none
Ошибка в AD DS RRS feed

  • Вопрос

  • Имеется два сервера AD. На одном из серверов часто появляются ошибки:

    Код 4

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера it-dir$. Использовалось целевое имя cifs/user25.ospk.local. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (OSPK.LOCAL) отличается от домена клиента (OSPK.LOCAL), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.

    Код 1206

    Веб-службам Active Directory не удалось определить, является ли данный компьютер сервером глобального каталога.

    И ошибку DFS, которого давно нет:

    Код 5014

    Служба репликации DFS останавливает подключение к партнеру FS01  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение. 

    Как решить данные проблемы?


    DCDIAG с сервера:

    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = term01
       * Определен лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\TERM01
          Запуск проверки: Connectivity
             ......................... TERM01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\TERM01
          Запуск проверки: Advertising
             ......................... TERM01 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... TERM01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... TERM01 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... TERM01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x80000B46
                Время создания: 07/05/2016   11:27:12
                Строка события:
                Безопасность данного сервера каталогов можно существенно повысить, е
    сли настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM
     или дайджест), не требующих подписи (проверки целостности), и простых привязок
    LDAP, которые  выполняются через открытое (не зашифрованное с помощью SSL/TLS) п
    одключение. Даже если клиенты не используют такие привязки, настройка сервера на
     их отклонение улучшит его безопасность.
             ......................... TERM01 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... TERM01 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... TERM01 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... TERM01 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... TERM01 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... TERM01 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... TERM01 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... TERM01 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... TERM01 - пройдена проверка Services
          Запуск проверки: SystemLog
    ^C
    C:\Users\админ>dcdiag > C:\dc.txt
    
    C:\Users\админ>dcdiag > C:\dc.txt
    
    C:\Users\админ>dcdiag
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = term01
       * Определен лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\TERM01
          Запуск проверки: Connectivity
             ......................... TERM01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\TERM01
          Запуск проверки: Advertising
             ......................... TERM01 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... TERM01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... TERM01 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... TERM01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x80000B46
                Время создания: 07/05/2016   11:27:12
                Строка события:
                Безопасность данного сервера каталогов можно существенно повысить, е
    сли настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM
     или дайджест), не требующих подписи (проверки целостности), и простых привязок
    LDAP, которые  выполняются через открытое (не зашифрованное с помощью SSL/TLS) п
    одключение. Даже если клиенты не используют такие привязки, настройка сервера на
     их отклонение улучшит его безопасность.
             ......................... TERM01 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... TERM01 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... TERM01 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... TERM01 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... TERM01 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... TERM01 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... TERM01 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... TERM01 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... TERM01 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 07/05/2016   10:48:32
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера user25$.
     Использовалось целевое имя cifs/user26.ospk.local. Это означает, что целевому
    серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, к
    огда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной зап
    иси, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистриров
    ано только на учетную запись, используемую сервером. Эта ошибка также может возн
    икать, если пароль целевой службы отличается от пароля, заданного для нее в цент
    ре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и
    в центре распространения ключей совпадают. Если имя сервера задано не полностью
    и конечный домен (OSPK.LOCAL) отличается от домена клиента (OSPK.LOCAL), проверь
    те эти два домена на наличие учетных записей серверов с одинаковыми именами или
    используйте для идентификации сервера полное имя.
             Возникло предупреждение. Код события (EventID): 0x80040020
                Время создания: 07/05/2016   11:26:28
                Строка события:
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен
    буфер записи. В результате возможно повреждение данных.
             Возникло предупреждение. Код события (EventID): 0x80040020
                Время создания: 07/05/2016   11:26:28
                Строка события:
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен
    буфер записи. В результате возможно повреждение данных.
             Возникло предупреждение. Код события (EventID): 0x80040020
                Время создания: 07/05/2016   11:26:28
                Строка события:
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен
    буфер записи. В результате возможно повреждение данных.
             Возникло предупреждение. Код события (EventID): 0x00001796
                Время создания: 07/05/2016   11:27:16
                Строка события:
                Microsoft Windows Server обнаружено, что в настоящее время между кли
    ентами и этим сервером используется проверка подлинности NTLM. Это событие возни
    кает один раз при каждой загрузке, когда клиент первый раз использует NTLM с эти
    м сервером.
             Возникло предупреждение. Код события (EventID): 0x00002724
                Время создания: 07/05/2016   11:28:16
                Строка события:
                Этому компьютеру назначен по крайней мере один динамический IPv6-адр
    ес. Для надежной работы DHCPv6-сервера следует использовать только статические I
    Pv6-адреса.
             Возникло предупреждение. Код события (EventID): 0x000727AA
                Время создания: 07/05/2016   11:29:09
                Строка события:
                Службе WinRM не удалось создать следующие имена участников-служб: WS
    MAN/term01.ospk.local, WSMAN/term01.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 07/05/2016   11:40:04
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера user10$
    . Использовалось целевое имя cifs/user65.ospk.local. Это означает, что целевому се
    рверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, ког
    да целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной запис
    и, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрирован
    о только на учетную запись, используемую сервером. Эта ошибка также может возник
    ать, если пароль целевой службы отличается от пароля, заданного для нее в центре
     распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в
    центре распространения ключей совпадают. Если имя сервера задано не полностью и
    конечный домен (OSPK.LOCAL) отличается от домена клиента (OSPK.LOCAL), проверьте
     эти два домена на наличие учетных записей серверов с одинаковыми именами или ис
    пользуйте для идентификации сервера полное имя.
             Возникла ошибка. Код события (EventID): 0x40000005
                Время создания: 07/05/2016   11:41:45
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_TKT_NYV с сервера C92$. Эт
    о означает, что представленный данному серверу билет еще не действителен (из-за
    разницы во времени для билета и сервера). Обратитесь к системному администратору
     для синхронизации времени между клиентом и сервером, а также между центрами рас
    пространения ключей в области OSPK.LOCAL и области клиента.
             ......................... TERM01 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... TERM01 - пройдена проверка VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: ospk
          Запуск проверки: CheckSDRefDom
             ......................... ospk - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ospk - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: ospk.local
          Запуск проверки: LocatorCheck
             ......................... ospk.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... ospk.local - пройдена проверка Intersite
    

