используйте команду repadmin /showrepl на контроллере поддомена (а лучше - выполните на каждом из контроллеров в лесу, чтобы обнаружить другие возможные ошибки, если они есть).

    PS У вас полное имя корневого домена леса - MOSCOW.что-то.там или просто MOSCOW? Если второе, то нужно проверить (и, возможно - донастроить) ещё кое-что: Windows весьма специфично относится к доменам с именем из одного слова без точек (single-label domain).


    Слава России!


    • Изменено M.V.V. _ 7 марта 2017 г. 11:50
    7 марта 2017 г. 11:49
  • Попробуйте сначала в консоли AD Domains and Trusts с контроллера корневого домена и с контроллера поддомена проверить и, при необходимости переустановить отношения доверия. Если получится - это самый простой путь восстановить доверие. Если нет - придётся разбираться подробнее.

    Что касается репликации, то она восстановится сама, только если всё это безобразие длится меньше полугода. 

    PS У вас полное имя корневого домена леса - MOSCOW.что-то.там или просто MOSCOW? Если второе, то нужно проверить (и, возможно - донастроить) ещё кое-что: Windows весьма специфично относится к доменам с именем из одного слова без точек (single-label domain).


    Слава России!


    Из консоли "Домены и доверие" из дочернего домена - "Доверие проверено, оно работоспособно и активно". Из родительского домена проверить доверие не получается - "Не удалось отобразить объект доменных служб AD".

    Безобразие длится значительно дольше полугода, так что последняя нормальная репликация с PBD была в 13 году.

    Полное имя совсем полное ***.***.ru, просто в публичном доступе я его не указываю.

    7 марта 2017 г. 12:04
  • Для начала проверим поиск поддомена - в DNS и в целом Посмотрите выдачу с контроллера корневого домена команд (из командной строки в режиме адмнистратора)

      nltest /dnsgetdc:pdbdata.MOSCOW.****

      nltest /dsgetdc:pdbdata.MOSCOW.****

    Если команды отрабатывают нормально, то можно попробовать посмотреть с контроллера корневого домена состояние доверительных отношений в обе стороны:

    netdom trust MOSCOW.**** /ud:MOSCOW\админ_корневого_домена /pd:его_пароль  /d:pdbdata.MOSCOW.**** /uo:pdbdata\админ_поддомена /po:его_пароль /verify

    netdom trust pdbdata.MOSCOW.**** /ud:pdbdata\админ_поддомена /pd:его_пароль  /d:MOSCOW.**** /uo:pdbdata\админ_корневого_домена /po:его_пароль /verify

    И я правильно понимаю, что репликация на контроллер(ы) корневого домена с контроллера поддомена у вас идёт без проблем? Или не работает репликация не только на контроллер поддомена, но и в обратную сторону?

    Что касается восстановления репликации с доменом после окончания срока жизни захороненных объектов (те самые полгода), то процедура в целом описана в статье 2020053 MS KB. Как вы можете заметить, процедура эта довольно-таки непростая и имеющая творческий характер, поэтому, если есть разумная по трудозатратам возможность избавиться от этого вашего поддомена, ей стоит воспользоваться.


    Слава России!

    7 марта 2017 г. 13:25

  • 1.C:\Windows\system32>nltest /dnsgetdc:pbdata.moscow.*****.ru
    Список контроллеров домена в псевдослучайном порядке с учетом приоритетов и весов
    в SRV:
    Не специфический для сайта:
       pbd.pbdata.moscow.******.ru  192.168.0.10
    Команда выполнена успешно.

    2.C:\Windows\system32>nltest /dsgetdc:pbdata.moscow.*****.ru
               Контроллер домена: \\pbd.pbdata.MOSCOW.*****.RU
          Адрес: \\192.168.0.10
         GUID DOM: a2664bc8-039c-40d5-9150-56fa82d05cf0
         Имя DOM: pbdata.MOSCOW.*****.RU
      Имя леса: MOSCOW.*****.RU
     Имя сайта контроллера домена: Default-First-Site-Name
    Имя нашего сайта: Default-First-Site-Name
            Флаги: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST
     CLOSE_SITE FULL_SECRET WS

    Команда выполнена успешно.

