none
Конечный сервер в настоящий момент отвергает запросы на репликацию. RRS feed

  • Вопрос

  • Здравствуйте.

    Совершил классическую ошибку: сделал бекап сервера контроллера домена (для переноса), потом развернул его.

    Теперь, соответственно, не работает репликация.

    Попытка поднять новый контроллер домена заканчивается ошибкой подключения с домену и сообщением "нет серверов для репликации".

    В сети 3 контроллера домена. Два из них были перенесены ранее, и не работают уже давно. Третий (он же основной) был перенесён совсем недавно, но и он не работает.

    Хотелось бы как-нибудь получить доступ к домену, чтобы была возможность при помощь dcpromo добавить к домену рабочий контроллер и перевести на него все роли. В данный момент, при попытке подключить новый контроллер домена, ошибка возникает на стадии "запуск репликации".

    16 февраля 2015 г. 5:39

Все ответы

  • Здравствуйте,

    Я перенес Ваш вопрос в соответствующюю ветку форума.

    Пожалуйста, предоставьте более подробную информацию о Вашей конфигурации и о версиях серверов.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    16 февраля 2015 г. 8:07
    Модератор
  • 3 сервера являющихся контроллерами домена. Все на Windows 2008 R2. Все сервера включены, пингуются. Но репликация между ними не проходит. Ошибка:

    Проверьте доступность исходного сервера службы каталогов и работоспособность сетевого подключения. Дополнительные данные Значение ошибки: 8457 Конечный сервер в настоящий момент отвергает запросы на репликацию.

    В ходе проверки согласованности знаний обнаружены ошибки в следующем разделе каталога.  Раздел каталога:CN=Configuration,DC=root,DC=tpkdom,DC=local  Средству проверки согласованности данных не удается создать топологию репликации составного дерева, поскольку недостаточно сведений о подключениях сайтов. Одному или нескольким серверам службы каталогов из этого раздела каталога не удается реплицировать данные каталога. Вероятно, это вызвано недоступностью серверов службы каталогов.  Действие пользователя Выполните одно из следующих действий. - Опубликуйте достаточные сведения о подключениях сайтов, чтобы можно было определить маршрут, по которому этот раздел каталога может дойти до этого сайта. Это рекомендуемый вариант. - Добавьте к серверу службы каталогов в этом сайте, содержащему раздел каталога, объект подключения к серверу службы каталогов в другом сайте, также содержащему этот раздел каталога.  Если ни одно их этих действий не устранит эту ошибку, просмотрите предыдущие события KCC, в которых указаны недоступные серверы службы каталогов
    При попытке создать контроллер домена и подключиться к нашему домену получаем ошибку репликации.

    16 февраля 2015 г. 8:13
  • Здравствуйте.

    Совершил классическую ошибку: сделал бекап сервера контроллера домена (для переноса), потом развернул его.

    Теперь, соответственно, не работает репликация.

    Попытка поднять новый контроллер домена заканчивается ошибкой подключения с домену и сообщением "нет серверов для репликации".

    В сети 3 контроллера домена. Два из них были перенесены ранее, и не работают уже давно. Третий (он же основной) был перенесён совсем недавно, но и он не работает.

    Хотелось бы как-нибудь получить доступ к домену, чтобы была возможность при помощь dcpromo добавить к домену рабочий контроллер и перевести на него все роли. В данный момент, при попытке подключить новый контроллер домена, ошибка возникает на стадии "запуск репликации".

    Бэкап чем делали-то, не Акронисом ли, случаем?

    А вообще-то, чтобы не ждать, когда на помощь придут телепаты, нужна дополнительная информация. Начать лучше традиционно - с dcdiag: запустите эту команду на пострадавшем контроллере домена  из командной строки в режиме администратора и покажите её выдачу (её можно скопировать из окошка командной строки в текстовом виде через правую кнопку мыши).


    Слава России!

    16 февраля 2015 г. 10:29
  • Бекап Акронисом. Нужно было мигрировать с Hyper-V на VmWare. Других способов не нашёл. Да и этот оказался нерабочим.

    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC01ROOT01
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC01ROOT01
          Запуск проверки: Connectivity
             ......................... DC01ROOT01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC01ROOT01
          Запуск проверки: Advertising
             Внимание: DC01ROOT01 не объявлен как сервер времени.
             ......................... DC01ROOT01 - не пройдена проверка
             Advertising
          Запуск проверки: FrsEvent
             ......................... DC01ROOT01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... DC01ROOT01 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC01ROOT01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x8000082C
                Время создания: 02/16/2015   15:25:28
                Строка события:
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 02/16/2015   15:27:45
                Строка события:
                В ходе проверки согласованности знаний обнаружены ошибки в следующем
     разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 02/16/2015   15:27:45
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную с
    оставную топологию сети. Из локального сайта недоступны следующие сайты.
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 02/16/2015   15:27:45
                Строка события:
                В ходе проверки согласованности знаний обнаружены ошибки в следующем
     разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 02/16/2015   15:27:45
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную с
    оставную топологию сети. Из локального сайта недоступны следующие сайты.
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 02/16/2015   15:27:45
                Строка события:
                В ходе проверки согласованности знаний обнаружены ошибки в следующем
     разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 02/16/2015   15:27:45
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную с
    оставную топологию сети. Из локального сайта недоступны следующие сайты.
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 02/16/2015   15:27:45
                Строка события:
                В ходе проверки согласованности знаний обнаружены ошибки в следующем
     разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 02/16/2015   15:27:45
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную с
    оставную топологию сети. Из локального сайта недоступны следующие сайты.
             Возникло предупреждение. Код события (EventID): 0x80000786
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного только для чтения, со следующими параметрами завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000786
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного только для чтения, со следующими параметрами завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000786
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного только для чтения, со следующими параметрами завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   15:27:45
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             ......................... DC01ROOT01 - не пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... DC01ROOT01 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC01ROOT01 - пройдена проверка
             MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC01ROOT01 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC01ROOT01 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC01ROOT01 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             [Проверка репликации,Replications Check] Входящая репликация
             отключена.
             Для исправления выполните "repadmin /options DC01ROOT01
             -DISABLE_INBOUND_REPL"
             [Проверка репликации,DC01ROOT01] Исходящая репликация отключена.
             Для исправления выполните "repadmin /options DC01ROOT01
             -DISABLE_OUTBOUND_REPL"
             ......................... DC01ROOT01 - не пройдена проверка
             Replications
          Запуск проверки: RidManager
             ......................... DC01ROOT01 - пройдена проверка RidManager
          Запуск проверки: Services
                Служба w32time в [DC01ROOT01] остановлена
             ......................... DC01ROOT01 - не пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x000016AF
                Время создания: 02/16/2015   14:40:14
                Строка события:
                За последние 4.19 часов было зарегистрировано 1 подключений к этому
    контроллеру домена от клиентских компьютеров, чьи IP-адреса не удалось сопостави
    ть ни с одним из существующих сайтов сети предприятия. Эти клиенты, тем самым, н
    е имели определенного сайта и могли подключаться к любому контроллеру домена, вк
    лючая те, которые могли находиться на очень далеком расстоянии от клиента. Сайт
    клиента определяется на основе сопоставления его маски подсети с масками существ
    ующих сайтов.  Чтобы поместить этих клиентов в один из сайтов, возможно, следует
     создать новые объекты, покрывающие эти IP-адреса и сопоставляемые существующим
    сайтам. Имена и IP-адреса этих клиентов были записаны на этом компьютере в файле
     журнала '%SystemRoot%\debug\netlogon.log' или, возможно, в файле журнала '%Syst
    emRoot%\debug\netlogon.bak', создаваемом в том случае, если первый из упомянутых
     журналов оказывается заполненным. Журналы могут содержать другую не связанную с
     этой проблемой информацию, собираемую для отладки. Чтобы отфильтровать нужные д
    анные, следует выполнить поиск строк, содержащих текст 'NO_CLIENT_SITE:'. Первое
     слово после этой строки является именем клиента, а второе - его IP-адресом. Мак
    симальный размер журналов определяется следующим DWORD-параметром в реестре: 'HK
    EY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LogFileMa
    xSize'; по умолчанию принимается размер 20000000 байт. Текущий максимальный разм
    ер - 20000000 байт. Чтобы изменить максимальный размер, следует создать вышеупом
    янутый параметр в реестре и задать желаемый размер в байтах.
             ......................... DC01ROOT01 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC01ROOT01 - пройдена проверка
             VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: root
          Запуск проверки: CheckSDRefDom
             ......................... root - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... root - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: root.tpkdom.local
          Запуск проверки: LocatorCheck
    

    16 февраля 2015 г. 10:33
  • Поздравляю, бэкапом с помощью Акрониса вы, похоже загнали контролер домена в состояние  USN Rollback. Выйти из него можно, но не вздумайте включать репликацию командами из выдачи dcdiag!

    PS Сечйчас напишу дополнительные сведения.


    Слава России!


    • Изменено M.V.V. _ 16 февраля 2015 г. 10:39
    16 февраля 2015 г. 10:37
  • Включать репликацию не буду.

    Что я могу сделать, чтобы не было ещё хуже?

    Как минимум, мне бы хотелось, чтобы можно было созданный контроллер домена подключить к имеющемуся домену, затем сделать его основным.
    • Изменено anugma 16 февраля 2015 г. 10:41
    16 февраля 2015 г. 10:39
  • Прежде всего, нужно убедиться, что у вас именно USN Rollback (что это такое, описано в статье 875495 MS Knowledge Base). Для этого надо посмотреть в журнале службы каталогов, нет ли там событий-ошибок: с кодом 2095 (один раз сразу после восстановления из образа) и с кодом 2103 после каждой перезагрузки. Если они там есть, то это - именно USN Rollback. И ещё меня смущает, что служба Netlogon (Сетевой вход в систему) у вас не приостановлена, как должна быть в этом случае. Вы её вручную запустили?

    PS Думаю, что восстановить работоспособность вашего КД можно - я напишу как, после выполнения диагностики.


    Слава России!



    • Изменено M.V.V. _ 16 февраля 2015 г. 11:06
    16 февраля 2015 г. 11:03
  • Службу Netlogon запустил вручную. Сейчас остановлю.

    Кода 2095 нет, хотя бы потому что групповыми политиками задан размер логов в 2 Мб. Туда с трудом влезает 1 день.

    Код 2103 после перезагрузки есть.

    База данных доменных служб Active Directory была восстановлена с использованием неподдерживаемой процедуры восстановления. В текущей ситуации доменные службы Active Directory не смогут обеспечивать вход пользователей в систему. В результате служба сетевого входа в систему приостановлена. Действия пользователя Дополнительные сведения содержатся в предыдущих записях о событиях.

    16 февраля 2015 г. 11:14
  • Да, это оно. Процедура восстановления контроллера домена (КД) выглядит следующим образом.

    Прежде всего, если вы не знаете пароль режима восстановления службы каталогов - задайте его, он вам понадобится.

    Если остался тот образ, из которого восстанавливали КД на VMWare и к нему не жалко откатиться (предпочтительный вариант, избежание USN Rollback):

    1. Восстановите КД из образа, но не подключайте его к сети.

    2. Загрузитесь в нормальном режиме

    3. Сделайте резервную копию состояния системы. Для этого нужно установить компонент Windows Server Backup (по умолчанию он не установлен). Для того, чтобы сделать резервную копию вам понадобится дополнительный диск, подключенный к контроллеру домена(благо на VMWare это сделать несложно).

    4. Загрузитесь в режиме восстановления службы каталогов и восстановите состояние системы из сделанной резервной копии.

    5. Загрузитесь в нормальном режиме и подключите контроллер домена к сети.

    Если исходного образа не осталось или есть причины, почему нельзя на него откатиться, то есть другой вариант - не поддерживаемый Microsoft - собственно, вывод КД из состояния USN Rollback.

    На КД в состоянии USN Rollback

    1. Сделайте резервную копию состояния системы. Для этого нужно установить компонент Windows Server Backup (по умолчанию он не установлен). Для того, чтобы сделать резервную копию вам понадобится дополнительный диск, подключенный к контроллеру домена(благо на VMWare это сделать несложно) - при неработающих КД вы вряд-ли сможете сделать резервную копию по сети.

    2. Перезагрузитесь в режим восстановления службы каталогов и восстановите состояние системы из сделанной резервной копии.

    4. Загрузитесь в нормальном режиме.

    5. В редакторе реестра в разделе (ключе) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters найдите параметр "DSA not writeable" (он в случае USN Rollback имеет величину 4) и удалите этот параметр.

