none
АД перестал нормально работать.

    Вопрос

  • У меня два сервера с КД.

    Один не может загрузиться, старый он. 

    А второй в одиночестве не хочет работать нормально. Пропали разные доступы к папкам у сотрудников.

    Второй новый и на него надежды, когда-то на него перенес роли  FSMO (надеюсь они на месте)

    Подозреваю главный сервер времени остался на старом.


    сделал dcdiag на новом, но что с этим делать?

    C:\Users\admin>dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = SERV
       * Идентифицирован лес AD.
       Сбой функции поиска по атрибутам Ldap на сервере ISA, возвращенное значение
       = 81
       Получена ошибка при проверке использования контроллером домена FRS или DFSR.
       Ошибка. Win32 Error 81Из-за этой ошибки могли не быть выполнены проверки
       VerifyReferences, FrsEvent и DfsrEvent.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site\SERV
          Запуск проверки: Connectivity
             ......................... SERV - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site\SERV
          Запуск проверки: Advertising
             Неустранимая ошибка: сбой при вызове DsGetDcName (SERV), ошибка 1355
             Локатору не удается найти сервер.
             ......................... SERV - не пройдена проверка Advertising
          Запуск проверки: FrsEvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... SERV - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... SERV - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... SERV - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... SERV - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... SERV - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... SERV - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... SERV - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             Не удается подключиться к общему ресурсу NETLOGON. (\\SERV\netlogon)
             [SERV] Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..
             ......................... SERV - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... SERV - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             [Replications Check,SERV] Сбой при последней попытке репликации:
                Из ISA в SERV
                Контекст именования: DC=ForestDnsZones,DC=altair,DC=local
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.

                Сбой возник в 2018-11-07 17:46:42.
                Последняя успешная операция была в 2018-11-05 21:48:12. После
                последней успешной операции было
                46 сбоев.
             [ISA] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
             Сервер RPC недоступен..
             [Replications Check,SERV] Сбой при последней попытке репликации:
                Из ISA в SERV
                Контекст именования: DC=DomainDnsZones,DC=altair,DC=local
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.