    ******************

    netdom trust pbdata.MOSCOW.*****.ru /ud:pbdata\a***** /pd:пароль  /d:MOSCOW.*****.ru /uo:moscow\b**** /po:пароль /verify

    Не удалось выполнить команду

    netdom trust MOSCOW.*****.ru /ud:MOSCOW\b***** /pd:пароль  /d:pdbdata.MOSCOW.*****.ru /uo:pbdata\a***** /po:пароль/verify
    Не удалось выполнить команду.

    Внутри материнского домена репликация идет, я проблем пока не вижу - все имена, права, политики между доменными контроллерами MOSCOW.*****.RU изменяются, удаляются и добавляются нормально.

    А вот с поддоменом PBDATA.MOSCOW.*****.ru есть проблемы - репликация последний раз прошла очень давно и выехала за время захоронения. Само по себе доверие работает в некоторой степени, как я описал в стартовом посте. Но репликация ВСЕГО материнского домена (с поддоменом pbdata.moscow) застревает на этапе контроллера дочернего домена PBD(192.168.0.10).

    В логах материнского домена ошибка из верхнего поста, в дочернем ошибки вида:

    DfsSvc:Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на этом контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.

    и

    GroupPolicy:Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.

    7 марта 2017 г. 14:18
  • Уточните, пожалуйста: репликация с контроллера поддомена хотя бы на один из контроллеров корневого домена идёт? Если нет, то какие там есть ошибки? Или просто вообще нет подключения для репликации из поддомена? Аналогичный вопрос - на контроллер поддомена из корневого домена.

    И ещё: команды netdom trust так и пишут "Не удалось выполнить команду" без какой-либо другой диагностической информации?


    Слава России!

    7 марта 2017 г. 14:55
  • >Уточните, пожалуйста: репликация с контроллера поддомена хотя бы на один из контроллеров

    >корневого домена идёт?

    Нет, репликация между pbd (контроллером дочернего домена pbdata.moscow.*****.ru и любым другим контроллером домена в материнском домене moscow.****.ru не идет).

    Ниже с основного контроллера материнского домена

    C:\Windows\system32>repadmin /showreps
    Default-First-Site-Name\MOS-FS-03
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 4a646595-7a98-4b71-b7df-f7e7770e9a42
    DSA - код вызова: 2856a72c-6694-47cd-b85c-86b0aaf62e47

    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================

    DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-FS-02 через  RPC
            DSA - GUID объекта: a2603ec1-ccef-4a65-8aac-42ab1e04bbe7
            Последняя попытка @ 2017-03-07 18:06:17 успешна.
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 18:06:41 успешна.

    CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-FS-02 через  RPC
            DSA - GUID объекта: a2603ec1-ccef-4a65-8aac-42ab1e04bbe7
            Последняя попытка @ 2017-03-07 17:54:23 успешна.
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:54:24 успешна.

    CN=Schema,CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:54:24 успешна.
        Default-First-Site-Name\MOS-FS-02 через  RPC
            DSA - GUID объекта: a2603ec1-ccef-4a65-8aac-42ab1e04bbe7
            Последняя попытка @ 2017-03-07 17:54:24 успешна.

    DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-FS-02 через  RPC
            DSA - GUID объекта: a2603ec1-ccef-4a65-8aac-42ab1e04bbe7
            Последняя попытка @ 2017-03-07 17:54:24 успешна.
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:54:24 успешна.

    DC=DomainDnsZones,DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-FS-02 через  RPC
            DSA - GUID объекта: a2603ec1-ccef-4a65-8aac-42ab1e04bbe7
            Последняя попытка @ 2017-03-07 17:54:24 успешна.
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:54:24 успешна.

    DC=pbdata,DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:54:24 отложена по нормальной причине,
    результат 8464 (0x2110):
        Попытка синхронизации завершена с ошибкой, т.к. конечный контроллер домена о
    жидает завершения синхронизации с источником нового частного набора атрибутов. Э
    то нормальное состояние, если недавнее изменение схемы привело к модификации час
    тного набора атрибутов. Конечный частный набор атрибутов не является подмножеств
    ом исходного частного набора атрибутов.
            Последний успех @ 2017-03-07 16:54:24.
        Default-First-Site-Name\MOS-FS-02 через  RPC
            DSA - GUID объекта: a2603ec1-ccef-4a65-8aac-42ab1e04bbe7
            Последняя попытка @ 2017-03-07 17:54:24 успешна.

