none
Перенос на другой контроллер домена при недоступности первого RRS feed

  • Вопрос

  • Добрый день!

    Возникла проблема. После падения dc01, он загрузился только в режиме восстановления каталогов. Копии AD нет. Понизить уровень контроллера домена не получилось. Сейчас dc01 работает с ошибками, но многие службы работают. Также имеется dc02.

    ==============

    DCDIAG DC01

    ==============

    Диагностика сервера каталогов

     

    Выполнение начальной настройки:

       Выполняется попытка поиска основного сервера...

       ***Ошибка: dc01 не является сервером каталогов.  Следует указать /s:<Сервер

       каталогов> или /n:<Контекст именования>, либо ничего не указывать, если

       используется локальный компьютер.

       ОШИБКА. Не удалось найти основной сервер.

    ==============

    IPCONFIG DC01

    ==============

    Настройка протокола IP для Windows

     

       Имя компьютера  . . . . . . . . . : dc01

       Основной DNS-суффикс  . . . . . . : sun.local

       Тип узла. . . . . . . . . . . . . : Гибридный

       IP-маршрутизация включена . . . . : Да

       WINS-прокси включен . . . . . . . : Нет

       Порядок просмотра суффиксов DNS . : sun.local

     

    Ethernet adapter local:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigabit

       Физический адрес. . . . . . . . . : 00-25-90-33-CB-B2

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       IPv4-адрес. . . . . . . . . . . . : 192.168.1.2(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз. . . . . . . . . :

       DNS-серверы. . . . . . . . . . . : 192.168.2.1

       NetBios через TCP/IP. . . . . . . . : Включен

     

    Ethernet adapter dmz:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigabit #2

       Физический адрес. . . . . . . . . : 00-25-90-33-CB-B3

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       IPv4-адрес. . . . . . . . . . . . : 192.168.2.2(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз. . . . . . . . . : 192.168.2.253

       DNS-серверы. . . . . . . . . . . : 192.168.2.1

       NetBios через TCP/IP. . . . . . . . : Включен

     

    ==============

    DCDIAG DC02

    ==============

     

    Диагностика сервера каталогов

     

    Выполнение начальной настройки:

       Выполняется попытка поиска основного сервера...

       Основной сервер = dc02

       * Идентифицирован лес AD.

       Сбор начальных данных завершен.

     

    Выполнение обязательных начальных проверок

      

       Сервер проверки: Default-First-Site-Name\DC02

          Запуск проверки: Connectivity

             ......................... DC02 - пройдена проверка Connectivity

     

     

    Выполнение основных проверок

      

       Сервер проверки: Default-First-Site-Name\DC02

          Запуск проверки: Advertising

             Внимание: DC02 не объявлен как сервер времени.

             ......................... DC02 - не пройдена проверка Advertising

          Запуск проверки: FrsEvent

             ......................... DC02 - пройдена проверка FrsEvent

          Запуск проверки: DFSREvent

             ......................... DC02 - пройдена проверка DFSREvent

          Запуск проверки: SysVolCheck

             ......................... DC02 - пройдена проверка SysVolCheck

          Запуск проверки: KccEvent

             ......................... DC02 - пройдена проверка KccEvent

          Запуск проверки: KnowsOfRoleHolders

             [DC01] Сбой функции DsBindWithSpnEx() с ошибкой 1753,

             В системе отображения конечных точек не осталось доступных конечных точек..

             Внимание: DC01 является Schema Owner, но не отвечает на привязку DS

             RPC.

             Сбой функции поиска по атрибутам Ldap на сервере DC01, возвращенное

             значение = 81

             Внимание: DC01 является Schema Owner, но не отвечает на привязку LDAP.

             Внимание: DC01 является Domain Owner, но не отвечает на привязку DS

             RPC.

             Внимание: DC01 является Domain Owner, но не отвечает на привязку LDAP.

             Внимание: DC01 является PDC Owner, но не отвечает на привязку DS RPC.

             Внимание: DC01 является PDC Owner, но не отвечает на привязку LDAP.

             Внимание: DC01 является Rid Owner, но не отвечает на привязку DS RPC.

             Внимание: DC01 является Rid Owner, но не отвечает на привязку LDAP.

             Внимание: DC01 является Infrastructure Update Owner, но не отвечает на

             привязку DS RPC.