    6. Запустить службу Netlogon

    7. Включите репликацию (теперь можно!) командами, которые вам подсказывает dcdiag:

      repadmin /options DC01ROOT01 -DISABLE_INBOUND_REPL
      repadmin /options DC01ROOT01 -DISABLE_OUTBOUND_REPL"

    8. Проверьте состояние КД (можно, предварительно перезагрузить его) с помощью dcdiag. Если там не будет никаких других ошибок кроме ошибок репликации с неработающими КД (с ними, кстати, тоже надо разобраться и что-то сделать, просто бросить из нельзя) и ошибок в журналах событий (dcdiag смотрит их за последние 24 часа), то состояние КД можно считать приемлемым. Но, на всякий случай, следует посмотреть журнал событий службы репликации отвечающей за SYSVOL (FRS или DFSR) - тамошние ошибки могут не повлиять на возможность добавить ещё один КД в будущем.

    PS Возможно, в любом из случаев контроллер домена не станет работоспособным из-за проблем с репликацией SYSVOL (признак - отсутствуют общие папки Netlogon и Sysvol, dcdiag об этом сообщит). В таком случае нужно будет произвести полномочное восстановление SYSVOL для соотвествующей службы репликации (FRS или DFSR, в зависимости от режима работы домена - Windows 2000/2003 или 2008 и выше). Если понадобится - опишу подробнее, как это сделать.


    Слава России!

    16 февраля 2015 г. 11:52
  • >Если остался тот образ, из которого восстанавливали КД на VMWare и к нему не жалко откатиться >(предпочтительный вариант, избежание USN Rollback):

    Это и есть тот самый оригинальный контроллер домена. После проблем с КД на VmWare, виртуальная машина там была удалена, а тут (на Hyper-V) - запущена. Есть Acronis образ за дату переноса (12.02).

    Как действовать в этом случае?

    И ещё самый главный вопрос: мы восстанавливаем работоспособность домена root.tpkdom.local, но у него есть дочерний main.root.tpkdom.local. У него пока всё в порядке, за исключением проблем с репликацией на root.tpkdom.local. В этом домене примерно 13 контроллеров домена в разных филиалах. Хотелось бы чтобы наши манипуляции не задели домен main.root.tpkdom.local. Крайне нежелательно.



    • Изменено anugma 16 февраля 2015 г. 12:08
    16 февраля 2015 г. 12:03
  • Так это dcdiag был с КД под Hyper-V?

    В таком случае хотелось бы посмотреть dcdiag c двух других КД. Может это поможет понять, когда возник USN Rollback (может, он у вас уже давно живёт). От этого зависит полезность образа Acronis

    PS Можно посмотреть, был ли на нём USN Rollback раньше, если восстановить образ на изолированной, не подключенной к сети виртуальной машине: признаки вы уже знаете.


    Слава России!



    • Изменено M.V.V. _ 16 февраля 2015 г. 12:26
    16 февраля 2015 г. 12:22
  • Перенесённый контроллер домена удалён. Третий выведен через NTDSUTIL

    Вот со второго:

    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC02ROOT01
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC02ROOT01
          Запуск проверки: Connectivity
             ......................... DC02ROOT01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC02ROOT01
          Запуск проверки: Advertising
             Неустранимая ошибка: сбой при вызове DsGetDcName (DC02ROOT01), ошибка
             1355
             Локатору не удается найти сервер.
             ......................... DC02ROOT01 - не пройдена проверка
             Advertising
          Запуск проверки: FrsEvent
             ......................... DC02ROOT01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... DC02ROOT01 - не пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC02ROOT01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   17:30:43
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   17:30:43
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров
    ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
    
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 02/16/2015   17:30:43
                Строка события:
                В ходе проверки согласованности знаний обнаружены ошибки в следующем
     разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 02/16/2015   17:30:43
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную с
    оставную топологию сети. Из локального сайта недоступны следующие сайты.
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 02/16/2015   17:30:43
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплициров

                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000786
                Время создания: 02/16/2015   17:15:43
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного только для чтения, со следующими параметрами завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   17:15:43
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   17:15:43
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x80000785
                Время создания: 02/16/2015   17:15:43
                Строка события:
                Попытка установки связи репликации для следующего раздела каталога,
    доступного для изменения, завершилась ошибкой.
             ......................... DC02ROOT01 - не пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             [DC03ROOT01] Сбой функции DsBindWithSpnEx() с ошибкой 1753,
             В системе отображения конечных точек не осталось доступных конечных то
    ек..
             Внимание: DC03ROOT01 является PDC Owner, но не отвечает на привязку DS
             RPC.
             Сбой функции поиска по атрибутам Ldap на сервере DC03ROOT01,
             возвращенное значение = 81
             Внимание: DC03ROOT01 является PDC Owner, но не отвечает на привязку
             LDAP.
             Внимание: DC03ROOT01 является Rid Owner, но не отвечает на привязку DS
             RPC.
             Внимание: DC03ROOT01 является Rid Owner, но не отвечает на привязку
             LDAP.
             Внимание: DC03ROOT01 является Infrastructure Update Owner, но не
             отвечает на привязку DS RPC.
             Внимание: DC03ROOT01 является Infrastructure Update Owner, но не
             отвечает на привязку LDAP.
             ......................... DC02ROOT01 - не пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC02ROOT01 - пройдена проверка
             MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC02ROOT01 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC02ROOT01 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC02ROOT01 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             [Проверка репликации,Replications Check] Входящая репликация
             отключена.
             Для исправления выполните "repadmin /options DC02ROOT01
             -DISABLE_INBOUND_REPL"
             [Проверка репликации,DC02ROOT01] Исходящая репликация отключена.
             Для исправления выполните "repadmin /options DC02ROOT01
             -DISABLE_OUTBOUND_REPL"
             ......................... DC02ROOT01 - не пройдена проверка
             Replications
          Запуск проверки: RidManager
             ......................... DC02ROOT01 - не пройдена проверка RidManager
          Запуск проверки: Services
                Служба w32time в [DC02ROOT01] остановлена
                Служба NETLOGON в [DC02ROOT01] приостановлена
             ......................... DC02ROOT01 - не пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   16:30:48
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникло предупреждение. Код события (EventID): 0x8000001C
                Время создания: 02/16/2015   16:34:26
                Строка события:
                При создании межсферного реферала из домена MAIN.ROOT.TPKDOM.LOCAL
    DC не смог найти подходящий ключ для проверки билета. Версия ключа билета: 56,
    ерсия доступного ключа: 56. Наиболее частая причина данной ошибки - задержка ре
    ликации ключей. Для устранения неполадки попробуйте ускорить репликацию или под
    ждите, когда она произойдет самостоятельно.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   16:36:04
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   16:41:19
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   16:46:35
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   16:51:50
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   16:57:06
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   17:02:21
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникло предупреждение. Код события (EventID): 0x0000A001
                Время создания: 02/16/2015   17:06:14
                Строка события:
                Системе безопасности не удалось установить безопасное соединение с
    ервером ldap/root.tpkdom.local/root.tpkdom.local@ROOT.TPKDOM.LOCAL. Протоколы п
    оверки подлинности недоступны.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   17:07:37
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   17:12:52
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   17:18:08
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 02/16/2015   17:23:23
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить
    овые параметры групповой политики для этого пользователя или компьютера. На вкл
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повт
    рит попытку выполнения этой операции при следующем цикле обновления. Присоедине
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и име
    ь подключение к контроллеру домена для обнаружения новых объектов групповой пол
    тики и их параметров. Когда обработка групповой политики будет выполнена успешн
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 02/16/2015   17:26:10
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получит
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте,
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 02/16/2015   17:28:23
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получит
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте,
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 02/16/2015   17:29:03
                Строка события:
                Драйвер HP LaserJet 1020 для принтера HP LaserJet 1020 не опознан.
    братитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 02/16/2015   17:29:03
                Строка события:
                Драйвер doPDF 7 Printer Driver для принтера doPDF v7 не опознан. Об
    атитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 02/16/2015   17:29:08
                Строка события:
                Драйвер Send To Microsoft OneNote 2010 Driver для принтера Отправит
     в OneNote 2010 не опознан. Обратитесь к сетевому администратору, чтобы он уста
    овил нужный драйвер.
             ......................... DC02ROOT01 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC02ROOT01 - пройдена проверка
             VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: root
          Запуск проверки: CheckSDRefDom
             ......................... root - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... root - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: root.tpkdom.local
          Запуск проверки: LocatorCheck
             Ошибка. Сервер, который вернула функция DsGetDcName(), не
             соответствует DsListRoles() для PDC
             Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
             1355
             Не удается найти сервер времени.
             Сервер, которому принадлежит роль PDC, отключен.
             Внимание! Сбой при вызове функции
             DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
             Не удается найти сервер точного времени.
             Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка
             1355
             Не удается найти центр распространения ключей (KDC) - все KDC
             отключены.
             ......................... root.tpkdom.local - не пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... root.tpkdom.local - пройдена проверка
             Intersite



    • Изменено anugma 16 февраля 2015 г. 12:35
    16 февраля 2015 г. 12:33
  • Ну, DC02ROOT01 у вас тоже явно находится в состоянии USN Rollback.

    А что c DC03ROOT01? Он у вас числится в качестве владельца ролей FSMO.

    В связи с этим, кстати, покажите выдачу netdom query fsmo

    PS Выдачу dcdiag неплохо было бы приводить целиком.


    Слава России!



    • Изменено M.V.V. _ 16 февраля 2015 г. 12:41
    16 февраля 2015 г. 12:39
  • DC03ROOT01 был выведен из контроллера домена через NTDSUTIL

    netdom query fsmo
    Указанный домен не существует или к нему невозможно подключиться.
    Не удалось выполнить команду.

    На обоих контроллерах домена. (DC01ROO01 и DC02ROOT02).

    16 февраля 2015 г. 12:59
  • В общем, так. Прежде всего, озаботьтесь хорошей, годной копией содержимого SYSVOL ( C:\WINDOWS\SYSVOL\domain, там должны быть папки Policies (с, минимум, двумя вложенными папками политик с именами в виде GUID в фигурных скобках) и Scripts (может быть пустая).

    Скорее всего, самая годная копия была на бывшем PDC - DC03ROOT01, если нет - смотрите по датам изменения файлов и папок в SYSVOL на других КД, возьмите самую свежую.

    Далее, сначала процедуру устранения USN Rollback выполняете на DC01ROOT01: посмотрите на отключенной виртуалке, не было ли в момент снятия образа USN Rolback, если не было - используйте первый вариант, если был - второй.

    Что касается DC02ROOT01, то можно либо выполнить устранение USN Rollback (там возможен только второй вариант), либо просто понизить его принудительно (dcpromo /forceremoval) и удалить из AD (можно через ntdsutil, а можно в AD Sites and Services удалить для него объект NTDS Settings).

    В любом случае следует посмотреть, что там с содержимым SYSVOL и с его репликацией в журнале службы репликации DFS. Если есть какие-то сомнения, то имеет смысл произвести полномочное восстановление содержимого SYSVOL на одном из КД (туда нужно положить годную копию SYSVOL), и неполномочное - на другом (если его оставляете). Процедуры описаны в статье 2218556 MS KB


    Слава России!

    16 февраля 2015 г. 13:28
  • А что скажете о поддомене MAIN? С ним ничего не случится?
    17 февраля 2015 г. 3:44
  • Собственно, всё что с ним могло случиться - уже случилось. Репликация SYSVOL работает только внутри домена, содержимое AD вы не трогали и трогать не должны, поэтому новых ошибок внести не планируется.

    Ну а, дальше всё зависит от того, как быстро вы почините КД корневого домена: если провозиться полгодика, то репликация конфигурации и схемы сама не восстановится (время жизни захороненных объектов истечет).

    А вообще-то, на всякий случай, полагается делать резервные копии. Причём - поддерживаемыми программами.


    Слава России!