                Сбой возник в 2018-11-07 17:46:42.
                Последняя успешная операция была в 2018-11-05 21:48:12. После
                последней успешной операции было
                46 сбоев.
             [Replications Check,SERV] Сбой при последней попытке репликации:
                Из ISA в SERV
                Контекст именования: CN=Schema,CN=Configuration,DC=altair,DC=local
                При репликации возникла ошибка (1722):
                Сервер RPC недоступен.
                Сбой возник в 2018-11-07 17:47:24.
                Последняя успешная операция была в 2018-11-05 21:48:12. После
                последней успешной операции было
                45 сбоев.
                Источник все еще отключен. Проверьте компьютер.
             [Replications Check,SERV] Сбой при последней попытке репликации:
                Из ISA в SERV
                Контекст именования: CN=Configuration,DC=altair,DC=local
                При репликации возникла ошибка (1722):
                Сервер RPC недоступен.
                Сбой возник в 2018-11-07 17:47:03.
                Последняя успешная операция была в 2018-11-05 21:59:31. После
                последней успешной операции было
                45 сбоев.
                Источник все еще отключен. Проверьте компьютер.
             [Replications Check,SERV] Сбой при последней попытке репликации:
                Из ISA в SERV
                Контекст именования: DC=altair,DC=local
                При репликации возникла ошибка (1722):
                Сервер RPC недоступен.
                Сбой возник в 2018-11-07 17:46:42.
                Последняя успешная операция была в 2018-11-05 22:13:09. После
                последней успешной операции было
                45 сбоев.
                Источник все еще отключен. Проверьте компьютер.
             ......................... SERV - не пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... SERV - пройдена проверка RidManager
          Запуск проверки: Services
                Не удалось открыть службу NTDS в SERV, ошибка 0x5
                "Отказано в доступе."
             ......................... SERV - не пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   17:38:53
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   17:39:25
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   17:40:49
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   17:43:53
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   17:48:53
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 11/07/2018   17:53:53
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить н
    овые параметры групповой политики для этого пользователя или компьютера. На вкла
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повто
    рит попытку выполнения этой операции при следующем цикле обновления. Присоединен
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и имет
    ь подключение к контроллеру домена для обнаружения новых объектов групповой поли
    тики и их параметров. Когда обработка групповой политики будет выполнена успешно
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 11/07/2018   17:59:09
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить н
    овые параметры групповой политики для этого пользователя или компьютера. На вкла
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повто
    рит попытку выполнения этой операции при следующем цикле обновления. Присоединен
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и имет
    ь подключение к контроллеру домена для обнаружения новых объектов групповой поли
    тики и их параметров. Когда обработка групповой политики будет выполнена успешно
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 11/07/2018   18:04:25
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить н
    овые параметры групповой политики для этого пользователя или компьютера. На вкла
    дке "Подробности" можно найти код и описание ошибки. Windows автоматически повто
    рит попытку выполнения этой операции при следующем цикле обновления. Присоединен
    ные к домену компьютеры должны успешно проходить процесс разрешения имени и имет
    ь подключение к контроллеру домена для обнаружения новых объектов групповой поли
    тики и их параметров. Когда обработка групповой политики будет выполнена успешно
    , это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0xC00038D6
                Время создания: 11/07/2018   18:07:24
                Строка события:
                Службе пространства имен не удалось инициализировать сведения о дове
    рительных отношениях между лесами на этом контроллере домена; она будет периодич
    ески повторять выполнение операции. Код возврата находится в данных.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   18:09:25
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   18:14:25
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   18:19:25
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   18:24:25
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 11/07/2018   18:27:00
                Строка события:
                Драйвер HP LaserJet Professional P 1102w для принтера !!diz-1!HP Las
    erJet Professional P 1102w не опознан. Обратитесь к сетевому администратору, что
    бы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 11/07/2018   18:27:04
                Строка события:
                Драйвер HP LaserJet Professional P 1102w для принтера !!isa!HP Laser
    Jet Professional P 1102w не опознан. Обратитесь к сетевому администратору, чтобы
     он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 11/07/2018   18:27:08
                Строка события:
                Драйвер PageManager PDF Writer для принтера PageManager PDF Writer н
    е опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйв
    ер.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   18:29:25
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 11/07/2018   18:34:25
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить
     имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, ч
    то служба DNS настроена и работает правильно.
             ......................... SERV - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... SERV - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: altair
          Запуск проверки: CheckSDRefDom
             ......................... altair - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... altair - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: altair.local
          Запуск проверки: LocatorCheck
             Внимание! Сбой при вызове функции DcGetDcName(GC_SERVER_REQUIRED),
             ошибка 1355
             Не удается найти сервер глобального каталога - все глобальные каталоги
             отключены.
             Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
             1355
             Не удается найти сервер времени.
             Сервер, которому принадлежит роль PDC, отключен.
             Внимание! Сбой при вызове функции
             DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
             Не удается найти сервер точного времени.
             Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка
             1355
             Не удается найти центр распространения ключей (KDC) - все KDC
             отключены.
             ......................... altair.local - не пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... altair.local - пройдена проверка Intersite

    C:\Users\admin>

    7 ноября 2018 г. 15:43

Все ответы

  • Наиболее вероятная причина проблемы - проблема с репликацией SYSVOL на новом контроллере домена со старого.

    Для начала проверяем наличие содержимого общей папки SYSVOL\altair.local (обычно  она находится на диске по пути C:\WINODOWS\SYSVOL\domain, но возможны варианты) на новом контроллере домена: там должны быть папки Policies (с кучей подпапок с именами в виде GUID - наборов шестнадцатеричных цифр в фигурных скобках - это папки политик) и Scripts (обычно - пустая). Судя по некоторым признакам, у вас там пусто. Если это так, то необходимо достать и скопировать содержимое этой папки со старого контроллера домена. Если у вас не получается, то на этом придется пока остановиться и пожаловаться на судьбу здесь на форуме (что при этом делать - тоже напишу, если такое случится). 

