none
Проблемы с поднятием RODC. RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Коллеги, Добрый День.

    Был в филиале RODC. Машина словила BSOD. Я удалил из ADUC объект компьютера. Удалил из сайта контроллер.

    - Переустановил ОС, дал тот же IP, ИМЯ. При установке AD в режиме чтения, как глобальный каталог и + DNS процесс прошел успешно.

    Перезагрузка и проблемы. Извиняюсь за русскую винду(

    C:\Windows\system32>dcdiag /q
             Внимание: DsGetDcName вернул сведения для \\cloud-dc-02.resoleasing.com при попытке получения доступа к
             VLG-DC-01.
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
             ......................... VLG-DC-01 - не пройдена проверка Advertising
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
             ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... VLG-DC-01 - не пройдена проверка DFSREvent
             Не удается подключиться к общему ресурсу NETLOGON. (\\VLG-DC-01\netlogon)
             [VLG-DC-01] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя..
             ......................... VLG-DC-01 - не пройдена проверка NetLogons
             Возникла ошибка. Код события (EventID): 0x0000272C
                Время создания: 03/31/2021   16:51:55
                Строка события:
                Не удалось установить связь DCOM с компьютером CLOUD-DC-01 через какой-либо из настроенных протоколов; запрос от PID      e74 (C:\Windows\System32\Wbem\WMIC.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
             Возникла ошибка. Код события (EventID): 0x00002711
                Время создания: 03/31/2021   17:28:50
                Строка события:
                Не удалось запустить DCOM-сервер: {995C996E-D918-4A8C-A302-45719A6F4EA7} как Недоступно/Недоступно.Ошибка:
             Возникла ошибка. Код события (EventID): 0x00002710
                Время создания: 03/31/2021   17:35:20
                Строка события: Не удалось запустить DCOM-сервер: {9C38ED61-D565-4728-AEEE-C80952F0ECDE}.Ошибка:
             ......................... VLG-DC-01 - не пройдена проверка SystemLog

    Ошибки DNS: event 4013:

    DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

    Ошибки AD DS: event 4012 Источник DFSR

    Служба репликации DFS остановила репликацию на папке со следующим локальным путем: C:\Windows\SYSVOL\domain. Этот сервер был отключен от других партнеров в течение 1370 дн., что превышает период, разрешенный параметром MaxOfflineTimeInDays (60). Репликация DFS считает данные в папке устаревшими, и этот сервер не будет реплицировать данную папку до устранения ошибки. 
     
    Чтобы возобновить репликацию этой папки,  воспользуйтесь оснасткой управления DFS для удаления этого сервера из группы репликации, а затем добавьте ее обратно в группу. Сервер выполнит задачу начальной синхронизации, которая заменит устаревшие данные новыми данными с других участников группы репликации. 
     
    Дополнительные сведения:  
    Ошибка: 9061 (Реплицированная папка была автономной слишком долго.)  
    Имя реплицированной папки: SYSVOL Share  
    ИД реплицированной папки: 52254D41-2588-4B99-AA52-CA285789C7A4  
    Имя группы репликации: Domain System Volume  
    ИД группы репликации: 4B1BDFD2-B6E0-49E4-A1A6-81C2BCEAA04F  
    ИД участника: ACC18805-96D5-4C35-9888-66AC60FD952D


    C:\Windows\system32>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : vlg-dc-01
       Основной DNS-суффикс  . . . . . . : resoleasing.com
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : resoleasing.com

    Адаптер Ethernet Ethernet 2:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
       Физический адрес. . . . . . . . . : A0-1D-48-C7-B5-61
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да

    Адаптер Ethernet Ethernet:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Физический адрес. . . . . . . . . : A0-1D-48-C7-B5-60
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::c14f:14a8:da72:453c%7(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.30.1(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.30.254
       IAID DHCPv6 . . . . . . . . . . . : 94379336
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-27-F6-11-27-A0-1D-48-C7-B5-60
       DNS-серверы. . . . . . . . . . . : 10.2.3.1
                                           10.1.0.1
                                           192.168.30.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Пока нагуглил решение:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    Изменяем значение параметра SysvolReady на "1"
    Перезагружаемся