    17 февраля 2015 г. 8:31
  • Сделал восстановление по вашей методике. Взял бекап с которого восстанавливал, восстановил с него снова. Отключил сеть, сделал бекап состояния системы, развернул в режиме восстановления службы каталога, перезагрузился, удалил ветку из реестра, включил сеть, служба сетевого входа в систему была запущена. Запустил репликацию командами. Перезагрузился, dcdiag перед вами:

    25 февраля 2015 г. 4:11
  • PS C:\Users\ars> dcdiag
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC01ROOT01
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC01ROOT01
          Запуск проверки: Connectivity
             ......................... DC01ROOT01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC01ROOT01
          Запуск проверки: Advertising
             Неустранимая ошибка: сбой при вызове DsGetDcName (DC01ROOT01), ошибка 1355
             Локатору не удается найти сервер.
             ......................... DC01ROOT01 - не пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... DC01ROOT01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
             ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... DC01ROOT01 - не пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC01ROOT01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x80000828
                Время создания: 02/24/2015   20:55:45
                Строка события:
                Доменные службы Active Directory не могут использовать DNS для разрешения указанного ниже IP-адреса исходног
    о  контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютер
    ов и их паролей, доменные службы Active Directory были успешно реплицированы с помощью NetBIOS или  полного доменного им
    ени исходного контроллера домена.
             Возникло предупреждение. Код события (EventID): 0x80000828
                Время создания: 02/24/2015   20:55:57
                Строка события:
                Доменные службы Active Directory не могут использовать DNS для разрешения указанного ниже IP-адреса исходног
    о  контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютер
    ов и их паролей, доменные службы Active Directory были успешно реплицированы с помощью NetBIOS или  полного доменного им
    ени исходного контроллера домена.
             Возникло предупреждение. Код события (EventID): 0x80000828
                Время создания: 02/24/2015   20:55:57
                Строка события:
                Доменные службы Active Directory не могут использовать DNS для разрешения указанного ниже IP-адреса исходног
    о  контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютер
    ов и их паролей, доменные службы Active Directory были успешно реплицированы с помощью NetBIOS или  полного доменного им
    ени исходного контроллера домена.
             Возникло предупреждение. Код события (EventID): 0x8000051C
                Время создания: 02/24/2015   21:00:25
                Строка события:
                В ходе проверки согласованности знаний (КСС) обнаружено, что все дальнейшие попытки репликации со следующей
    службой каталогов завершились неудачно.
             Возникло предупреждение. Код события (EventID): 0x8000051C
                Время создания: 02/24/2015   21:00:25
                Строка события:
                В ходе проверки согласованности знаний (КСС) обнаружено, что все дальнейшие попытки репликации со следующей
    службой каталогов завершились неудачно.
             Возникло предупреждение. Код события (EventID): 0x8000051C
                Время создания: 02/24/2015   21:00:25
                Строка события:
                В ходе проверки согласованности знаний (КСС) обнаружено, что все дальнейшие попытки репликации со следующей
    службой каталогов завершились неудачно.
             ......................... DC01ROOT01 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             [DC03ROOT01] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
             Сервер RPC недоступен..
             Внимание: DC03ROOT01 является PDC Owner, но не отвечает на привязку DS RPC.
             Сбой функции поиска по атрибутам Ldap на сервере DC03ROOT01, возвращенное значение = 81
             Внимание: DC03ROOT01 является PDC Owner, но не отвечает на привязку LDAP.
             Внимание: DC03ROOT01 является Rid Owner, но не отвечает на привязку DS RPC.
             Внимание: DC03ROOT01 является Rid Owner, но не отвечает на привязку LDAP.
             Внимание: DC03ROOT01 является Infrastructure Update Owner, но не отвечает на привязку DS RPC.
             Внимание: DC03ROOT01 является Infrastructure Update Owner, но не отвечает на привязку LDAP.
             ......................... DC01ROOT01 - не пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC01ROOT01 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC01ROOT01 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             Не удается подключиться к общему ресурсу NETLOGON. (\\DC01ROOT01\netlogon)
             [DC01ROOT01] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя..
             ......................... DC01ROOT01 - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC01ROOT01 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC03ROOT01 в DC01ROOT01
                Контекст именования: DC=ForestDnsZones,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1753):
                В системе отображения конечных точек не осталось доступных конечных точек.
                Сбой возник в 2015-02-24 20:55:58.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                1004 сбоев.
                Каталог на DC03ROOT01 находится в процессе
                запуска или отключения и недоступен.
                Проверьте, не завис ли компьютер при загрузке.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02ROOT01 в DC01ROOT01
                Контекст именования: DC=ForestDnsZones,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:59.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                994 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             [DC02ROOT01] Сбой функции DsBindWithSpnEx() с ошибкой -2146893022,
             Главное конечное имя неверно..
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02MAIN01-R2 в DC01ROOT01
                Контекст именования: DC=ForestDnsZones,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:59.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                965 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
             ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
             Источник DC02MAIN01-R2
             Репликация новых изменений по данному пути будет задержана.
             Эта проблема будет решена автоматически при следующей периодической синхронизации.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02ROOT01 в DC01ROOT01
                Контекст именования: DC=DomainDnsZones,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:58.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                726 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC03ROOT01 в DC01ROOT01
                Контекст именования: DC=DomainDnsZones,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1753):
                В системе отображения конечных точек не осталось доступных конечных точек.
                Сбой возник в 2015-02-24 20:55:58.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                726 сбоев.
                Каталог на DC03ROOT01 находится в процессе
                запуска или отключения и недоступен.
                Проверьте, не завис ли компьютер при загрузке.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02MAIN01-R2 в DC01ROOT01
                Контекст именования: CN=Schema,CN=Configuration,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:57.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                726 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC03ROOT01 в DC01ROOT01
                Контекст именования: CN=Schema,CN=Configuration,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1753):
                В системе отображения конечных точек не осталось доступных конечных точек.
                Сбой возник в 2015-02-24 20:55:58.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                755 сбоев.
                Каталог на DC03ROOT01 находится в процессе
                запуска или отключения и недоступен.
                Проверьте, не завис ли компьютер при загрузке.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02ROOT01 в DC01ROOT01
                Контекст именования: CN=Schema,CN=Configuration,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:58.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                756 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC03ROOT01 в DC01ROOT01
                Контекст именования: CN=Configuration,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1753):
                В системе отображения конечных точек не осталось доступных конечных точек.
                Сбой возник в 2015-02-24 20:55:56.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                881 сбоев.
                Каталог на DC03ROOT01 находится в процессе
                запуска или отключения и недоступен.
                Проверьте, не завис ли компьютер при загрузке.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02ROOT01 в DC01ROOT01
                Контекст именования: CN=Configuration,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:58.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                881 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02MAIN01-R2 в DC01ROOT01
                Контекст именования: CN=Configuration,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:58.
                Последняя успешная операция была в 2015-01-13 12:52:37. После последней успешной операции было
                3697 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
             ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
             Источник DC02MAIN01-R2
             Репликация новых изменений по данному пути будет задержана.
             Эта проблема будет решена автоматически при следующей периодической синхронизации.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC03ROOT01 в DC01ROOT01
                Контекст именования: DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1753):
                В системе отображения конечных точек не осталось доступных конечных точек.
                Сбой возник в 2015-02-24 20:55:55.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                1555 сбоев.
                Каталог на DC03ROOT01 находится в процессе
                запуска или отключения и недоступен.
                Проверьте, не завис ли компьютер при загрузке.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02ROOT01 в DC01ROOT01
                Контекст именования: DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:58.
                Последняя успешная операция была в 2015-01-13 12:47:10. После последней успешной операции было
                927 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02ROOT01 в DC01ROOT01
                Контекст именования: DC=main,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2015-02-24 20:55:59.
                Последняя успешная операция была в 2015-01-13 13:01:58. После последней успешной операции было
                4938 сбоев.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC03ROOT01 в DC01ROOT01
                Контекст именования: DC=main,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1753):
                В системе отображения конечных точек не осталось доступных конечных точек.
                Сбой возник в 2015-02-24 20:55:59.
                Последняя успешная операция была в 2015-01-13 13:01:37. После последней успешной операции было
                5030 сбоев.
                Каталог на DC03ROOT01 находится в процессе
                запуска или отключения и недоступен.
                Проверьте, не завис ли компьютер при загрузке.
             [Replications Check,DC01ROOT01] Сбой при последней попытке репликации:
                Из DC02MAIN01-R2 в DC01ROOT01
                Контекст именования: DC=main,DC=root,DC=tpkdom,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2015-02-24 20:55:59.
                Последняя успешная операция была в 2015-01-13 13:02:36. После последней успешной операции было
                54246 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
             ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
             Источник DC02MAIN01-R2
             Репликация новых изменений по данному пути будет задержана.
             Эта проблема будет решена автоматически при следующей периодической синхронизации.
             ......................... DC01ROOT01 - не пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC01ROOT01 - не пройдена проверка RidManager
          Запуск проверки: Services
                Не удалось открыть службу NTDS в DC01ROOT01, ошибка 0x5 "Отказано в доступе."
             ......................... DC01ROOT01 - не пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x00000C18
                Время создания: 02/24/2015   20:32:06
                Строка события: Не удалось найти основной контроллер домена для данного домена.
             Возникло предупреждение. Код события (EventID): 0x000003F6
                Время создания: 02/24/2015   20:32:11
                Строка события:
                Разрешение имен для имени _ldap._tcp.dc._msdcs.root.tpkdom.local истекло после отсутствия ответа от настроен
    ных серверов DNS.
             Возникла ошибка. Код события (EventID): 0x0000410B
                Время создания: 02/24/2015   20:32:12
                Строка события:
                Запрос нового пула идентификаторов учетных записей не выполнен. Windows 2000 будет повторять запрос, пока он
     не будет выполнен. Ошибка:
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:32:22
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникло предупреждение. Код события (EventID): 0x0000A000
                Время создания: 02/24/2015   20:32:26
                Строка события:
                Система безопасности выявила ошибку проверки подлинности для сервера LDAP/DC01ROOT01. Код сбоя от протокола
    проверки подлинности Kerberos: "Попытка входа в сеть при незапущенной службе входа в сеть.
             Возникло предупреждение. Код события (EventID): 0x0000A000
                Время создания: 02/24/2015   20:32:26
                Строка события:
                Система безопасности выявила ошибку проверки подлинности для сервера ldap/DC01ROOT01.root.tpkdom.local. Код
    сбоя от протокола проверки подлинности Kerberos: "Попытка входа в сеть при незапущенной службе входа в сеть.
             Возникло предупреждение. Код события (EventID): 0x0000A000
                Время создания: 02/24/2015   20:32:28
                Строка события:
                Система безопасности выявила ошибку проверки подлинности для сервера cifs/root.tpkdom.local. Код сбоя от про
    токола проверки подлинности Kerberos: "Попытка входа в сеть при незапущенной службе входа в сеть.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:32:38
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:32:40
                Строка события:
                Ошибка при динамической регистрации записи DNS "root.tpkdom.local. 600 IN A 172.16.242.22" на следующем DNS-
    сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:32:41
                Строка события:
                Ошибка при динамической регистрации записи DNS "ForestDnsZones.root.tpkdom.local. 600 IN A 172.16.242.22" на
     следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:32:41
                Строка события:
                Ошибка при динамической регистрации записи DNS "DomainDnsZones.root.tpkdom.local. 600 IN A 172.16.242.22" на
     следующем DNS-сервере:
             Возникло предупреждение. Код события (EventID): 0x0000A000
                Время создания: 02/24/2015   20:32:40
                Строка события:
                Система безопасности выявила ошибку проверки подлинности для сервера DNS/dc01main01.main.root.tpkdom.local.
    Код сбоя от протокола проверки подлинности Kerberos: "Попытка входа в сеть при незапущенной службе входа в сеть.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:32:54
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникло предупреждение. Код события (EventID): 0x0000A000
                Время создания: 02/24/2015   20:33:02
                Строка события:
                Система безопасности выявила ошибку проверки подлинности для сервера LDAP/Localhost. Код сбоя от протокола п
    роверки подлинности Kerberos: "Попытка входа в сеть при незапущенной службе входа в сеть.
             Возникло предупреждение. Код события (EventID): 0x8000001D
                Время создания: 02/24/2015   20:33:06
                Строка события:
                Центр распространения ключей (KDC) не может найти подходящий сертификат для использования при регистрации см
    арт-карт или KDC-сертификат не может быть проверен. Регистрация смарт-карт не может работать правильно, если данная проб
    лема не разрешена. Для исправления неполадки либо проверьте существующий сертификат KDC при помощи certutil.exe, либо за
    просите новый KDC-сертификат.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:33:10
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 02/24/2015   20:33:16
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя DNS/dc
    02root01.root.tpkdom.local. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом.
     Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отлично
    й от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной з
    аписи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для
     учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечн
    ой службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера зада
    но не полностью и конечный домен (ROOT.TPKDOM.LOCAL) отличен от домена клиента (ROOT.TPKDOM.LOCAL), проверьте, нет ли се
    рверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:33:26
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 02/24/2015   20:33:28
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя ROOT\D
    C02ROOT01$. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть
    из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной зап
    иси, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используе
    мой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи
    конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убеди
    тесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью
    и конечный домен (ROOT.TPKDOM.LOCAL) отличен от домена клиента (ROOT.TPKDOM.LOCAL), проверьте, нет ли серверных учетных
    записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0xC0002720
                Время создания: 02/24/2015   20:33:29
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-серве
    ра с CLSID