    Источник: Default-First-Site-Name\PBD
    ******* 391 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с 2017-03-03 16:59:23
    Последняя ошибка: -2146893022 (0x80090322):
                Главное конечное имя неверно.

    Контекст именования: CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
    Источник: Default-First-Site-Name\PBD
    ******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.


    Контекст именования: DC=pbdata,DC=MOSCOW,DC=*****,DC=RU
    Источник: Default-First-Site-Name\PBD
    ******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.


    Контекст именования: DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
    Источник: Default-First-Site-Name\PBD
    ******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.


    Контекст именования: CN=Schema,CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
    Источник: Default-First-Site-Name\PBD
    ******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.

    ***********************************************************

    Ниже с контроллера дочернего домена PBDATA.MOSCOW

    C:\Users\*****>repadmin /showreps
    Default-First-Site-Name\PBD
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: c7fb3672-95a7-4a8a-82f3-98d71a9d8a4d
    DSA - код вызова: ff31c7b4-e986-4499-9772-78f1a4630e46

    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================

    CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-FS-00 через  RPC
            DSA - GUID объекта: cc8d7da7-0fdc-44e3-851b-c037fe7db9d9
            Последняя попытка @ 2017-03-07 17:46:30 завершена с ошибкой, результат 5
     (0x5):
                Отказано в доступе.
            30073 последовательных ошибок.
            Последний успех @ 2013-10-03 07:48:48.
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:46:30 завершена с ошибкой, результат 5
     (0x5):
                Отказано в доступе.
            30073 последовательных ошибок.
            Последний успех @ 2013-10-03 07:48:48.

    CN=Schema,CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-FS-00 через  RPC
            DSA - GUID объекта: cc8d7da7-0fdc-44e3-851b-c037fe7db9d9
            Последняя попытка @ 2017-03-07 17:46:30 завершена с ошибкой, результат 5
     (0x5):
                Отказано в доступе.
            30073 последовательных ошибок.
            Последний успех @ 2013-10-03 07:48:48.
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:46:30 завершена с ошибкой, результат 5
     (0x5):
                Отказано в доступе.
            30073 последовательных ошибок.
            Последний успех @ 2013-10-03 07:48:48.

    DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-FS-00 через  RPC
            DSA - GUID объекта: cc8d7da7-0fdc-44e3-851b-c037fe7db9d9
            Последняя попытка @ 2017-03-07 17:46:30 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            30073 последовательных ошибок.
            Последний успех @ 2013-10-03 07:48:48.
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:46:30 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            30073 последовательных ошибок.
            Последний успех @ 2013-10-03 07:48:48.

    DC=MOSCOW,DC=*****,DC=RU
        Default-First-Site-Name\MOS-FS-00 через  RPC
            DSA - GUID объекта: cc8d7da7-0fdc-44e3-851b-c037fe7db9d9
            Последняя попытка @ 2017-03-07 17:46:30 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            30073 последовательных ошибок.
            Последний успех @ 2013-10-03 07:48:48.
        Default-First-Site-Name\MOS-IK-00 через  RPC
            DSA - GUID объекта: 0a6f812b-ada4-4976-bdc1-c34d575abe4e
            Последняя попытка @ 2017-03-07 17:46:30 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            30073 последовательных ошибок.
            Последний успех @ 2013-10-03 07:48:48.

    Источник: Default-First-Site-Name\MOS-IK-00
    ******* 30073 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с 2013-10-03 07:48:48
    Последняя ошибка: 1256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.

    Источник: Default-First-Site-Name\MOS-FS-00
    ******* 30073 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с 2013-10-03 07:48:48
    Последняя ошибка: 1256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.

    Источник: Default-First-Site-Name\BACKUP-SRV
    ******* 352 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с 2017-03-04 01:51:31
    Последняя ошибка: 8524 (0x214c):
                Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска
    в DNS.

    Контекст именования: CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
    Источник: Default-First-Site-Name\BACKUP-SRV
    ******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.