             Внимание: DC01 является Infrastructure Update Owner, но не отвечает на

             привязку LDAP.

             ......................... DC02 - не пройдена проверка

             KnowsOfRoleHolders

          Запуск проверки: MachineAccount

             ......................... DC02 - пройдена проверка MachineAccount

          Запуск проверки: NCSecDesc

             ......................... DC02 - пройдена проверка NCSecDesc

          Запуск проверки: NetLogons

             ......................... DC02 - пройдена проверка NetLogons

          Запуск проверки: ObjectsReplicated

             ......................... DC02 - пройдена проверка ObjectsReplicated

          Запуск проверки: Replications

             [Replications Check,DC02] Сбой при последней попытке репликации:

                Из DC01 в DC02

                Контекст именования: DC=ForestDnsZones,DC=sun,DC=local

                При репликации возникла ошибка (1256):

                Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.

               

                Сбой возник в 2016-03-22 13:53:06.

                Последняя успешная операция была в 2016-03-11 19:31:26. После

                последней успешной операции было

                259 сбоев.

             [Replications Check,DC02] Сбой при последней попытке репликации:

                Из DC01 в DC02

                Контекст именования: DC=DomainDnsZones,DC=sun,DC=local

                При репликации возникла ошибка (1256):

                Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.

               

                Сбой возник в 2016-03-22 13:53:06.

                Последняя успешная операция была в 2016-03-11 19:26:29. После

                последней успешной операции было

                259 сбоев.

             [Replications Check,DC02] Сбой при последней попытке репликации:

                Из DC01 в DC02

                Контекст именования: CN=Schema,CN=Configuration,DC=sun,DC=local

                При репликации возникла ошибка (1753):

                В системе отображения конечных точек не осталось доступных конечных точек.

               

                Сбой возник в 2016-03-22 13:53:06.

                Последняя успешная операция была в 2016-03-11 18:56:56. После

                последней успешной операции было

                259 сбоев.

                Каталог на DC01 находится в процессе

                запуска или отключения и недоступен.

                Проверьте, не завис ли компьютер при загрузке.

             [Replications Check,DC02] Сбой при последней попытке репликации:

                Из DC01 в DC02

                Контекст именования: CN=Configuration,DC=sun,DC=local

                При репликации возникла ошибка (1753):

                В системе отображения конечных точек не осталось доступных конечных точек.

               

                Сбой возник в 2016-03-22 13:53:06.

                Последняя успешная операция была в 2016-03-11 18:56:56. После

                последней успешной операции было

                259 сбоев.

                Каталог на DC01 находится в процессе

                запуска или отключения и недоступен.

                Проверьте, не завис ли компьютер при загрузке.

             [Replications Check,DC02] Сбой при последней попытке репликации:

                Из DC01 в DC02

                Контекст именования: DC=sun,DC=local

                При репликации возникла ошибка (1753):

                В системе отображения конечных точек не осталось доступных конечных точек.

               

                Сбой возник в 2016-03-22 13:53:06.

                Последняя успешная операция была в 2016-03-11 19:31:42. После

                последней успешной операции было

                259 сбоев.

                Каталог на DC01 находится в процессе

                запуска или отключения и недоступен.

                Проверьте, не завис ли компьютер при загрузке.

             ......................... DC02 - не пройдена проверка Replications

          Запуск проверки: RidManager

             ......................... DC02 - не пройдена проверка RidManager

          Запуск проверки: Services

             ......................... DC02 - пройдена проверка Services

          Запуск проверки: SystemLog

             Возникло предупреждение. Код события (EventID): 0x00000081

                Время создания: 03/22/2016   14:20:45

                Строка события:

                NTP-клиенту не удалось задать узел домена в качестве источника времени из-за ошибки обнаружения. NTP-клиент повторит попытку через 3145779 мин., а затем удвоит интервал между попытками. Ошибка: Элемент не найден. (0x800706E1)

             ......................... DC02 - не пройдена проверка SystemLog

          Запуск проверки: VerifyReferences

             ......................... DC02 - пройдена проверка VerifyReferences

      

      

       Выполнение проверок разделов на: ForestDnsZones

          Запуск проверки: CheckSDRefDom

             ......................... ForestDnsZones - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... ForestDnsZones - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок разделов на: DomainDnsZones