    25 февраля 2015 г. 4:12
  •          Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 02/24/2015   20:33:36
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя E35142
    35-4B06-11D1-AB04-00C04FC2DCD2/9a3d4fa3-5c95-4fe2-a994-e4fed4b45290/root.tpkdom.local@root.tpkdom.local. Это означает, ч
    то конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участни
    ка службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной
    службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой
     ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный о
    т пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на серве
    ре, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (ROOT.TPKD
    OM.LOCAL) отличен от домена клиента (ROOT.TPKDOM.LOCAL), проверьте, нет ли серверных учетных записей с таким же именем в
     этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:33:41
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:33:57
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC0002720
                Время создания: 02/24/2015   20:34:04
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-серве
    ра с CLSID
             Возникла ошибка. Код события (EventID): 0xC0002720
                Время создания: 02/24/2015   20:34:04
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-серве
    ра с CLSID
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:34:13
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:34:29
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:34:45
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникло предупреждение. Код события (EventID): 0x000727AA
                Время создания: 02/24/2015   20:34:58
                Строка события:
                Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/DC01ROOT01.root.tpkdom.local, WSMAN/
    DC01ROOT01.
             Возникла ошибка. Код события (EventID): 0x000727A6
                Время создания: 02/24/2015   20:34:58
                Строка события:
                Службе WinRM не удалось использовать следующий прослушиватель для получения запросов WS-Management.  Прослуш
    иватель включен, но не имеет настроенного IP-адреса.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:35:00
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x00000469
                Время создания: 02/24/2015   20:35:36
                Строка события:
                Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это може
    т быть временным явлением. Будет создано сообщение об успехе после того, как компьютер удастся подключить к контроллеру
    домена и групповая политика будет обработана успешно. Если в течение нескольких часов это сообщение не появляется, обрат
    итесь к системному администратору.
             Возникла ошибка. Код события (EventID): 0x00000469
                Время создания: 02/24/2015   20:36:41
                Строка события:
                Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это може
    т быть временным явлением. Будет создано сообщение об успехе после того, как компьютер удастся подключить к контроллеру
    домена и групповая политика будет обработана успешно. Если в течение нескольких часов это сообщение не появляется, обрат
    итесь к системному администратору.
             Возникла ошибка. Код события (EventID): 0xC000042B
                Время создания: 02/24/2015   20:38:23
                Строка события:
                Серверу терминалов не удалось зарегистрировать имя участника-службы (SPN) "TERMSRV", используемое для провер
    ки подлинности сервера. Произошла ошибка: Указанный домен не существует или к нему невозможно подключиться.
             Возникло предупреждение. Код события (EventID): 0x00001696
                Время создания: 02/24/2015   20:41:58
                Строка события:
                Не удалось выполнить динамическую регистрацию или отмену регистрации одной или нескольких DNS-записей из-за
    следующей ошибки:
             Возникло предупреждение. Код события (EventID): 0x000003F6
                Время создания: 02/24/2015   20:42:19
                Строка события:
                Разрешение имен для имени root.tpkdom.local истекло после отсутствия ответа от настроенных серверов DNS.
             Возникло предупреждение. Код события (EventID): 0x00000C18
                Время создания: 02/24/2015   20:55:28
                Строка события: Не удалось найти основной контроллер домена для данного домена.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:55:37
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x0000410B
                Время создания: 02/24/2015   20:55:45
                Строка события:
                Запрос нового пула идентификаторов учетных записей не выполнен. Windows 2000 будет повторять запрос, пока он
     не будет выполнен. Ошибка:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:47
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.root.tpkdom.local. 600 IN SRV 0 100 389 DC01ROOT0
    1.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:47
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.TPKDOM-Tyumen01._sites.root.tpkdom.local. 600 IN
    SRV 0 100 389 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:48
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.gc._msdcs.root.tpkdom.local. 600 IN SRV 0 100 326
    8 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:48
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.TPKDOM-Tyumen01._sites.gc._msdcs.root.tpkdom.loca
    l. 600 IN SRV 0 100 3268 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:48
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.7d739410-1af4-41a8-a3cc-838f679e5c2e.domains._msd
    cs.root.tpkdom.local. 600 IN SRV 0 100 389 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:49
                Строка события:
                Ошибка при динамической регистрации записи DNS "89c806c5-63c1-4ecd-b409-7b0113a4a7a3._msdcs.root.tpkdom.loca
    l. 600 IN CNAME DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:50
                Строка события:
                Ошибка при динамической регистрации записи DNS "_kerberos._tcp.dc._msdcs.root.tpkdom.local. 600 IN SRV 0 100
     88 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:50
                Строка события:
                Ошибка при динамической регистрации записи DNS "_kerberos._tcp.TPKDOM-Tyumen01._sites.dc._msdcs.root.tpkdom.
    local. 600 IN SRV 0 100 88 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:50
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.dc._msdcs.root.tpkdom.local. 600 IN SRV 0 100 389
     DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:51
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.TPKDOM-Tyumen01._sites.dc._msdcs.root.tpkdom.loca
    l. 600 IN SRV 0 100 389 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:52
                Строка события:
                Ошибка при динамической регистрации записи DNS "_kerberos._tcp.root.tpkdom.local. 600 IN SRV 0 100 88 DC01RO
    OT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:55:52
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:53
                Строка события:
                Ошибка при динамической регистрации записи DNS "_kerberos._tcp.TPKDOM-Tyumen01._sites.root.tpkdom.local. 600
     IN SRV 0 100 88 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:53
                Строка события:
                Ошибка при динамической регистрации записи DNS "_gc._tcp.root.tpkdom.local. 600 IN SRV 0 100 3268 DC01ROOT01
    .root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:53
                Строка события:
                Ошибка при динамической регистрации записи DNS "_gc._tcp.TPKDOM-Tyumen01._sites.root.tpkdom.local. 600 IN SR
    V 0 100 3268 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:54
                Строка события:
                Ошибка при динамической регистрации записи DNS "_kerberos._udp.root.tpkdom.local. 600 IN SRV 0 100 88 DC01RO
    OT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:54
                Строка события:
                Ошибка при динамической регистрации записи DNS "_kpasswd._tcp.root.tpkdom.local. 600 IN SRV 0 100 464 DC01RO
    OT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:54
                Строка события:
                Ошибка при динамической регистрации записи DNS "_kpasswd._udp.root.tpkdom.local. 600 IN SRV 0 100 464 DC01RO
    OT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:55
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.ForestDnsZones.root.tpkdom.local. 600 IN SRV 0 10
    0 389 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:56
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.TPKDOM-Tyumen01._sites.ForestDnsZones.root.tpkdom
    .local. 600 IN SRV 0 100 389 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:56
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.DomainDnsZones.root.tpkdom.local. 600 IN SRV 0 10
    0 389 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:56
                Строка события:
                Ошибка при динамической регистрации записи DNS "_ldap._tcp.TPKDOM-Tyumen01._sites.DomainDnsZones.root.tpkdom
    .local. 600 IN SRV 0 100 389 DC01ROOT01.root.tpkdom.local." на следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:57
                Строка события:
                Ошибка при динамической регистрации записи DNS "root.tpkdom.local. 600 IN A 172.16.240.12" на следующем DNS-
    сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:57
                Строка события:
                Ошибка при динамической регистрации записи DNS "gc._msdcs.root.tpkdom.local. 600 IN A 172.16.240.12" на след
    ующем DNS-сервере:
             Возникло предупреждение. Код события (EventID): 0x8000001D
                Время создания: 02/24/2015   20:55:57
                Строка события:
                Центр распространения ключей (KDC) не может найти подходящий сертификат для использования при регистрации см
    арт-карт или KDC-сертификат не может быть проверен. Регистрация смарт-карт не может работать правильно, если данная проб
    лема не разрешена. Для исправления неполадки либо проверьте существующий сертификат KDC при помощи certutil.exe, либо за
    просите новый KDC-сертификат.
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:57
                Строка события:
                Ошибка при динамической регистрации записи DNS "ForestDnsZones.root.tpkdom.local. 600 IN A 172.16.240.12" на
     следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x0000168E
                Время создания: 02/24/2015   20:55:58
                Строка события:
                Ошибка при динамической регистрации записи DNS "DomainDnsZones.root.tpkdom.local. 600 IN A 172.16.240.12" на
     следующем DNS-сервере:
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 02/24/2015   20:55:59
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя E35142
    35-4B06-11D1-AB04-00C04FC2DCD2/9a3d4fa3-5c95-4fe2-a994-e4fed4b45290/root.tpkdom.local@root.tpkdom.local. Это означает, ч
    то конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участни
    ка службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной
    службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой
     ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный о
    т пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на серве
    ре, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (ROOT.TPKD
    OM.LOCAL) отличен от домена клиента (ROOT.TPKDOM.LOCAL), проверьте, нет ли серверных учетных записей с таким же именем в
     этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:56:07
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC0002720
                Время создания: 02/24/2015   20:56:23
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения Локальный Запуск для приложения COM-серве
    ра с CLSID
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:56:38
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникло предупреждение. Код события (EventID): 0x0000A001
                Время создания: 02/24/2015   20:56:41
                Строка события:
                Системе безопасности не удалось установить безопасное соединение с сервером ldap/root.tpkdom.local/root.tpkd
    om.local@ROOT.TPKDOM.LOCAL. Протоколы проверки подлинности недоступны.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 02/24/2015   20:56:47
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя cifs/d
    c02root01.root.tpkdom.local. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом
    . Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличн
    ой от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной
    записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль дл
    я учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конеч
    ной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера зад
    ано не полностью и конечный домен (ROOT.TPKDOM.LOCAL) отличен от домена клиента (ROOT.TPKDOM.LOCAL), проверьте, нет ли с
    ерверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 02/24/2015   20:56:56
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя ROOT\D
    C02ROOT01$. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть
    из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной зап
    иси, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используе
    мой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи
    конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убеди
    тесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью
    и конечный домен (ROOT.TPKDOM.LOCAL) отличен от домена клиента (ROOT.TPKDOM.LOCAL), проверьте, нет ли серверных учетных
    записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:57:08
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:57:38
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:58:08
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникло предупреждение. Код события (EventID): 0x000727AA
                Время создания: 02/24/2015   20:58:24
                Строка события:
                Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/DC01ROOT01.root.tpkdom.local, WSMAN/
    DC01ROOT01.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:58:39
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:59:09
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x00000469
                Время создания: 02/24/2015   20:59:37
                Строка события:
                Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это може
    т быть временным явлением. Будет создано сообщение об успехе после того, как компьютер удастся подключить к контроллеру
    домена и групповая политика будет обработана успешно. Если в течение нескольких часов это сообщение не появляется, обрат
    итесь к системному администратору.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   20:59:39
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 02/24/2015   21:00:09
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
    м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x00000C8A
                Время создания: 02/24/2015   21:00:16
                Строка события:
                Произошла ошибка при проверке имени этого компьютера на контроллере \\DC02MAIN01-R2.main.root.tpkdom.local,
    являющимся контроллером домена Windows для домена MAIN, и в результате этот  компьютер может отвергать попытки входа в с
    истему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем
    , что не опознан пароль для этой учетной записи компьютера. Если это сообщение повторяется, обратитесь к сетевому админи
    стратору.
             Возникла ошибка. Код события (EventID): 0xC00A0038
                Время создания: 02/24/2015   21:00:16
                Строка события:
                Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес
     клиента: 172.16.240.125.
             Возникло предупреждение. Код события (EventID): 0x8000001C
                Время создания: 02/24/2015   21:00:20
                Строка события:
                При создании межсферного реферала из домена MAIN.ROOT.TPKDOM.LOCAL KDC не смог найти подходящий ключ для про
    верки билета. Версия ключа билета: 56, версия доступного ключа: 55. Наиболее частая причина данной ошибки - задержка реп
    ликации ключей. Для устранения неполадки попробуйте ускорить репликацию или подождите, когда она произойдет самостоятель
    но.
             Возникла ошибка. Код события (EventID): 0x00000469
                Время создания: 02/24/2015   21:01:21
                Строка события:
                Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это може
    т быть временным явлением. Будет создано сообщение об успехе после того, как компьютер удастся подключить к контроллеру
    домена и групповая политика будет обработана успешно. Если в течение нескольких часов это сообщение не появляется, обрат
    итесь к системному администратору.
             Возникла ошибка. Код события (EventID): 0xC000042B
                Время создания: 02/24/2015   21:01:56
                Строка события:
                Серверу терминалов не удалось зарегистрировать имя участника-службы (SPN) "TERMSRV", используемое для провер
    ки подлинности сервера. Произошла ошибка: Указанный домен не существует или к нему невозможно подключиться.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 02/24/2015   21:02:18
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя LDAP/9
    a3d4fa3-5c95-4fe2-a994-e4fed4b45290._msdcs.root.tpkdom.local. Это означает, что конечному серверу не удалось расшифроват
    ь билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистр
    ировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN за
    регистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная с
    лужба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerber
    os (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать тек
    ущий пароль. Если имя сервера задано не полностью и конечный домен (ROOT.TPKDOM.LOCAL) отличен от домена клиента (ROOT.T
    PKDOM.LOCAL), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное
    имя для идентификации сервера.
             ......................... DC01ROOT01 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC01ROOT01 - пройдена проверка VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: root
          Запуск проверки: CheckSDRefDom
             ......................... root - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... root - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: root.tpkdom.local
          Запуск проверки: LocatorCheck
             Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355
             Не удается найти основной контроллер домена.
             Сервер, которому принадлежит роль PDC, отключен.
             Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1355
             Не удается найти сервер времени.
             Сервер, которому принадлежит роль PDC, отключен.
             Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
             Не удается найти сервер точного времени.
             Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка 1355
             Не удается найти центр распространения ключей (KDC) - все KDC отключены.
             ......................... root.tpkdom.local - не пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... root.tpkdom.local - пройдена проверка Intersite


    25 февраля 2015 г. 4:13
  • В общем, стратегия дальнейшего восстановления, на мой взгляд, следующая.