    Контекст именования: DC=MOSCOW,DC=*****,DC=RU
    Источник: Default-First-Site-Name\BACKUP-SRV
    ******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.


    Контекст именования: DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
    Источник: Default-First-Site-Name\BACKUP-SRV
    ******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.


    Контекст именования: CN=Schema,CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
    Источник: Default-First-Site-Name\BACKUP-SRV
    ******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.

    ************************************

    Команды netdom trust именно так и пишут, да.

    7 марта 2017 г. 15:14
  • Даже не знаю, чем тут можно помочь. Чтобы возобновить репликацию, нужно, как минимум, сбросить пароль доверительного отношения со стороны корневого домена. А проверка через netdom trust почему-то вообще не работает с той стороны.

    Можно, разве что, попробовать выполнить вслепую сброс:

    netdom trust MOSCOW.*****.ru /ud:MOSCOW\b***** /pd:пароль /d:pdbdata.MOSCOW.*****.ru /uo:pbdata\a***** /po:пароль/verify

    Если repadmin /showrepl на pdb будет после этого показывать не ошибку "Отказно в доступе" при репликации с MOS-IK-00, а что-то другое, то, значит, можно двигаться дальше (например, если репликация упрётся в то, что её слишком давно не было - по статье по ссылке в моём предыдущем ответе). Единственно, опасаюсь, что при неудаче потеряется и тот доступ из корневого домена в поддомен, который есть сейчас. Так что, это вам решать, стоит ли пытаться сбрасывать доверительное отношение.

    PS Как я понимаю, MOS-IK-00 - это единственный оставшийся из старых контроллер домена, а MOS-FS-00 и BACKUP-SRV - два умерших.

    PPS Чтобы наверняка исключить влияние расхождений в DNS (хотя я их тут ни разу не вижу, но мало ли), имеет смысл проверить наличие и правильность (а при необходимости - создать или отредактировать) в домене MOSCOW делегирования на поддомен PDBDATA - оно должно указывать на PDB - и если там всё в порядке, указать в качестве серверов DNS на PDB только контроллеры корневого домена. Вряд ли это, однако, как-то повлияет на устранение проблемы.


    Слава России!

    8 марта 2017 г. 1:31
  • netdom trust как обычно - Не удалось выполнить команду.

    repadmin /showrepl с PBD - отказано в доступе.

    Доступ в том же положении, что и был.

    Да, MOS-IK-00 единственный контроллер, который, хотя бы теоретически, еще мог помнить PBD.

    Но, очевидно, не помнит.

    DNS в дочернем домене только от материнского, да. 

    M.V.V._, большое спасибо за советы, но, я так понимаю, ситуация слишком запущена для ремонта, поможет только ампутация покосившегося домена.

    Буду планировать мероприятия по остановке.


    9 марта 2017 г. 8:41
  • Может, что-то интересное удастся увидеть в выдаче dcdiag с PDB и, к примеру, MOS-IK-00.

    Но, скорее всего, только ампутация.


    Слава России!

    9 марта 2017 г. 9:33
  • С PBD:

                                                                               

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = pbd
       * Идентифицирован лес AD. 
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\PBD
          Запуск проверки: Connectivity
             ......................... PBD - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\PBD
          Запуск проверки: Advertising
             ......................... PBD - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... PBD - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики. 
             ......................... PBD - не пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... PBD - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 03/09/2017   15:11:29
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога, доступного для изменения, завершилась ошибкой. 

             Возникла ошибка. Код события (EventID): 0x000001D3
                Время создания: 03/09/2017   15:18:04
                Строка события:
                NTDS (632) NTDSA: База данных C:\Windows\NTDS\ntds.dit: индекс DRA_USN_index таблицы datatable поврежден (0).
             ......................... PBD - не пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             [MOS-FS-00] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
             Сервер RPC недоступен..
             Внимание: MOS-FS-00 является Schema Owner, но не отвечает на привязку
             DS RPC.
             Сбой функции поиска по атрибутам Ldap на сервере MOS-FS-00,
             возвращенное значение = 81
             Внимание: MOS-FS-00 является Schema Owner, но не отвечает на привязку
             LDAP.
             Внимание: MOS-FS-00 является Domain Owner, но не отвечает на привязку
             DS RPC.
             Внимание: MOS-FS-00 является Domain Owner, но не отвечает на привязку
             LDAP.
             ......................... PBD - не пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... PBD - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет 
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
             ......................... PBD - не пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... PBD - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... PBD - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             [Replications Check,PBD] Сбой при последней попытке репликации:
                Из MOS-FS-00 в PBD
                Контекст именования: DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.