    Но пока опасаюсь делать манипуляции с реестром, без благословения M.V.V ))))

    31 марта 2021 г. 14:50
    |

Ответы

Все ответы

  • Question
    Нужно войти
    4
    Нужно войти

    Начните с устранения последней ошибки - отсутствия репликации DFS: в dcdiag просматриваются именно ее последствия.Устранять - с помощью non-authoritative synchronization, соответствующая статья из MS KB живет теперь здесь.

    Слава России!

    31 марта 2021 г. 15:09
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Начните с устранения последней ошибки - отсутствия репликации DFS: в dcdiag просматриваются именно ее последствия.Устранять - с помощью non-authoritative synchronization, соответствующая статья из MS KB живет теперь здесь.

    Слава России!

    Всё проделал. Логов ни каких.

    В ADSI изменил:

    Синхронизация:

    C:\Windows\system32>repadmin /syncall /AdeP
    Синхронизация всех NC, содержащихся в vlg-dc-01.
    Синхронизация раздела: DC=DomainDnsZones,DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    Синхронизация раздела: DC=ForestDnsZones,DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    Синхронизация раздела: CN=Schema,CN=Configuration,DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    Синхронизация раздела: CN=Configuration,DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    Синхронизация раздела: DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    C:\Windows\system32>DFSRDIAG POLLAD
    "DFSRDIAG" не является внутренней или внешней
    командой, исполняемой программой или пакетным файлом.

    C:\Windows\system32>DFSRDIAG POLLAD

    Операция выполнена успешно

    - Первый раз не было установлено DFS.

    msDFSR-Enabled = TRUE

    Потом синхронизация и POLLAD

    C:\Windows\system32>repadmin /syncall /AdeP
    Синхронизация всех NC, содержащихся в vlg-dc-01.
    Синхронизация раздела: DC=DomainDnsZones,DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    Синхронизация раздела: DC=ForestDnsZones,DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    Синхронизация раздела: CN=Schema,CN=Configuration,DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    Синхронизация раздела: CN=Configuration,DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    Синхронизация раздела: DC=resoleasing,DC=com
    СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
    Команда SyncAll завершена без ошибок.

    C:\Windows\system32>DFSRDIAG POLLAD

    Операция выполнена успешно

    Папка C:\Windows\SYSVOL\domain пустая.

    Забыл уточнить. Умер 2012R2 сервер, я установил 2019.

    А то, что тут советуют, это пока что не наш путь ? Исправить событие DFSR 4012 и MaxOfflineTimeInDays


    UPD: Прогресс: DFSR 4614

      

    Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером Dattum-dc-01.resoleasing.com. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена. 

    Дополнительные сведения:  
    Имя реплицированной папки: SYSVOL Share 
    Идентификатор реплицированной папки: 52254D41-2588-4B99-AA52-CA285789C7A4 
    Имя группы репликации: Domain System Volume 
    Идентификатор группы репликации: 4B1BDFD2-B6E0-49E4-A1A6-81C2BCEAA04F 
    Код участника: ACC18805-96D5-4C35-9888-66AC60FD952D 
    Только для чтения: 1

    - Наверно надо было обождать 15 минут ? Папка SYSVOL синхронизировалась.

    C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или
             сообщения  об ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... VLG-DC-01 - не пройдена проверка DFSREvent
             Возникла ошибка. Код события (EventID): 0x00000051
                Время создания: 03/31/2021   19:03:53
                Строка события: LogExtendedErrorInformation (978):
             Возникла ошибка. Код события (EventID): 0x00000051
                Время создания: 03/31/2021   19:04:03
                Строка события: LogExtendedErrorInformation (978):
             ......................... VLG-DC-01 - не пройдена проверка SystemLog

    - Первая как я помню не критична ошибка, она просто с лога читает, а всё, что ниже ?