    Прежде всего  - сделать DC01ROOT01 эталонным КД для корневого домена

    1. Произвести полномочное восстановление SYSVOL на DC01ROOT01. Процедура описана в статье 2218556 MS KB, перед её проведением желательно проверить, что текущее содержимое SYSVOL - хорошее, годное, если нет - взять с другого КД (см. мой ответ выше). После этого DC01ROO01 сможет работать контроллером домена.

    2. Захватить (seize) на DC01ROO01 роли FSMO, которые были на DC03ROOT01 (см. выдачу netdom query FSMO) процедура описана здесь

    3. Удалить на DC01ROOT01 (в консоли AD Sites & Services или через ntdsutil) ссылки на бывший КД на DC03ROOT01

    Далее нужно разбираться с DC02ROOT01. Здесь, как я уже писал, возможны два варианта - либо понизить его принудительно и удалить его следы из AD, как и в случае с DC03ROOT01, либо попытаться вылечить аналогично DC01ROOT01. Я бы предпочёл первый вариант (при наличии надёжной резервной копии единственного остающегося в домене КД, конечно), но выбор за вами.

    После всего этого надо проверить (repadmin /showrepl), в каком состоянии находится репликация между восстановленным(и) контроллером(ами) корневого домена и остальными КД. Если там есть проблемы - надо решать их. Если проблем не будет - замечательно.


    Слава России!

    25 февраля 2015 г. 22:49
  • Как сделать ту самую "надёжную резервную копию КД"? Какими средствами пользоваться?

    В статье 2218556 MS KB, мне каким из предложенных вариантов восстановления пользоваться? Вторым?

    DC03ROOT01 в данный момент выключен. Я полагаю, для захвата роли его надо будет включить?

    DC02ROOT01 планирую вовсе вывести.

    26 февраля 2015 г. 3:58
  • Резервную копию можно сделать с помощью встроенного Windows Server Backup: у вас виртуалка, так что подключить к ней дополнительный виртуальный диск для этого - не проблема.

    В статье 2218556 MS KB описаны два разных по смыслу варианта - неполномочный (non-authritative) и полномочный (authoritative). Вам на эталонном КД нужен второй вариант.

    Для захвата (seize) ролей FSMO бышего его владельца включать не требуется (эта операция предполагает, что он больше недоступен). Более того, если на нём остался КД, его включать в сеть просто нельзя. Но, как я понял, вы его принудительно понизили. Если не понизили, и если вдруг этот компьютер (или виртуальная машина) вам зачем-то нужен, то это никогда не поздно сделать с помощью dcpromo /forceremoval (для этого его подключать к сети не требуется).


    Слава России!

    26 февраля 2015 г. 10:36
  • При попытке запустить ADSIEDIT на DC01ROOT01 появляется ошибка "Указанной домен не существует или к нему невозможно подключиться".

    Это первый шаг из статьи 2218556.
    26 февраля 2015 г. 11:54
  • Да, я ожидал этой засады.

    Попробую смоделировать ситуацию в лабораторной среде - мне самому интересно, как из неё можно выйти. Идеи есть, но нужно их пробовать в натуре. Где-нибудь завтра ближе к вечеру надеюсь получить результат.


    Слава России!

    26 февраля 2015 г. 15:45
  • К сожалению, воспризвести вашу ситуацию в лабораторной среде не удалось - у меня после восстановления из резервной копии и зачистки следов реакции на USN Rollback (включенние репликации и удаление параметра "DSA Not Writeable" из реестра) DFS Replication не стала препятствовать созданию общих папок NETLOGON и SYSVOL.

    Чтобы вам выйти из создавшегося положения, нужно сделать следующее:

    а) Остановить службу DFS Replication

    б) Найти в реестре параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysVolReady. Если он не равен 0 - установить его в 0.

    в) После чего - установить этот же параметр в 1. Служба Netlogon отслеживает изменения этого параметра, и по факту установки его в 1 должна сделать общими папки SYSVOL и NETLOGON. Но для этого сами папки - C:\WINDOWS\SYSVOL\SYSVOL и C:\WINDOWS\SYSVOL\domain\SCRIPTS - должны существовать (они должны быть созданы и заполнены на этапе проверки того, что содержимое папки SYSVOL является годным).

    После этого можно проверить, что КД объявляет себя таковым и попытаться произвести полномочное восстановление SYSVOL для DFS Replication.


    Слава России!

    27 февраля 2015 г. 18:50
  • Восстановление сделал. Нерабочие контроллеры домена удалил. Роли передал.

    Теперь DCDIAG выглядит так:

    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC01ROOT01
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC01ROOT01
          Запуск проверки: Connectivity
             ......................... DC01ROOT01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC01ROOT01
          Запуск проверки: Advertising
             ......................... DC01ROOT01 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... DC01ROOT01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
             ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... DC01ROOT01 - не пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC01ROOT01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплицировать данный раздел каталога через этот тр
    анспорт, в настоящий момент недоступны.
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 03/03/2015   10:49:10
                Строка события: В ходе проверки согласованности знаний обнаружены ошибки в следующем разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 03/03/2015   10:49:10
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную составную топологию сети. Из локального с
    айта недоступны следующие сайты.
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплицировать данный раздел каталога через этот тр
    анспорт, в настоящий момент недоступны.
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 03/03/2015   10:49:10
                Строка события: В ходе проверки согласованности знаний обнаружены ошибки в следующем разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 03/03/2015   10:49:10
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную составную топологию сети. Из локального с
    айта недоступны следующие сайты.
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплицировать данный раздел каталога через этот тр
    анспорт, в настоящий момент недоступны.
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 03/03/2015   10:49:10
                Строка события: В ходе проверки согласованности знаний обнаружены ошибки в следующем разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 03/03/2015   10:49:10
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную составную топологию сети. Из локального с
    айта недоступны следующие сайты.
             Возникло предупреждение. Код события (EventID): 0x8000061E
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Все серверы службы каталогов в следующем сайте, способные реплицировать данный раздел каталога через этот тр
    анспорт, в настоящий момент недоступны.
             Возникла ошибка. Код события (EventID): 0xC000051F
                Время создания: 03/03/2015   10:49:10
                Строка события: В ходе проверки согласованности знаний обнаружены ошибки в следующем разделе каталога.
             Возникло предупреждение. Код события (EventID): 0x80000749
                Время создания: 03/03/2015   10:49:10
                Строка события:
                В ходе проверки согласованности знаний не удается построить полную составную топологию сети. Из локального с
    айта недоступны следующие сайты.
             Возникла ошибка. Код события (EventID): 0xC0000583
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Доменным службам Active Directory не удалось собрать имя участника-службы (SPN) взаимной проверки подлинност
    и для следующей службы каталогов.
             Возникла ошибка. Код события (EventID): 0xC0000583
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Доменным службам Active Directory не удалось собрать имя участника-службы (SPN) взаимной проверки подлинност
    и для следующей службы каталогов.
             Возникла ошибка. Код события (EventID): 0xC0000583
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Доменным службам Active Directory не удалось собрать имя участника-службы (SPN) взаимной проверки подлинност
    и для следующей службы каталогов.
             Возникла ошибка. Код события (EventID): 0xC0000583
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Доменным службам Active Directory не удалось собрать имя участника-службы (SPN) взаимной проверки подлинност
    и для следующей службы каталогов.
             Возникла ошибка. Код события (EventID): 0xC0000583
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Доменным службам Active Directory не удалось собрать имя участника-службы (SPN) взаимной проверки подлинност
    и для следующей службы каталогов.
             Возникла ошибка. Код события (EventID): 0xC0000583
                Время создания: 03/03/2015   10:49:10
                Строка события:
                Доменным службам Active Directory не удалось собрать имя участника-службы (SPN) взаимной проверки подлинност
    и для следующей службы каталогов.
             Возникло предупреждение. Код события (EventID): 0x8000072D
                Время создания: 03/03/2015   10:51:15
                Строка события:
                Попытка передачи роли хозяина операций, связанная со следующим объектом, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x8000072D
                Время создания: 03/03/2015   10:51:30
                Строка события:
                Попытка передачи роли хозяина операций, связанная со следующим объектом, завершилась ошибкой.
             Возникло предупреждение. Код события (EventID): 0x8000072D
                Время создания: 03/03/2015   10:51:55
                Строка события:
                Попытка передачи роли хозяина операций, связанная со следующим объектом, завершилась ошибкой.
             ......................... DC01ROOT01 - не пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... DC01ROOT01 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC01ROOT01 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC01ROOT01 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             [DC01ROOT01] В учетных данных пользователя отсутствует разрешение на выполнение данной операции.
             Учетная запись, используемая для этой проверки, должна иметь права на вход в сеть
             для домена данного компьютера.
             ......................... DC01ROOT01 - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC01ROOT01 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             [Проверка репликации,DC01ROOT01] Сбой функции DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
             "Доступ к репликации отвергнут."
             ......................... DC01ROOT01 - не пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC01ROOT01 - пройдена проверка RidManager
          Запуск проверки: Services
                Не удалось открыть службу NTDS в DC01ROOT01, ошибка 0x5 "Отказано в доступе."
             ......................... DC01ROOT01 - не пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x00000422
                Время создания: 03/03/2015   10:03:27
                Строка события:
                Ошибка при обработке групповой политики. Попытка чтения файла "\\root.tpkdom.local\SysVol\root.tpkdom.local\
    Policies\{ABD74415-52B1-48D9-B5E7-29C833DDD5CD}\gpt.ini" с контроллера домена была неудачной. Параметры групповой полити
    ки не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные прич
    ины:
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 03/03/2015   10:03:32
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя ROOT\D
    C02ROOT01$. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть
    из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной зап
    иси, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используе
    мой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи
    конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убеди
    тесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью
    и конечный домен (ROOT.TPKDOM.LOCAL) отличен от домена клиента (ROOT.TPKDOM.LOCAL), проверьте, нет ли серверных учетных
    записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 03/03/2015   10:04:10
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя LDAP/9
    a3d4fa3-5c95-4fe2-a994-e4fed4b45290._msdcs.root.tpkdom.local. Это означает, что конечному серверу не удалось расшифроват
    ь билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистр
    ировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN за
    регистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная с
    лужба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerber
    os (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать тек
    ущий пароль. Если имя сервера задано не полностью и конечный домен (ROOT.TPKDOM.LOCAL) отличен от домена клиента (ROOT.T
    PKDOM.LOCAL), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное
    имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 03/03/2015   10:12:04
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc02root01$. Использовалось конечное имя E35142
    35-4B06-11D1-AB04-00C04FC2DCD2/9a3d4fa3-5c95-4fe2-a994-e4fed4b45290/root.tpkdom.local@root.tpkdom.local. Это означает, ч
    то конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участни
    ка службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной
    службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой
     ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный о
    т пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на серве
    ре, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (ROOT.TPKD
    OM.LOCAL) отличен от домена клиента (ROOT.TPKDOM.LOCAL), проверьте, нет ли серверных учетных записей с таким же именем в
     этих двух доменах, или используйте полное имя для идентификации сервера.
             Возникло предупреждение. Код события (EventID): 0x8000001C
                Время создания: 03/03/2015   11:00:17
                Строка события:
                При создании межсферного реферала из домена MAIN.ROOT.TPKDOM.LOCAL KDC не смог найти подходящий ключ для про
    верки билета. Версия ключа билета: 56, версия доступного ключа: 55. Наиболее частая причина данной ошибки - задержка реп
    ликации ключей. Для устранения неполадки попробуйте ускорить репликацию или подождите, когда она произойдет самостоятель
    но.
             ......................... DC01ROOT01 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC01ROOT01 - пройдена проверка VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: root
          Запуск проверки: CheckSDRefDom
             ......................... root - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... root - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: root.tpkdom.local
          Запуск проверки: LocatorCheck
             ......................... root.tpkdom.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... root.tpkdom.local - пройдена проверка Intersite

    Уже почище.