                Сбой возник в 2017-03-09 14:59:27.
                Последняя успешная операция была в 2013-10-03 07:48:48. После
                последней успешной операции было 
                30118 сбоев.
             [Replications Check,PBD] Сбой при последней попытке репликации:
                Из MOS-IK-00 в PBD
                Контекст именования: DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.

                Сбой возник в 2017-03-09 14:59:27.
                Последняя успешная операция была в 2013-10-03 07:48:48. После
                последней успешной операции было 
                30118 сбоев.
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
             ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
             Источник MOS-IK-00
             Репликация новых изменений по данному пути будет задержана.
             Эта проблема будет решена автоматически при следующей периодической
             синхронизации.
             [Replications Check,PBD] Сбой при последней попытке репликации:
                Из MOS-FS-00 в PBD
                Контекст именования:
                CN=Schema,CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (5):
                Отказано в доступе.
                Сбой возник в 2017-03-09 14:59:28.
                Последняя успешная операция была в 2013-10-03 07:48:48. После
                последней успешной операции было 
                30118 сбоев.
             [Replications Check,PBD] Сбой при последней попытке репликации:
                Из MOS-IK-00 в PBD
                Контекст именования:
                CN=Schema,CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (5):
                Отказано в доступе.
                Сбой возник в 2017-03-09 14:59:28.
                Последняя успешная операция была в 2013-10-03 07:48:48. После
                последней успешной операции было 
                30118 сбоев.
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
             ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
             Источник MOS-IK-00
             Репликация новых изменений по данному пути будет задержана.
             Эта проблема будет решена автоматически при следующей периодической
             синхронизации.
             [Replications Check,PBD] Сбой при последней попытке репликации:
                Из MOS-FS-00 в PBD
                Контекст именования: CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (5):
                Отказано в доступе.
                Сбой возник в 2017-03-09 14:59:27.
                Последняя успешная операция была в 2013-10-03 07:48:48. После
                последней успешной операции было 
                30118 сбоев.
             [Replications Check,PBD] Сбой при последней попытке репликации:
                Из MOS-IK-00 в PBD
                Контекст именования: CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (5):
                Отказано в доступе.
                Сбой возник в 2017-03-09 14:59:27.
                Последняя успешная операция была в 2013-10-03 07:48:48. После
                последней успешной операции было 
                30118 сбоев.
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
             ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
             Источник MOS-IK-00
             Репликация новых изменений по данному пути будет задержана.
             Эта проблема будет решена автоматически при следующей периодической
             синхронизации.
             [Replications Check,PBD] Сбой при последней попытке репликации:
                Из MOS-FS-00 в PBD
                Контекст именования: DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.

                Сбой возник в 2017-03-09 14:59:27.
                Последняя успешная операция была в 2013-10-03 07:48:48. После
                последней успешной операции было 
                30118 сбоев.
             [Replications Check,PBD] Сбой при последней попытке репликации:
                Из MOS-IK-00 в PBD
                Контекст именования: DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.

                Сбой возник в 2017-03-09 14:59:27.
                Последняя успешная операция была в 2013-10-03 07:48:48. После
                последней успешной операции было 
                30118 сбоев.
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
             ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
             Источник MOS-IK-00
             Репликация новых изменений по данному пути будет задержана.
             Эта проблема будет решена автоматически при следующей периодической
             синхронизации.
             ......................... PBD - не пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... PBD - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... PBD - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 03/09/2017   14:24:40
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 03/09/2017   14:26:07
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 03/09/2017   14:27:20
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.
             Возникла ошибка. Код события (EventID): 0xC00A0038
                Время создания: 03/09/2017   14:47:03
                Строка события:
                Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 84.52.100.120.
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 03/09/2017   14:51:35
                Строка события:
                Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 03/09/2017   14:51:35
                Строка события:
                Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 03/09/2017   14:51:44
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на этом контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 03/09/2017   15:04:49
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 03/09/2017   15:05:04
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 03/09/2017   15:08:41
                Строка события:
                Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 03/09/2017   15:08:41
                Строка события:
                Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
             Возникла ошибка. Код события (EventID): 0x000003EE
                Время создания: 03/09/2017   15:19:59
                Строка события:
                Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибки.
             ......................... PBD - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... PBD - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: pbdata
          Запуск проверки: CheckSDRefDom
             ......................... pbdata - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... pbdata - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: MOSCOW.*****.RU
          Запуск проверки: LocatorCheck
             ......................... MOSCOW.*****.RU - пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... MOSCOW.*****.RU - пройдена проверка
             Intersite