    Если получилось скопировать - запускаете редактор реестра и сообщаете AD, что SYSVOL у вас в порядке: измените значение SysvolReady HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters в 1 (добавьте этот параметр, типа Dword, если его там вдруг нет). После этого тест Advertising в dcdiag (и куча связанных с ним тестов) у вас должен пройти - это укажет

    После этого необходимо указать службе репликации SYSVOL, что теперь на новом контроллере - полноценная (и полномочная, т.е. главная) копия его содержимого. Т.к. за репликацию у вас, судя по выдаче dcdiag , отвечает старая добрая FRS, то делается это следующим образом:

    1. Остановить Службу репликации файлов (ntfrs) - командой net stop ntfrs или из консоли Службы

    2. В реестре установить параметр BurFlags под ключом HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup в значение D4 (шестнадцатеричное).

    3.  Запустить службу репликации файлов (ntfrs) - командой net start ntfrs или из консоли Службы

    Таким образом вы восстановите стабильное состояние службы репликации SYSVOL на этом контроллере - чтобы она не выкинула никаких фокусов в дальнейшем.

    После этого решайте, что делать со старым КД  - либо удаляйте (из AD Users & Computers или AD Sites & Services), либо восстанавливайте. Если будете восстанавливать, то для восстановления работы службы репликции SYSVOL нужно будет выполнить (неполномочную синхронизацию) - проделать перечисленные выше 3 пункта, только вместо D4 установить значение BurFlags в D2


    Слава России!

    7 ноября 2018 г. 19:15
  • Домен достался довольно давно и без особых сложностей настраивался.
    Там в основном всё по простому. Даже групп нету.



    Содержимое
    C:\WINODOWS\SYSVOL\domain

    Две папки
    DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    NtFrs_PreExisting___See_EventLog

    Доступа к коим  система давать не хочет.

    ...должны быть папки Policies....
    не наблюдаю (((   см. Снимок
    Политики то и не создавались вручную, по идее и не должно их быть их.

    Возможно удастся скопировать со старого, добраться до него еще нужно физически, кто рядом был - говорили сетевая не моргала.


    Просмотрел в реестре .
    SysvolReady 0
    BurFlags равно 0.

    Пока не доехал, сделал эти две папки Policies и Scripts, просто создал, хотя что там по безопастности не знаю

    Установил эти два параметра в 1 и в D4  соответственно с остановкой службы.

    В шарах появились долгожданные sysvol и netlogon.
    Нормально начали открываться некотороые оснастки.
    Если ранее в шару к кому-то не мог войти по ip, а только по имени, то сейчас удалось.
    По dcdiag еще много ошибок при обработке групповой политики, видимо они как-то существуют.
    Доберусь до старого КД, попробую скопировать и после это-го уже потестировать.

    Но в любом случае уже лучше, спасибо огромное. 
    7 ноября 2018 г. 20:56
  • Утром просмотрел, а BurFlags равно 0

    Вчера ставил в D4, а он сам обнулился?

    8 ноября 2018 г. 5:14
  • Да, обнуляется сам.

    Сейчас у вас не работают политики, а всё остальное должно быть в относительной норме.

    Чтобы политики заработали, надо восстановить содержимое SYSVOL.

    Оно могло остаться в папке NtFrs_PreExisting___See_EventLog (туда можно добраться чем-нибудь вроде Far или Total Commander, если запустить в режиме администратора).



    Слава России!


    • Изменено M.V.V. _ 8 ноября 2018 г. 8:46
    8 ноября 2018 г. 8:45
  • Запланировал поездку к ним утром.
    8 ноября 2018 г. 13:19
  • Приехахал. Старый сервер был выкл.
    Включил. Вошел по RDP. Пусть пока живет.