          Запуск проверки: CheckSDRefDom

             ......................... DomainDnsZones - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... DomainDnsZones - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок разделов на: Schema

          Запуск проверки: CheckSDRefDom

             ......................... Schema - пройдена проверка CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... Schema - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок разделов на: Configuration

          Запуск проверки: CheckSDRefDom

             ......................... Configuration - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... Configuration - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок разделов на: sun

          Запуск проверки: CheckSDRefDom

             ......................... sun - пройдена проверка CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... sun - пройдена проверка

             CrossRefValidation

      

       Выполнение проверок предприятия на: sun.local

          Запуск проверки: LocatorCheck

             Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка

             1355

             Не удается найти основной контроллер домена.

             Сервер, которому принадлежит роль PDC, отключен.

             Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка

             1355

             Не удается найти сервер времени.

             Сервер, которому принадлежит роль PDC, отключен.

             Внимание! Сбой при вызове функции

             DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355

             Не удается найти сервер точного времени.

             ......................... sun.local - не пройдена проверка

             LocatorCheck

          Запуск проверки: Intersite

             ......................... sun.local - пройдена проверка Intersite

    ==============

    IPCONFIG DC02

    ==============

     

    Настройка протокола IP для Windows

     

       Имя компьютера  . . . . . . . . . : dc02

       Основной DNS-суффикс  . . . . . . : sun.local

       Тип узла. . . . . . . . . . . . . : Гибридный

       IP-маршрутизация включена . . . . : Да

       WINS-прокси включен . . . . . . . : Нет

       Порядок просмотра суффиксов DNS . : sun.local

     

    Ethernet adapter virtual:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : dmz

       Физический адрес. . . . . . . . . : 00-15-17-C5-3C-D4

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       IPv4-адрес. . . . . . . . . . . . : 192.168.2.1(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз. . . . . . . . . : 192.168.2.253

       DNS-серверы. . . . . . . . . . . : 127.0.0.1

       NetBios через TCP/IP. . . . . . . . : Отключен

     

    Ethernet adapter dmz2:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Intel(R) 82575EB Gigabit Network Connection #2

       Физический адрес. . . . . . . . . : 00-15-17-C5-3C-D5

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       IPv4-адрес. . . . . . . . . . . . : 192.168.2.202(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз. . . . . . . . . :

       DNS-серверы. . . . . . . . . . . : 192.168.2.1

       NetBios через TCP/IP. . . . . . . . : Включен

     

    Подскажите, пожалуйста, как избавиться от ошибок репликации, перенести все на dc02, и что в принципе делать в такой ситуации?

     

     


    22 марта 2016 г. 12:30

Ответы

  • Приветствую!

    dc01 - сейчас не доменный контроллер. Но мастера операций по-прежнему привязаны к этому имени.

    В первую очередь необходимо выполнить процедуру переноса ролей на рабочий dc02: https://technet.microsoft.com/ru-ru/library/cc816779%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396.

    Далее необходимо окончательно удалить dc01 из AD. Вся подробная информация тут: https://technet.microsoft.com/en-us/library/cc794860(v=ws.10).aspx

    Все ошибки должны будут уйти.

    • Помечено в качестве ответа Vector BCOModerator 23 марта 2016 г. 9:39
    22 марта 2016 г. 12:50

Все ответы

  • Приветствую!

    dc01 - сейчас не доменный контроллер. Но мастера операций по-прежнему привязаны к этому имени.

    В первую очередь необходимо выполнить процедуру переноса ролей на рабочий dc02: https://technet.microsoft.com/ru-ru/library/cc816779%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396.

    Далее необходимо окончательно удалить dc01 из AD. Вся подробная информация тут: https://technet.microsoft.com/en-us/library/cc794860(v=ws.10).aspx

    Все ошибки должны будут уйти.

    • Помечено в качестве ответа Vector BCOModerator 23 марта 2016 г. 9:39
    22 марта 2016 г. 12:50
  • неприятно получилось.

    я могу ошибаться, но возможно в вашей ситуации лучше будет вообще забыть про первый DC и отключить его. На втором DC:

    - просто принудительно захватите роли хозяев операций;

    - сутки понаблюдайте за его работой, проверьте наличие ошибок AD;

    - если все нормально, разверните ещё один DC (чтобы их стало два).