    В логах есть ошибки передачи ролей:

    Попытка передачи роли хозяина операций, связанная со следующим объектом, завершилась ошибкой. 
     
    Объект:
    CN=RID Manager$,CN=System,DC=root,DC=tpkdom,DC=local 
    Текущий хозяин операций:
    CN=NTDS Settings,CN=DC03ROOT01,CN=Servers,CN=TPKDOM-Tyumen01,CN=Sites,CN=Configuration,DC=root,DC=tpkdom,DC=local 
    Новый хозяин операций:
    CN=NTDS Settings,CN=DC01ROOT01,CN=Servers,CN=TPKDOM-Tyumen01,CN=Sites,CN=Configuration,DC=root,DC=tpkdom,DC=local 
     
    Дополнительные данные 
    Значение ошибки:
    8524

    Попытка передачи роли хозяина операций, связанная со следующим объектом, завершилась ошибкой. 
     
    Объект:
    CN=Infrastructure,DC=root,DC=tpkdom,DC=local 
    Текущий хозяин операций:
    CN=NTDS Settings,CN=DC03ROOT01,CN=Servers,CN=TPKDOM-Tyumen01,CN=Sites,CN=Configuration,DC=root,DC=tpkdom,DC=local 
    Новый хозяин операций:
    CN=NTDS Settings,CN=DC01ROOT01,CN=Servers,CN=TPKDOM-Tyumen01,CN=Sites,CN=Configuration,DC=root,DC=tpkdom,DC=local 
     
    Дополнительные данные 
    Значение ошибки:
    8524

    Попытка передачи роли хозяина операций, связанная со следующим объектом, завершилась ошибкой. 
     
    Объект:
    DC=root,DC=tpkdom,DC=local 
    Текущий хозяин операций:
    CN=NTDS Settings,CN=DC03ROOT01,CN=Servers,CN=TPKDOM-Tyumen01,CN=Sites,CN=Configuration,DC=root,DC=tpkdom,DC=local 
    Новый хозяин операций:
    CN=NTDS Settings,CN=DC01ROOT01,CN=Servers,CN=TPKDOM-Tyumen01,CN=Sites,CN=Configuration,DC=root,DC=tpkdom,DC=local 
     
    Дополнительные данные 
    Значение ошибки:
    8524

    Мне волноваться?

    3 марта 2015 г. 6:08
  • Вот данные по репликации:

    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    TPKDOM-Tyumen01\DC01ROOT01
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
    DSA - код вызова: 94e650ed-d07a-42b4-80ac-1db213990ffa
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    CN=Configuration,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-03 10:56:06 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 10:56:06 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-03 10:56:20 успешна.
    
    CN=Schema,CN=Configuration,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-03 10:56:06 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 10:56:12 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-03 10:56:20 успешна.
    
    DC=ForestDnsZones,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-03 10:56:18 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 10:56:18 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-03 10:56:20 успешна.
    
    DC=main,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-03 10:56:19 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 10:56:19 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-03 10:56:20 успешна.

    3 марта 2015 г. 6:23

  • Мне волноваться?

    Про это я вам пока сказать не могу. Ошибки в журналах событий Системы и Службы Каталогов и Репликации DFS могут относиться к вашему несчастливому прошлому - время когда это прошлое стало неактуально, т.е. когда вы удалили следы неисправных КД, мне неизвестно. Смотрите в журналы событий самостоятельно - не появляются ли там новые ошибки.

    Ошибки в тестах Netlogons и Replications, похоже, связаны с тем, что команда dcdiag запущена не из командной строки в режиме администратора: её надо запускать обязательно из режима администратора, самостоятельно повышать свои привилегии она не умеет. Но согласно выдаче repadmin, с репликацией на КД корневого домена проблем нет.

    Судя по тому, что тест KnowsOfRoleHolders прошёл успешно, роли FSMO домена должны быть захвачены работающим КД корневого домена. Можете проверить это с помощью команды

    netdom query fsmo

    И что ещё нужно проверить обязательно - это наличие репликации на КД дочернего домена с оставшегося КД корневого домена.


    Слава России!

    3 марта 2015 г. 10:12
  • Выдача netdom query fsmo:
    Хозяин схемы                DC01ROOT01.root.tpkdom.local
    Хозяин именования доменов   DC01ROOT01.root.tpkdom.local
    PDC                         DC01ROOT01.root.tpkdom.local
    Диспетчер пула RID          DC01ROOT01.root.tpkdom.local
    Хозяин инфраструктуры       DC01ROOT01.root.tpkdom.local
    Команда выполнена успешно.

    dcdiag запущенный от имени администратора выдаёт такой же лог.


    • Изменено anugma 3 марта 2015 г. 10:23
    3 марта 2015 г. 10:19
  • Если через оснастку "сайты и службы" попытаться реплицировать с КД MAIN на кд ROOT то появляется ошибка "Отказано в доступе".
    3 марта 2015 г. 10:21
  • Давайте всё-таки посмотрим на репликацию командой repadmin. Дочерним доменом тоже вы управляете? Тогда смотрите прямо с его КД.

    Слава России!

    3 марта 2015 г. 10:50
  • dcdiag запущенный от имени администратора выдаёт такой же лог.


    Попробуйте перелогиниться.


    Слава России!

    3 марта 2015 г. 10:51
  • Запуск с КД MAIN:

    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    TPKDOM-Tyumen01\DC02MAIN01-R2
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
    DSA - код вызова: c8373bba-c237-4c28-b65f-8a341cbbb45c
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    CN=Configuration,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tobolsk01\DC06MAIN05 через  RPC
            DSA - GUID объекта: 077b07ab-31ba-4736-8803-89b6920fcf5e
            Последняя попытка @ 2015-03-03 15:00:32 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-03 15:00:33 успешна.
        TPKDOM-NVartovsk01\DC08MAIN06 через  RPC
            DSA - GUID объекта: 9c8e69b5-5cef-4fe1-a416-9aaf00ab3ebe
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Kaskara01\DC15MAIN13 через  RPC
            DSA - GUID объекта: 35e28c11-0261-490b-bc1b-e96539238055
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Tyumen01\DC03ROOT01 через  RPC
            DSA - GUID объекта: 81c7e94a-9164-4037-968c-98d5aabe96c0
            Последняя попытка @ 2015-03-03 15:45:38 завершена с ошибкой, результат 8
    524 (0x214c):
                Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска
    в DNS.
            440 последовательных ошибок.
            Последний успех @ 2015-02-13 07:45:02.
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-03 15:45:38 завершена с ошибкой, результат 5
     (0x5):
                Отказано в доступе.
            5178 последовательных ошибок.
            Последний успех @ 2015-01-13 12:55:16.
        TPKDOM-Tyumen01\DC02ROOT01 через  RPC
            DSA - GUID объекта: 9a3d4fa3-5c95-4fe2-a994-e4fed4b45290
            Последняя попытка @ 2015-03-03 15:46:20 завершена с ошибкой, результат 1
    722 (0x6ba):
                Сервер RPC недоступен.
            2232 последовательных ошибок.
            Последний успех @ 2015-02-12 16:45:03.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:46:20 успешна.
    
    CN=Schema,CN=Configuration,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tobolsk01\DC06MAIN05 через  RPC
            DSA - GUID объекта: 077b07ab-31ba-4736-8803-89b6920fcf5e
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NVartovsk01\DC08MAIN06 через  RPC
            DSA - GUID объекта: 9c8e69b5-5cef-4fe1-a416-9aaf00ab3ebe
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Kaskara01\DC15MAIN13 через  RPC
            DSA - GUID объекта: 35e28c11-0261-490b-bc1b-e96539238055
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Tyumen01\DC02ROOT01 через  RPC
            DSA - GUID объекта: 9a3d4fa3-5c95-4fe2-a994-e4fed4b45290
            Последняя попытка @ 2015-03-03 15:47:02 завершена с ошибкой, результат 1
    722 (0x6ba):
                Сервер RPC недоступен.
            455 последовательных ошибок.
            Последний успех @ 2015-02-12 16:45:03.
        TPKDOM-Tyumen01\DC03ROOT01 через  RPC
            DSA - GUID объекта: 81c7e94a-9164-4037-968c-98d5aabe96c0
            Последняя попытка @ 2015-03-03 15:47:09 завершена с ошибкой, результат 8
    524 (0x214c):
                Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска
    в DNS.
            440 последовательных ошибок.
            Последний успех @ 2015-02-13 07:45:02.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:47:09 успешна.
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-03 15:47:09 завершена с ошибкой, результат 5
     (0x5):
                Отказано в доступе.
            1186 последовательных ошибок.
            Последний успех @ 2015-01-13 12:55:16.
    
    DC=main,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tobolsk01\DC06MAIN05 через  RPC
            DSA - GUID объекта: 077b07ab-31ba-4736-8803-89b6920fcf5e
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NVartovsk01\DC08MAIN06 через  RPC
            DSA - GUID объекта: 9c8e69b5-5cef-4fe1-a416-9aaf00ab3ebe
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Kaskara01\DC15MAIN13 через  RPC
            DSA - GUID объекта: 35e28c11-0261-490b-bc1b-e96539238055
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:56:09 успешна.
    
    DC=DomainDnsZones,DC=main,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tobolsk01\DC06MAIN05 через  RPC
            DSA - GUID объекта: 077b07ab-31ba-4736-8803-89b6920fcf5e
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NVartovsk01\DC08MAIN06 через  RPC
            DSA - GUID объекта: 9c8e69b5-5cef-4fe1-a416-9aaf00ab3ebe
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Kaskara01\DC15MAIN13 через  RPC
            DSA - GUID объекта: 35e28c11-0261-490b-bc1b-e96539238055
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:47:09 успешна.
    
    DC=ForestDnsZones,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tobolsk01\DC06MAIN05 через  RPC
            DSA - GUID объекта: 077b07ab-31ba-4736-8803-89b6920fcf5e
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NVartovsk01\DC08MAIN06 через  RPC
            DSA - GUID объекта: 9c8e69b5-5cef-4fe1-a416-9aaf00ab3ebe
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Kaskara01\DC15MAIN13 через  RPC
            DSA - GUID объекта: 35e28c11-0261-490b-bc1b-e96539238055
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Tyumen01\DC03ROOT01 через  RPC
            DSA - GUID объекта: 81c7e94a-9164-4037-968c-98d5aabe96c0
            Последняя попытка @ 2015-03-03 15:45:38 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            440 последовательных ошибок.
            Последний успех @ 2015-02-13 07:45:02.
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-03 15:45:38 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            1355 последовательных ошибок.
            Последний успех @ 2015-01-13 14:01:06.
        TPKDOM-Tyumen01\DC02ROOT01 через  RPC
            DSA - GUID объекта: 9a3d4fa3-5c95-4fe2-a994-e4fed4b45290
            Последняя попытка @ 2015-03-03 15:46:20 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            476 последовательных ошибок.
            Последний успех @ 2015-02-12 16:45:03.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:47:09 успешна.
    
    DC=root,DC=tpkdom,DC=local
        TPKDOM-Tobolsk01\DC06MAIN05 через  RPC
            DSA - GUID объекта: 077b07ab-31ba-4736-8803-89b6920fcf5e
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-03 15:00:34 успешна.
        TPKDOM-NVartovsk01\DC08MAIN06 через  RPC
            DSA - GUID объекта: 9c8e69b5-5cef-4fe1-a416-9aaf00ab3ebe
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Kaskara01\DC15MAIN13 через  RPC
            DSA - GUID объекта: 35e28c11-0261-490b-bc1b-e96539238055
            Последняя попытка @ 2015-03-03 15:30:33 успешна.
        TPKDOM-Tyumen01\DC03ROOT01 через  RPC
            DSA - GUID объекта: 81c7e94a-9164-4037-968c-98d5aabe96c0
            Последняя попытка @ 2015-03-03 15:45:38 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            440 последовательных ошибок.
            Последний успех @ 2015-02-13 08:38:04.
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-03 15:45:38 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            1703 последовательных ошибок.
            Последний успех @ 2015-01-13 14:01:03.
        TPKDOM-Tyumen01\DC02ROOT01 через  RPC
            DSA - GUID объекта: 9a3d4fa3-5c95-4fe2-a994-e4fed4b45290
            Последняя попытка @ 2015-03-03 15:46:20 завершена с ошибкой, результат 1
    256 (0x4e8):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.
            486 последовательных ошибок.
            Последний успех @ 2015-02-12 16:45:03.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:47:09 успешна.
    