    9 марта 2017 г. 12:44
  • C MOS-IK-00


    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = mos-ik-00
       * Идентифицирован лес AD. 
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок
       
       Сервер проверки: Default-First-Site-Name\MOS-IK-00
          Запуск проверки: Connectivity
             ......................... MOS-IK-00 - пройдена проверка Connectivity

    Выполнение основных проверок
       
       Сервер проверки: Default-First-Site-Name\MOS-IK-00
          Запуск проверки: Advertising
             Внимание: MOS-IK-00 не объявлен как сервер времени.
             ......................... MOS-IK-00 - не пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... MOS-IK-00 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... MOS-IK-00 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... MOS-IK-00 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... MOS-IK-00 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... MOS-IK-00 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... MOS-IK-00 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет 
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет 
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=DomainDnsZones,DC=MOSCOW,DC=*****,DC=RU
             ......................... MOS-IK-00 - не пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... MOS-IK-00 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... MOS-IK-00 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             [Replications Check,MOS-IK-00] Сбой при последней попытке репликации:
                Из PBD в MOS-IK-00
                Контекст именования: DC=pbdata,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.
                
                Сбой возник в 2017-03-09 14:48:23.
                Последняя успешная операция была в 2013-10-02 15:47:55. После
                последней успешной операции было 
                33084 сбоев.
             [PBD] Сбой функции DsBindWithSpnEx() с ошибкой -2146893022,
             Главное конечное имя неверно..
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
             MOS-IK-00: Этот путь репликации был отложен из-за более приоритетной
             операции.
                из MOS-FS-02 в MOS-IK-00
                Причина:
                Попытка синхронизации завершена с ошибкой, т.к. конечный контроллер домена ожидает завершения синхронизации с источником нового частного набора атрибутов. Это нормальное состояние, если недавнее изменение схемы привело к модификации частного набора атрибутов. Конечный частный набор атрибутов не является подмножеством исходного частного набора атрибутов.
                Последняя успешная операция была в 2017-03-09 13:48:24.
                Репликация новых изменений по данному пути будет задержана.
             [Replications Check,MOS-IK-00] Сбой при последней попытке репликации:
                Из PBD в MOS-IK-00
                Контекст именования: DC=ForestDnsZones,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.
                
                Сбой возник в 2017-03-09 14:48:23.
                Последняя успешная операция была в 2013-10-02 15:47:55. После
                последней успешной операции было 
                30067 сбоев.
             [Replications Check,MOS-IK-00] Сбой при последней попытке репликации:
                Из PBD в MOS-IK-00
                Контекст именования:
                CN=Schema,CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2017-03-09 14:48:23.
                Последняя успешная операция была в 2013-10-02 15:47:55. После
                последней успешной операции было 
                30064 сбоев.
             [Replications Check,MOS-IK-00] Сбой при последней попытке репликации:
                Из PBD в MOS-IK-00
                Контекст именования: CN=Configuration,DC=MOSCOW,DC=*****,DC=RU
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2017-03-09 14:48:23.
                Последняя успешная операция была в 2013-10-02 15:47:55. После
                последней успешной операции было 
                30068 сбоев.
             ......................... MOS-IK-00 - не пройдена проверка
             Replications
          Запуск проверки: RidManager
             ......................... MOS-IK-00 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... MOS-IK-00 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x0000165B
                Время создания: 03/09/2017   14:43:44
                Строка события:
                Не удалось установить сеанс с компьютера "NS86", так как указанная компьютером учетная запись доверия "NS86$" отсутствует в базе данных безопасности.  