    А вообще скиньте какие события сыплются в ивент вьювере.

    22 марта 2016 г. 12:52
  • Спасибо за ответы отвечающим.

    Но не могу захватить роли. Ввожу в консоли от администратора, пишет "Неправильный синтаксис".

    Или роли нужно переводить в определенном порядке?

    22 марта 2016 г. 15:13
  • Спасибо за ответы отвечающим.

    Но не могу захватить роли. Ввожу в консоли от администратора, пишет "Неправильный синтаксис".

    Или роли нужно переводить в определенном порядке?


    quit скажите ей, чтобы на предыдущий уровень (fsmo maintainance) вернуться.

    Слава России!

    22 марта 2016 г. 15:21
  • Спасибо огромное! Нужен был quit.

    Эх... моя невнимательность.

    22 марта 2016 г. 15:30
  • Захватил роли, теперь они на dc02.
    Удалил dc01 из Active Directory - Domain Controllers.
    Почти все ошибки из dcdiag исчезли, кроме этой.

    DC02 - не пройдена проверка SystemLog

    И еще одной, Сервер неработоспособен, возникает при изменении прав на объект.


    В логах:

    Доменным службами Active Directory найден глобальный каталог в следующем сайте.

    Архивация теневой копии доменных служб Active Directory успешно выполнена.

    NTDS (768) NTDSA: Начата полная оперативная дефрагментация базы данных "C:\Windows\NTDS

    \ntds.dit".

    В ходе проверки согласованности знаний удален следующий объект подключения, поскольку

    ранее был удален исходный сервер службы каталогов, на который он ссылается.


    ActiveDirectory_DomainService
    Следующий раздел каталога больше не реплицируется с исходного сервера службы каталогов
    по следующему сетевому адресу, поскольку для этого сервера службы каталогов не
    существует объекта подключения.
    Раздел каталога:
    CN=Configuration,DC=sun,DC=local
    Исходный сервер службы каталогов:

    Сетевой адрес:
    3f3e730d-9eaa-4a4f-91ec-310c4b5ee5ca._msdcs.sun.local

    такие же сообщения для других разделов каталогов
    DC=sun,DC=local
    CN=Configuration,DC=sun,DC=local
    CN=Schema,CN=Configuration,DC=sun,DC=local
    DC=DomainDnsZones,DC=sun,DC=local
    DC=ForestDnsZones,DC=sun,DC=local

    Все сообщения имеют уровень сведения.

     
    23 марта 2016 г. 11:19
  • DC02 - глобальный каталог (см. галку в свойствах его объекта NTDS Settings в AD Sites and Services)?

    Если нет - сделайте его глобальным каталогом (поставьте галку).


    Слава России!

    23 марта 2016 г. 14:44
  • Да, DC02 - глобальный каталог.

    Но при запуске dcdiag /test:dns выдает ошибки DNS-серверов...

    Диагностика сервера каталогов


    Выполнение начальной настройки:

       Выполняется попытка поиска основного сервера...

       Основной сервер = dc02

       * Идентифицирован лес AD.
       Сбор начальных данных завершен.


    Выполнение обязательных начальных проверок

       
       Сервер проверки: Default-First-Site-Name\DC02

          Запуск проверки: Connectivity

             ......................... DC02 - пройдена проверка Connectivity



    Выполнение основных проверок

       
       Сервер проверки: Default-First-Site-Name\DC02

       
          Запуск проверки: DNS

             

             Проверки DNS выполняются без зависания. Подождите несколько минут...

             ......................... DC02 - пройдена проверка DNS

       
       Выполнение проверок разделов на: ForestDnsZones

       
       Выполнение проверок разделов на: DomainDnsZones

       
       Выполнение проверок разделов на: Schema

       
       Выполнение проверок разделов на: Configuration

       
       Выполнение проверок разделов на: sun

       
       Выполнение проверок предприятия на: sun.local

          Запуск проверки: DNS

             Результаты проверки контроллеров домена:

                
                Контроллер домена: dc02.sun.local

                Домен: sun.local

                

                      
                   TEST: Basic (Basc)
                      Внимание! У адаптера

                      [00000010] Intel(R) 82575EB Gigabit Network Connection

                      неверный DNS-сервер: 192.168.2.1 (DC02)

                      Внимание! У адаптера

                      [00000015] Адаптер коммутатора виртуальной сети (Майкрософт)

                      неверный DNS-сервер: 127.0.0.1 (DC02)

                      Ошибка: все DNS-серверы недействительны

                      
                   TEST: Delegations (Del)
                      Ошибка: Сервер DNS: dc01.sun.local. IP-адрес:192.168.2.2

                      [Broken delegated domain _msdcs.sun.local.]