    Далее на новом папок добавилось в C:\Windows\SYSVOL\domain

    см рис

    Нашел две политики в старом сервере, скопировал.
    Теперь они в обоих папках
    Policies
    и
    Policies_NTFRS_00025a1c

    Подозреваю одна лишняя
    Аналогично со Script
    Но делать что или нет?


    BurFlags поставил D2 (было 0) на новом.
    Правильно?  Или это нужно на старом (там он равен 0)
    9 ноября 2018 г. 13:43
  • BurFlags=D2 надо было делать на другом - на старом. А так у вас конфликт вылез между папками.

    Теперь, для начала, проверьте, что в папке Policies на обоих серверах одна и та же информация. Лучше всего - запустите консоль управления групповой политикой, по очереди подключитесь к каждому и серверов и проверьте, что нет конфлкта версий.

    Если с этим всё нормально, то лучше, для уверенности проделать синхронизацию: полномочную (Burflags=D4) на одном КД(любом) и неполномочную (BurFlags=D2) на другом. Только надо делать это одновременно: остановить на обоих службу репликации файлов, поменять BurFlags и запустить службы.

    После этого можно удалить лишние папки.


    Слава России!

    10 ноября 2018 г. 18:54
  • ...надо было делать на другом...
    Понятно. 

    Но эти папки уже были до смены BurFlags.
    Вроде бы они появились сразу после включения второго сервера,
    Хотя могу ошибаться.



    ...одна и та же информация...
    Разная только дата. сделал в папке Policies текстовый файлик. Он быстро реплицировался в другой сервер.

    ...подключитесь к каждому и серверов и проверьте, что нет конфлкта версий...

    А вот здесь непонятка.
    На новом, который 2008R2  развернул упроавленте GP. а на старом 2003м нету такого.

    И если с 2008 -го подключаться к другому серверу - это как, нету такого ((( см рис.
    11 ноября 2018 г. 15:18
  • Для Win2K3 консоль управления групповой политикой вам не нужна (для справки: она существует, но в виде загружаемого с сайта MS компонента)

    Потому что в консоли управления групповой политикой можно выбрать сервер, на который она настроена для управление политиками (а по умолчанию она настроена PDC emulator на любом из контроллеров).


    Слава России!

    11 ноября 2018 г. 15:52
  • Таааак, удалось запустить две оснастки и в каждой подключиться к разным серверам.

    Слева старый ISA, справа новый SERV.

    Из активных политик  - один объект. А версии разные ли, если разные даты изменений.


    ...конфликта версий... - он есть? или разные даты изменения ни в счет?
    По всем 4м объектам версии сходятся и по пользователю и по компьютеру.

    12.01.2018 - это примерное время поднятия КД на новом сервере.




    Можно делать вывод, что конфликта версий нету?
    11 ноября 2018 г. 17:42
  • Нет у вас конфликта версий.

    Слава России!

    11 ноября 2018 г. 20:50
  • Остановил службы.

    BurFlags поставил на d4 на новом и d2  на старом.

    Удалили папки, но не все, рука не поднялась. Названия у них особенные.

    Или нужно было удалить?

    Запустил службы.

    dcdiag проходит нормально.

    12 ноября 2018 г. 10:40
  • Удалять, в принципе, можно всё, но  нужно - дубликаты папок Policies и Scripts. А можно и не удалять ничего - даже эти дубли ничему не мешают.

    Слава России!

    12 ноября 2018 г. 12:18
  • Пусть остается как есть,  в одной папке есть копии двух политик, пусть лежат на всякий случай.

    Еще хочется проверить службу времени, есть подозрение, что синхронизация идет от старого сервера, а нужно от нового.

    Как проверить? Сделать минутное смещение и посмотреть как обновиться время на другом сервере?

    Или есть другой способ.

    13 ноября 2018 г. 12:07