             Возникла ошибка. Код события (EventID): 0x000016AD
                Время создания: 03/09/2017   14:47:34
                Строка события:
                Не удалось выполнить проверку подлинности для сеанса компьютера NS86. Произошла следующая ошибка: 

             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 03/09/2017   14:48:23
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера pbd$. Использовалось конечное имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/c7fb3672-95a7-4a8a-82f3-98d71a9d8a4d/pbdata.MOSCOW.*****.RU@pbdata.MOSCOW.*****.RU. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (PBDATA.MOSCOW.*****.RU) отличен от домена клиента (MOSCOW.*****.RU), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 03/09/2017   15:27:11
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера pbd$. Использовалось конечное имя LDAP/c7fb3672-95a7-4a8a-82f3-98d71a9d8a4d._msdcs.MOSCOW.*****.RU. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (PBDATA.MOSCOW.*****.RU) отличен от домена клиента (MOSCOW.*****.RU), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:36:47
                Строка события:
                Драйвер HP Universal Printing PCL 5 для принтера !!mos-pr-00!HP LaserJet 400 M401dn (192.168.1.148) не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:36:48
                Строка события:
                Драйвер HP Universal Printing PCL 5 для принтера !!mos-pr-00.MOSCOW.*****.RU!HP LaserJet 400 M401dn (192.168.1.148) не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:36:49
                Строка события:
                Драйвер RICOH Aficio SP C820DN RPCS для принтера !!mos-pr-00!RICOH Aficio SP C820DN RPCS (IK2K) не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:36:50
                Строка события:
                Драйвер RICOH Aficio SP C820DN PCL 6 для принтера !!mos-pr-00!RICOH Aficio SP C820DN PCL 6 (IK2K) не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:37:11
                Строка события:
                Драйвер RICOH Aficio SP C820DN RPCS для принтера !!mos-pr-00!RICOH Aficio SP C820DN RPCS (4 fl.) не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:37:11
                Строка события:
                Драйвер RICOH Aficio SP C820DN PCL 6 для принтера !!mos-pr-00!RICOH Aficio SP C820DN PCL 6 (5 fl.) не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:37:12
                Строка события:
                Драйвер RICOH Aficio SP C820DN PCL 6 для принтера !!mos-pr-00!RICOH_7 не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:37:13
                Строка события:
                Драйвер doPDF 7 Printer Driver для принтера doPDF v7 не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 03/09/2017   15:37:18
                Строка события:
                Драйвер Send To Microsoft OneNote 2010 Driver для принтера Отправить в OneNote 2010 не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             ......................... MOS-IK-00 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... MOS-IK-00 - пройдена проверка
             VerifyReferences
       
       
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок разделов на: MOSCOW
          Запуск проверки: CheckSDRefDom
             ......................... MOSCOW - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... MOSCOW - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок предприятия на: MOSCOW.*****.RU
          Запуск проверки: LocatorCheck
             Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
             1355
             Не удается найти сервер времени.
             Сервер, которому принадлежит роль PDC, отключен.
             Внимание! Сбой при вызове функции
             DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
             Не удается найти сервер точного времени.
             ......................... MOSCOW.*****.RU - не пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... MOSCOW.*****.RU - пройдена проверка
             Intersite

    9 марта 2017 г. 12:46
  • Ну, на PDB - там вообще повреждение в структуре БД Active Directory.

    Можно, кончено, попытаться поправить (с помощью ремонта базы с потерей информации - esentutl /p), но далеко не факт, что это поможет (потому как неведомо, что потеряется). А такая ошибка - она вполне может быть причиной всего остального.

    Короче, в морг!


    Слава России!


    9 марта 2017 г. 12:58
  • Ну тогда как-то так: в материнском домене ntdsutil-ом убираю упоминания об PBD как доменном контроллере сначала, и всем поддомене PBDATA потом.

    Перереплецируюсь "все-на-все" в домене MOSCOW - если всё хорошо,  то этого я и хотел, а PBD просто переставлю "с нуля".

    Но это будет в  выходные, не раньше.

    Еще рас спасибо M.V.V. _  за помощь и советы.

    9 марта 2017 г. 13:33