                      
                   TEST: Dynamic update (Dyn)
                      Warning: Failed to add the test record dcdiag-test-record in zone sun.local
                   
                TEST: Records registration (RReg)
                   Ошибка. Не удается найти регистрации записей для всех сетевых

                   адаптеров

             
             Отчет о результатах проверки DNS-серверов, используемых приведенными

             выше контроллерами домена:

             

                DNS-сервер: 192.168.2.1 (DC02)

                   2 - проверка на данном DNS-сервере не пройдена

                   Name resolution is not functional. _ldap._tcp.sun.local. failed on the DNS server 192.168.2.1
                   
                DNS-сервер: 192.168.1.2 (dc01.sun.local.)

                   1 - проверка на данном DNS-сервере не пройдена

                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.1.2               
                DNS-сервер: 192.168.2.2 (dc01.sun.local.)

                   1 - проверка на данном DNS-сервере не пройдена

                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.2.2               
             Отчет по результатам проверки DNS:

             
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Домен: sun.local

                   dc02                         PASS FAIL PASS FAIL WARN FAIL n/a  
             
             ......................... sun.local - не пройдена проверка DNS

            
    23 марта 2016 г. 16:31
  • Покажите ipconfig /all с dc02 сейчас - судя по сообщениям в тестах, вы там явно что-то наменяли с тех пор, как выложили предыдущую выдачу ipconfig /all: не было у вас там раньше 192.168.1.2   и 192.168.2.2  - и быть их не должно.

    А также запустите консоль DNS и посмотрите, что у вас творится на DC02 с зонами sun.local и _msdcs.sun.local (если она есть).


    Слава России!

    23 марта 2016 г. 17:00
  • ==============

    DC02 ipconfig /all

    ==============

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : dc02
       Основной DNS-суффикс  . . . . . . : sun.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Да
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : sun.local

    Ethernet adapter virtual:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : dmz
       Физический адрес. . . . . . . . . : 00-15-17-C5-3C-D4
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.2.1(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.2.253
       DNS-серверы. . . . . . . . . . . : 127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Отключен

    Ethernet adapter dmz2:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) 82575EB Gigabit Network Connection #2
       Физический адрес. . . . . . . . . : 00-15-17-C5-3C-D5
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.2.202(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . :
       DNS-серверы. . . . . . . . . . . : 192.168.2.1
       NetBios через TCP/IP. . . . . . . . : Включен

    В sun.local есть A записи DC01 на 192.168.2.2 и 192.168.2.1
    А в _msdcs.sun.local (серенькая) есть NS запись на dc01.sun.local.

    24 марта 2016 г. 11:00
  • Зона - не та что "сереньким" (это делегирование), а отдельная, прямо в узле Forward Lookup Zones. Если её там нет - создайте (интегрированная в AD, область репликации - все серверы DNS леса) и перезапустите службу Netlogon (Сетевой вход в систему), чтобы она зарегистрировала записи.

    Делегирование тоже поправьте - чтобы там был только оставшийся контроллер домена, хотя это некритично.

    На старом контроллере домена службу DNS пока что отключите, или вообще удалите роль.

    PS Не загружающийся в нормальном режиме контроллер домена можно понизить принудительно до изолированного сервера (в Win2K8 - dcpromo /forceremoval) и из режима восстановления служб каталогов. Таким образом можно обойтись без переустановки системы.


    Слава России!

    24 марта 2016 г. 18:15
  • Да, я пробовал неделю назад понизить dc01 - dcpromo /forceremoval, была ошибка, сейчас уже не вспомню какая. Можно и чисто переустановить, не вопрос.

    Сейчас другая проблема, после вышеперечисленных действий, не могу вообще зайти на dc01.

    Ни под доменным админом, ни под локальным...

    А там еще стоит некоторый софт и крутятся службы.

    Хотел постепенно перенести на dc02 софт и настройки, да не могу :(

    30 марта 2016 г. 7:34