Ответы

  • 1. Ошибка KRB_AP_ERR_MODIFIED в вашем случае вызвана, скорее всего, попытками обратиться к компьютеру по устаревшей записи DNS, разрешающей его имя в адрес IP, назначенный уже другому компьютеру.

    Почистьте зону DNS от устаревших записей вручную или настройте автоматическую очистку.

    2. Событие 1206 может появиться при перезагрузке контроллера домена и описывать временную ошибку, возникшую в этот момент. Сейчас у вас на TERM01 этой проблемы нет, согласно выдаче dcdiag.

    3. DFS Replication используется, помимо всего прочего, ещё и для репликации содержимого SYSVOL (там хранятся политики и скрипты). Так что от этой проблемы вам нужно не отмахиваться, а разбираться с ней.

    Для начала установите на контроллеры домена компонент средств управления DFS, запустите консоль упраления DFS и в узле Replication\Domain System Volume запустите Propagation test (пункт меню Create Diagnostic report) с обоих контроллеров домена. А потом через некоторое время запустите Create propagation report (тот же пункт меню) и посмотрите, идёт ли репликация DFS, причём - в обе стороны.

    Если идёт, то ошибка носит плавающий характер и, в принципе, её можно игнорировать.

    Кроме того, в журнале событий системы есть предупреждения о не отключенном кэше записи для тома C:\, на котором находится база данных AD. Если у вас контроллер домена находится не на виртуальной машине ( с VM всё несколько по-другому), и если системный диск не расположен на RAID-массиве, имеющем аварийное батарейное питание (battery backup), то проверьте и при необходимости отключите режим кэширования обратной записи (или просто кэширование записи, если это диск, а не RAID). Иначе при внезапном сбое питания можете получить проблемы - вплоть до невозможности загрузки в нормальном режиме.

    И последнее. Если вы подозреваете, что у вас имеются проблемы с AD, то проверять с помощью dcdiag и смотреть ошибки в журналах событий службы репликации DFS нужно на обоих контроллерах домена (второй, как я понимаю, называется у вас FS01).


    Слава России!