    Источник: TPKDOM-Tyumen01\DC02ROOT01
    ******* 836 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с 2015-02-22 20:29:14
    Последняя ошибка: 1722 (0x6ba):
                Сервер RPC недоступен.
    
    Источник: TPKDOM-Tyumen01\DC01ROOT01
    ******* 836 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с 2015-02-22 20:29:14
    Последняя ошибка: 5 (0x5):
                Отказано в доступе.
    
    Источник: TPKDOM-Tyumen01\DC03ROOT01
    ******* 255 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с 2015-03-01 00:10:26
    Последняя ошибка: 1722 (0x6ba):
                Сервер RPC недоступен.

    Запуск с КД ROOT (перелогинился):

    C:\Windows\system32>repadmin /showrepl
    
    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    TPKDOM-Tyumen01\DC01ROOT01
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
    DSA - код вызова: 94e650ed-d07a-42b4-80ac-1db213990ffa
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    CN=Configuration,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-03 15:56:01 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:56:01 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-03 15:56:02 успешна.
    
    CN=Schema,CN=Configuration,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-03 15:56:01 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:56:01 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-03 15:56:02 успешна.
    
    DC=ForestDnsZones,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-03 15:56:01 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:56:01 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-03 15:56:02 успешна.
    
    DC=main,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-03 15:56:01 успешна.
        TPKDOM-Tyumen01\DC01MAIN01 через  RPC
            DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
            Последняя попытка @ 2015-03-03 15:56:01 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-03 15:56:03 успешна.

    3 марта 2015 г. 10:59
  • Репликация с КД корневого домена на КД дочернего домена не идёт ("доступ запрещён"), поэтому изменения конфигурации, произведённые в корневом домене, в дочерний домен не реплицируются - отсюда и попытки реплицировать с уже удалённых КД.

    Прежде всего, выполните следующий тест на DC01ROOT01:

    DCDIAG /TEST:CheckSecurityErrors

    Во-вторых, даже если тесты прошли успешно, запрет доступа может быть вызван тем, что потерялся правильный пароль для доверительных отношений (насколько я помню этот тест данный аспект не проверяет). Об этом могут свидетельствовать ошибки KRB_AP_ERR_MODIFIED (у вас такие были в журнале событий, проверьте не появляются ли они снова) и ошибки входа в систему на КД корневого домена с именем пользователя, соотвествующим имени дочернего домена - MAIN$ с "причиной неизвестный пользователь или неверный пароль" (чтобы эти ошибки фиксировались в журнале безопасности, надо включить через политику аудит неудачных попыток входа в систему, по умолчанию он отключен).


    Слава России!

    3 марта 2015 г. 11:53
  • Ошибок KRB_AP_ERR_MODIFIED нет с сегодняшнего утра. Они появлялись до сегодняшних работ со службой DFS Replication. Больше не появлялись.

    DCDIAG /TEST:CheckSecurityError выдаёт что всё ок.

    C:\Windows\system32>DCDIAG /TEST:CheckSecurityError
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC01ROOT01
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC01ROOT01
          Запуск проверки: Connectivity
             ......................... DC01ROOT01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: TPKDOM-Tyumen01\DC01ROOT01
          Запуск проверки: CheckSecurityError
             [DC01ROOT01] На данном контроллере домена не обнаружены ошибки
             репликации, связанные с безопасностью.  Чтобы указать определенный
             исходный контроллер домена в качестве целевого для подключения,
             используйте /ReplSource:<контроллер>.
             ......................... DC01ROOT01 - пройдена проверка
             CheckSecurityError
    
    
       Выполнение проверок разделов на: ForestDnsZones
    
       Выполнение проверок разделов на: DomainDnsZones
    
       Выполнение проверок разделов на: Schema
    
       Выполнение проверок разделов на: Configuration
    
       Выполнение проверок разделов на: root
    
       Выполнение проверок предприятия на: root.tpkdom.local
    Сейчас включу логирование ошибок входа в систему.


    3 марта 2015 г. 12:13
  • Есть вот такие записи в аудите отказа:

    Запрошен билет службы Kerberos.
    Сведения об учетной записи:
    	Имя учетной записи:		
    	Домен учетной записи:		
    	GUID входа:		{00000000-0000-0000-0000-000000000000}
    Сведения о службе:
    	Имя службы:		
    	Идентификатор службы:		NULL SID
    Сведения о сети:
    	Адрес клиента:		::ffff:172.16.240.15
    	Порт клиента:		56188
    
    Дополнительные сведения:
    	Параметры билета:		0x40810000
    	Тип шифрования билета:	0xffffffff
    	Код ошибки:		0x1f
    	Службы передачи:	-
    
    Данное событие возникает каждый раз при запросе доступа к ресурсу, такому как компьютер или служба Windows.  Поле "Имя службы" указывает ресурс, доступ к которому запрашивался.
    
    Это событие можно связать с событиями входа Windows, сравнивая поля "GUID входа" каждого из событий.  Событие входа регистрируется на компьютере, к которому запрашивался доступ. Часто этот компьютер отличается от контроллера домена, выдавшего билет службы.
    
    Параметры билета, типы шифрования и коды ошибок определены в стандарте RFC 1510.  
    172.16.240.15 это один из КД домена MAIN.
    3 марта 2015 г. 12:18
  • Код ошибки - KRB_AP_ERR_BAD_INTEGRITY - свидетельствует об использовании неверного ключа для расшифровки билета (возможно - долговременного на основе пароля, точнее можно посмотреть по флагам, но пока я не смотрел).

    Чтобы убедиться, что проблема не вызвана устаревшими кэшированными данными, попробуйте на КД дочернего домена сбросить кэш билетов Kerberos - перезагрузкой или командой klist -li 3e7 purge из командной строки в режиме администратора. После чего инициируйте на этом КД репликацию с DC01ROOT01 и посмотрите результат (факт успеха или коды ошибок и появляющиеся в журналах событий исходного и целевого КД события ошибок и неудачного входа).


    Слава России!



    • Изменено M.V.V. _ 3 марта 2015 г. 12:58
    3 марта 2015 г. 12:55
  • А ещё имеет смысл сразу проверить доверительные отношения между корневым и дочерним доменами с помощью консоли AD Домены и доверие (там в окне свойств каждого партнера по доверию есть для этого специальная кнопка).

    Слава России!

    3 марта 2015 г. 13:39
  • Доверие проверено. Оно работоспособно и активно.

    Сначала на домене MAIN проверил - ошибка. Потом ошибка пропала. klist -li 3e7 purge сделал.


    • Изменено anugma 4 марта 2015 г. 5:56
    4 марта 2015 г. 5:52
  • Смотрите теперь репликацию на КД дочернего домена с КД корневого - пошла?

    Слава России!

    4 марта 2015 г. 9:52
  • Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    TPKDOM-Tyumen01\DC01MAIN01
    Параметры DSA: IS_GC
    Параметры узла: (none)
    DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
    DSA - код вызова: 1ab8bcfc-4087-42c4-9375-a18b22e8d15b
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-04 14:49:06 завершена с ошибкой, результат 8
    606 (0x219e):
                Задано недостаточно атрибутов для создания объекта. Этот объект не м
    ожет существовать, поскольку он был удален и собран в качестве мусора.
            9 последовательных ошибок.
            Последний успех @ (never).
    Но при ручной репликации ошибки больше нет.

    • Изменено anugma 4 марта 2015 г. 9:59
    4 марта 2015 г. 9:58
  • Вы слишком сильно обрезали выдачу repadmin /showrepl: не видно даже, в каком разделе каталога возникает ошибка 8606. А методы борьбы с ней зависят от того, является ли этот раздел полной копией, доступной для записи, или же частичной копией только для чтения в глобальном каталоге.

    Слава России!

    4 марта 2015 г. 10:19
  • Прошу прощения. Думал, остальное не важно:

    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    TPKDOM-Tyumen01\DC01MAIN01
    Параметры DSA: IS_GC
    Параметры узла: (none)
    DSA - GUID объекта: fcffc035-9758-408e-bddb-398b94a59af8
    DSA - код вызова: 1ab8bcfc-4087-42c4-9375-a18b22e8d15b
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    CN=Configuration,DC=root,DC=tpkdom,DC=local
        TPKDOM-Kurgan01\DC04MAIN03 через  RPC
            DSA - GUID объекта: 2d4c0d92-05ff-4006-bd08-252f3ac91ec6
            Последняя попытка @ 2015-03-04 14:49:06 успешна.
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-04 14:49:06 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-04 14:49:07 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-Ishim01\DC05MAIN04 через  RPC
            DSA - GUID объекта: 0f175840-570a-454d-a017-d7b24e7ab414
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-04 15:05:01 завершена с ошибкой, результат 8
    606 (0x219e):
                Задано недостаточно атрибутов для создания объекта. Этот объект не м
    ожет существовать, поскольку он был удален и собран в качестве мусора.
            10 последовательных ошибок.
            Последний успех @ (never).
    
    CN=Schema,CN=Configuration,DC=root,DC=tpkdom,DC=local
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-04 14:49:06 успешна.
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-04 14:49:06 успешна.
        TPKDOM-Kurgan01\DC04MAIN03 через  RPC
            DSA - GUID объекта: 2d4c0d92-05ff-4006-bd08-252f3ac91ec6
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-Ishim01\DC05MAIN04 через  RPC
            DSA - GUID объекта: 0f175840-570a-454d-a017-d7b24e7ab414
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
    
    DC=ForestDnsZones,DC=root,DC=tpkdom,DC=local
        TPKDOM-Kurgan01\DC04MAIN03 через  RPC
            DSA - GUID объекта: 2d4c0d92-05ff-4006-bd08-252f3ac91ec6
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-Ishim01\DC05MAIN04 через  RPC
            DSA - GUID объекта: 0f175840-570a-454d-a017-d7b24e7ab414
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-04 15:07:15 успешна.
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-04 15:07:15 успешна.
    
    DC=main,DC=root,DC=tpkdom,DC=local
        TPKDOM-Kurgan01\DC04MAIN03 через  RPC
            DSA - GUID объекта: 2d4c0d92-05ff-4006-bd08-252f3ac91ec6
            Последняя попытка @ 2015-03-04 14:49:08 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-04 14:49:09 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-04 14:49:09 успешна.
        TPKDOM-Ishim01\DC05MAIN04 через  RPC
            DSA - GUID объекта: 0f175840-570a-454d-a017-d7b24e7ab414
            Последняя попытка @ 2015-03-04 14:49:09 успешна.
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-04 15:06:54 успешна.
    
    DC=DomainDnsZones,DC=main,DC=root,DC=tpkdom,DC=local
        TPKDOM-Kurgan01\DC04MAIN03 через  RPC
            DSA - GUID объекта: 2d4c0d92-05ff-4006-bd08-252f3ac91ec6
            Последняя попытка @ 2015-03-04 14:49:09 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-04 14:49:09 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-04 14:49:09 успешна.
        TPKDOM-Ishim01\DC05MAIN04 через  RPC
            DSA - GUID объекта: 0f175840-570a-454d-a017-d7b24e7ab414
            Последняя попытка @ 2015-03-04 14:49:09 успешна.
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-04 15:01:56 успешна.
    
    DC=root,DC=tpkdom,DC=local
        TPKDOM-Kurgan01\DC04MAIN03 через  RPC
            DSA - GUID объекта: 2d4c0d92-05ff-4006-bd08-252f3ac91ec6
            Последняя попытка @ 2015-03-04 14:49:09 успешна.
        TPKDOM-NYugansk01\DC10MAIN08 через  RPC
            DSA - GUID объекта: 755eda26-b932-4d95-a4b0-49ff585a4727
            Последняя попытка @ 2015-03-04 14:49:10 успешна.
        TPKDOM-NUrengoy01\DC09MAIN07 через  RPC
            DSA - GUID объекта: ea58d622-c04b-46e5-a957-208152fba7d1
            Последняя попытка @ 2015-03-04 14:49:10 успешна.
        TPKDOM-Ishim01\DC05MAIN04 через  RPC
            DSA - GUID объекта: 0f175840-570a-454d-a017-d7b24e7ab414
            Последняя попытка @ 2015-03-04 14:49:10 успешна.
        TPKDOM-Tyumen01\DC02MAIN01-R2 через  RPC
            DSA - GUID объекта: 8a951eec-0635-4d59-b77a-2c6bc1449cc0
            Последняя попытка @ 2015-03-04 15:07:06 успешна.
        TPKDOM-Tyumen01\DC01ROOT01 через  RPC
            DSA - GUID объекта: 89c806c5-63c1-4ecd-b409-7b0113a4a7a3
            Последняя попытка @ 2015-03-04 15:07:29 успешна.
    