    5 июля 2016 г. 12:28

Все ответы

  • 1. Ошибка KRB_AP_ERR_MODIFIED в вашем случае вызвана, скорее всего, попытками обратиться к компьютеру по устаревшей записи DNS, разрешающей его имя в адрес IP, назначенный уже другому компьютеру.

    Почистьте зону DNS от устаревших записей вручную или настройте автоматическую очистку.

    2. Событие 1206 может появиться при перезагрузке контроллера домена и описывать временную ошибку, возникшую в этот момент. Сейчас у вас на TERM01 этой проблемы нет, согласно выдаче dcdiag.

    3. DFS Replication используется, помимо всего прочего, ещё и для репликации содержимого SYSVOL (там хранятся политики и скрипты). Так что от этой проблемы вам нужно не отмахиваться, а разбираться с ней.

    Для начала установите на контроллеры домена компонент средств управления DFS, запустите консоль упраления DFS и в узле Replication\Domain System Volume запустите Propagation test (пункт меню Create Diagnostic report) с обоих контроллеров домена. А потом через некоторое время запустите Create propagation report (тот же пункт меню) и посмотрите, идёт ли репликация DFS, причём - в обе стороны.

    Если идёт, то ошибка носит плавающий характер и, в принципе, её можно игнорировать.

    Кроме того, в журнале событий системы есть предупреждения о не отключенном кэше записи для тома C:\, на котором находится база данных AD. Если у вас контроллер домена находится не на виртуальной машине ( с VM всё несколько по-другому), и если системный диск не расположен на RAID-массиве, имеющем аварийное батарейное питание (battery backup), то проверьте и при необходимости отключите режим кэширования обратной записи (или просто кэширование записи, если это диск, а не RAID). Иначе при внезапном сбое питания можете получить проблемы - вплоть до невозможности загрузки в нормальном режиме.

    И последнее. Если вы подозреваете, что у вас имеются проблемы с AD, то проверять с помощью dcdiag и смотреть ошибки в журналах событий службы репликации DFS нужно на обоих контроллерах домена (второй, как я понимаю, называется у вас FS01).


    Слава России!




    5 июля 2016 г. 12:28
  • 3. DFS Replication используется, помимо всего прочего, ещё и для репликации содержимого SYSVOL (там хранятся политики и скрипты). Так что от этой проблемы вам нужно не отмахиваться, а разбираться с ней.

    Для начала установите на контроллеры домена компонент средств управления DFS, запустите консоль упраления DFS и в узле Replication\Domain System Volume запустите Propagation test (пункт меню Create Diagnostic report) с обоих контроллеров домена. А потом через некоторое время запустите Create propagation report (тот же пункт меню) и посмотрите, идёт ли репликация DFS, причём - в обе стороны.

    Если идёт, то ошибка носит плавающий характер и, в принципе, её можно игнорировать.

    Кроме того, в журнале событий системы есть предупреждения о не отключенном кэше записи для тома C:\, на котором находится база данных AD. Если у вас контроллер домена находится не на виртуальной машине ( с VM всё несколько по-другому), и если системный диск не расположен на RAID-массиве, имеющем аварийное батарейное питание (battery backup), то проверьте и при необходимости отключите режим кэширования обратной записи (или просто кэширование записи, если это диск, а не RAID). Иначе при внезапном сбое питания можете получить проблемы - вплоть до невозможности загрузки в нормальном режиме.

    И последнее. Если вы подозреваете, что у вас имеются проблемы с AD, то проверять с помощью dcdiag и смотреть ошибки в журналах событий службы репликации DFS нужно на обоих контроллерах домена (второй, как я понимаю, называется у вас FS01).

    Спасибо за ваш ответ, диагностику DFS попробую завтра и отпишусь. 

    О диске С:\. У меня один сервер физический с RAID5 и ИБП, а один виртуальный на KVM, который как раз выдает данную ошибку. Что посоветуете по виртуальным машинам? Спасибо.

    5 июля 2016 г. 16:16
  • По виртуальным машинам нужно смотреть документацию по гипервизору - как там реально реализовано кэширование записи.  Так что по KVM ничего не подскажу.


    Слава России!

    5 июля 2016 г. 23:00