    Источник: TPKDOM-Tyumen01\DC01ROOT01
    ******* 9 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с (never)
    Последняя ошибка: 8606 (0x219e):
                Задано недостаточно атрибутов для создания объекта. Этот объект не м
    ожет существовать, поскольку он был удален и собран в качестве мусора.

    4 марта 2015 г. 10:25
  • Проблема - с разделом конфигурации. Он доступен для записи на всех КД и он содержит критически важную для работы AD информацию, в частности, там хранится вся физическая структура AD - сайты, подсети, данные о КД и подключениях репликации между ними. Поэтому, прежде всего, не торопитесь ничего удалять: сначала надо понять, на каких именно объектах возникают проблемы и их текущий статус.

    Ссылку на статью с рекомендациями Microsoft по устранению этой проблемы сейчас найду и выложу. После этого обсудим, что делать дальше.


    Слава России!

    4 марта 2015 г. 10:41
  • Вот, собственно, сама статья в Technet Library, к сожалению она есть только на английском. Там весьма полно изложены способы диагностики и процедуры решения проблемы "застрявших" (или устаревших, lingering) объектов.

    Прежде всего, вам нужно определить, сколько этих объектов, что это за объекты, и находятся ли они в удалённом состоянии (секция Resolution в статье). Способы решения проблемы зависят от состояния каждого из застрявших объектов. Если вкратце, то неудалённые объекты надо либо удалить вручную (если их надо удалять), либо (если их надо оставить) продёрнуть номера USN всех их атрибутов (например, с помощью ntdsutil authoritative restore); удалённые же объекты следует чистить командой repadmin /removelingeringobjects после того, как разберётесь с неудалёнными объектами.

    Если вам потребуется помощь по решению этой проблемы, то для этого необходима будет информация, которую предлагается собрать в секции Resolution.


    Слава России!

    4 марта 2015 г. 11:07
  • Не получается.

    В самом первом сообщении появляется:

    C:\Windows\system32>repadmin /showattr . "CN=Directory Service,CN=Windows NT,CN=
    Services,CN=Configuration,DC=root,DC=tpkdom,DC=local> /atts:tombstonelifetime
    
    Repadmin: выполнение команды /showattr контроллере домена localhost с полным дос
    тупом
    Не удается найти объект для этого DN: CN=Directory Service,CN=Windows NT,CN=Serv
    ices,CN=Configuration,DC=root,DC=tpkdom,DC=local> /atts:tombstonelifetime
    Ошибка. Не удалось выполнить операцию просмотра в LDAP из-за следующей ошибки:
    
        Ошибка LDAP 34(0x22): Недопустимый синтаксис DN
        Ошибка Win32 сервера 8335(0x208f): Имя объекта имеет недопустимый синтаксис.
    
        Расширенные сведения: 0000208F: NameErr: DSID-031001F7, problem 2006 (BAD_NA
    ME), data 8349, best match of:
            'CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=root
    ,DC=tpkdom,DC=local> /atts:tombstonelifetime'

    Хотя этот объект в AD есть.

    Плюс к этому, на обоих КД появляется одна и та же ошибка:

    Клиент создал запрос DirSync LDAP для раздела каталога. Отказано в доступе из-за ошибки. 
     
    Раздел каталога: 
    CN=Configuration,DC=root,DC=tpkdom,DC=local 
    Значение ошибки: 
    8453 Доступ к репликации отвергнут. 
     
    Действие пользователя 
    Клиент не должен получать доступ для этого запроса.  Если клиенту требуется это, следует назначить право доступа "Репликация изменений каталога  в фильтрованном наборе" на этом разделе каталога.



    • Изменено anugma 17 марта 2015 г. 4:07
    17 марта 2015 г. 4:06
  • В команде repadmin /showattr имя объекта должно быть заключено в двойные кавычки. У вас вместо закрывающих кавычек стоит знак ">" (видимо, из-за опечатки в статье) - замените его на двойные кавычки.

    Про вторую ошибку, если она будет возникать дальше, напишите подробнее - где вы её видите. Если это событие из журнала - приводите его целиком, а не только текст.


    Слава России!

    17 марта 2015 г. 10:19
  • По первому вопросу: остановился на 2 и 3 пунктах в разделе RESOLUTION. У меня нет ошибок 8606 или 1988.

    По второму вопросу: ошибка в логах "Службв каталогов". Номер 2896

    И кроме этого текста в ней ничего нет. Пользователь, указанный в логе: компьютер MAIN\TMN-SRVLYNC001$ (наш Линк сервер).


    • Изменено anugma 17 марта 2015 г. 12:32
    17 марта 2015 г. 12:28
  • Ошибка с кодом ошибки (не номером события) 8606 у вас была зафиксирована в последней выложенной на форум выдаче repadmin /showrepl с КД DC01MAIN01. Именно на нём нужно отфильтровать журнал событий по событиям с номером 1988 и выяснить, для какого объекта или объектов они возникают.

    Считаете что этой ошибки у вас там нет - смотрите repadmin /showrepl заново.

    На других КД - партнёрах репликации DC01ROOT01 (если таковые есть) тоже желательно проверить, идёт ли репликация, и, если есть ошибки с кодом 8606, - определить, из-за каких объектов AD они возникают.

    По второму вопросу: вот видите, как полезно выкладывать содержимое события целиком - теперь без помощи телепатов понятно, что ошибка вызвана тем, что сервер Lync пытается отслеживать изменения в AD, но не может этого сделать, т.к. на соответствующем КД у него нет нужных разрешений для раздела конфигурации. Разрешения могли не быть даны при установке и настройке Lync, а могли просто не дойти из-за того, что репликация AD не совсем работает. Почините репликацию - разберётесь. Сейчас это пока что не актуально.


    Слава России!




    • Изменено M.V.V. _ 17 марта 2015 г. 14:53
    17 марта 2015 г. 14:49
  • >КД DC01MAIN01

    Прошу прощения, перепутал.

    Ошибка такого вида:

    C:\Windows\system32>repadmin /showobjmeta _msdcs.root.tpkdom.local "4c07b8f2-17d
    b-4606-9d61-34054d3409fb"
    Repadmin не удается подключиться к основному серверу из-за следующей ошибки.  Ук
    ажите другой основной сервер
     в параметре /homeserver:[имя DNS]
    Ошибка. Не удалось выполнить операцию просмотра в LDAP из-за следующей ошибки:
    
        Ошибка LDAP 81(0x51): Сервер отключен
        Ошибка Win32 сервера 0(0x0):
        Расширенные сведения:

    В логах ошибка:

    Исходный контроллер домена: 
    89c806c5-63c1-4ecd-b409-7b0113a4a7a3._msdcs.root.tpkdom.local 
    Объект: 
    CN=f7e9b21b-5f93-47f5-b15d-7ef2b7d3d72b\0ADEL:4c07b8f2-17db-4606-9d61-34054d3409fb,CN=Deleted Objects,CN=Configuration,DC=root,DC=tpkdom,DC=local 
    GUID объекта: 
    4c07b8f2-17db-4606-9d61-34054d3409fb  Это событие попало в журнал, поскольку в исходном контроллере домена имеется устаревший объект, не существующий в базе данных служб доменов Active Directory локального контроллера домена.  Попытка репликации была заблокирована.
    Где-то ошибка, но не могу понять где.

    • Изменено anugma 18 марта 2015 г. 4:29
    18 марта 2015 г. 4:29
  • Ошибка у вас в том, что вы неправильно указали имя КД в команде repadmin /showobjmeta

    Правильная команда - вот такая:

    repadmin /showobjmeta 89c806c5-63c1-4ecd-b409-7b0113a4a7a3._msdcs.root.tpkdom.local "4c07b8f2-17db-4606-9d61-34054d3409fb"

    или (раз мы знаем, что проблемный объект - на DC01ROOT01)

    repadmin /showobjmeta DC01ROOT01.root.tpkdom.local "4c07b8f2-17db-4606-9d61-34054d3409fb"

    Объект, скорее всего удалён (видно по имени), но, на всякий случай, проверьте IsDeleted в метаданных на нечётность.

    Если это - единственный объект, фиксируемый в журнале событий, и он удалён, то его можно смело вычищать командой

    repadmin /removelingeringobjects DC01ROOT01.root.tpkdom.local fcffc035-9758-408e-bddb-398b94a59af8  CN=Configuration,DC=root,DC=tpkdom,DC=local

    Для успешного выполнения команды, скорее всего, потребуется запускать её от имени пользователя - члена группы "Администраторы предприятия" (например от встроенной учётной записи Администратор корневого домена).

    Для начала можете выполнить предыдущую команду с дополнительным ключом /ADVISORY_MODE, чтобы убедиться, что застрявший объект - единственный (число таких найденных объектов эта команда записывает в журнал событий службы каталогов).




    Слава России!



    • Изменено M.V.V. _ 18 марта 2015 г. 9:34
    18 марта 2015 г. 9:32
  • Удалил старую запись (да, вы были правы - она одна). Спустя 3 часа ошибок нет. Благодарю.

    Что касается второй ошибки ( с сервером Lync), эта ошибка была до неудачного переезда контроллера домена.

    Ну и осталась всего одна проблема: как перевезти 2 контроллера домена из домена MAIN (DC01MAIN01 и DC02MAIN01-R2) с сервера Hyper-V на VmWare. Я полагаю, сделать их копию Акронисом будет не самой умной идеей. )
    Пока на уме только такой вариант: Через ntdsutil удалить контроллер домена DC01MAIN01, передав все его роли контроллеру DC02MAIN01-R2. Затем поднять новый DC01MAIN01, удалить DC02MAIN01-R2 и передать его роли контроллеру DC01MAIN01. Затем поднять заново DC02MAIN01.

    Геморроя много. Есть вариант проще?

    18 марта 2015 г. 12:41
  • Фиксируем: работоспособность вашей инфраструктуры AD сейчас восстановлена, а это уже - совсем другая проблема. Лучше по ней открыть другую тему, причем, в другом разделе - Виртуализация. Там и специалисты другие, лучше знакомые с проблематикой чаще заглядывают.

    Вкратце по её решению, что знаю я.

    Самый безопасный способ - создать новые виртуальные КД, удостовериться, что они работают нормально, после чего вывести из эксплуатации старые (предварительно понизив их с помощью dcpromo).

    У VMWare есть бесплатный конвертор, который умеет конвертировать в виртуальные машины для инфраструктуры ESXi/VSphere системы из самых разных источников: работающие физические и виртуальные машины, а также - незапущенные виртуальные машины из разных сред виртуализации (в т.ч. - и Hyper-V версий для Win2K8 R2, однако на момент, когда я последний раз им пользовался - где-то полгода назад - поддержки Hyper-V для Win2012 там не было).

    Работающие виртуальные машины - контроллеры доменов переносить таким образом нельзя. Сама VMWare поддерживает их конвертацию только путём понижения КД (с помощью dcpromo), онлайновую конвертацию и последующее повышение конвертированной машины до контроллера домена. Поскольку у вас сейчас срепликацией проблем нет, то штатное понижение КД должно пройти успешно (удостоверьтесь только перед понижением, что нет проблем с репликацией содержимого SYSVOL - по журналам событий DFSR и/или с помощью dfsrdiag.exe).

    Насколько я понимаю, выключенный КД с Hyper-V поддерживаемых конвертором версий переносить можно - его загрузки в процессе не происходит. Во всяком случае, в тестовой среде я это проделывал успешно.

    Средства для конвертации есть и у Microsoft - в составе System Center Virtual Machine Manager, подробности см., например, здесь (на английском языке). Но это AFAIK - платный продукт.

    И всегда остается вариант переноса с помощью Windows Server Backup: восстановление полной резервной копии КД на новой виртуальной машине.

    В любом варианте старый КД после его конвертации в выключенном состоянии или снятия резервной копии включать в сеть больше нельзя ни в коем случае.

    PS Если откроете новую тему - оставьте там, пожалуйста, ссылку на это сообщение.


    Слава России!

    18 марта 2015 г. 13:34
  • Ещё раз благодарю за помощь. Часть нашей переписки добавил во внутрикорпоративный FAQ. Очень полезные сведения на понятном языке.
    18 марта 2015 г. 14:10