    И ошибка страшная с первой картинки пропала.


    M.V.V если у меня всё более менее стало нормально, Вы бы не могли объяснить, из-за чего это всё могло произойти ?
    31 марта 2021 г. 16:01
    |
  • Question
    Нужно войти
    0
    Нужно войти

    M.V.V_, подскажите пожалуйста, что это за ошибки ? Про первую я помню, Вы говорили можно не обращать внимания, он просто выводит с лога.

    C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
             ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... VLG-DC-01 - не пройдена проверка DFSREvent
             Возникла ошибка. Код события (EventID): 0x00002711
                Время создания: 04/01/2021   17:47:47
                Строка события:
                Не удалось запустить DCOM-сервер: {995C996E-D918-4A8C-A302-45719A6F4EA7} как Недоступно/Недоступно.Ошибка:
             Возникла ошибка. Код события (EventID): 0x00002711
                Время создания: 04/01/2021   17:47:47
                Строка события:
                Не удалось запустить DCOM-сервер: {995C996E-D918-4A8C-A302-45719A6F4EA7} как Недоступно/Недоступно.Ошибка:
             Возникла ошибка. Код события (EventID): 0x0000165B
                Время создания: 04/01/2021   17:50:46
                Строка события:
                Не удалось установить сеанс с компьютера "CEE-10", так как указанная компьютером учетная запись доверия "CEE-10$" отсутствует в базе данных безопасности.
             Возникла ошибка. Код события (EventID): 0x0000165B
                Время создания: 04/01/2021   17:51:17
                Строка события:
                Не удалось установить сеанс с компьютера "CEE-02", так как указанная компьютером учетная запись доверия "CEE-02$" отсутствует в базе данных безопасности.
             ......................... VLG-DC-01 - не пройдена проверка SystemLog

    - Что это за DCOM и почему он ругается на компьютеры юзеров ? Я проверил, у них нет потери доверительных отношений. Правда сейчас у них в DNS другие КД.

    И Вы бы не могли раскрыть тему об MaxOfflineTimeInDays и когда и что с ним нужно делать ?


    1 апреля 2021 г. 15:07
    |
  • Question
    Нужно войти
    2
    Нужно войти

    Про DFSREvent - да, все так.

    Про SystemLogEvent. Ошибка DCOM касается некоего "Shell Hardware Mixed Content Handler" (это, как пишут вот тут, компонент, реализующий Autorun) По поводу компьютеров: как проверяли? Во-первых, посмотрели ли, есть ли эти их учетные записи в домене? Во-вторых - на рабочей станции проверьте, есть ли защищенный канал NTLN с КД: nltest /sc_query . По опыту: причной такой ошибки часто служит поднятие нового компьютера из образа, снятого с введенного в домен существующего компьютера, с последующим переименованием: оба компьютера начинают использовать одну запись в AD, и, если у администратора достаточно прав, то при переименовании нового компьютера эта запись переименовывается.

    Про MaxOfflineTimeInDays читайте тут: https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/troubleshoot-missing-sysvol-and-netlogon-shares

    Вкратце: этот параметр ограничивает время допустимого перерыва в репликации DFS, подобно тому как Tombstone Lifetime ограничивает время допустимого перерыва в репликации AD. И делает это по той же причине: истекает время жизни объектов, физическое удаление которых из БД было отложено (у DFSR есть БД, описывающая состояние реплицируемой папки), и факт удаления на партнере репликации после такого перерыва обнаружить невозможно. Это время в DFSR прописано в самой программе - 90 суток, его поменять нельзя, а потому MaxOfflineTimeInDays тоже менять крайне не рекомендуется.

    Слава России!

    1 апреля 2021 г. 16:22
    |
  • Question
    Нужно войти
    1
    Нужно войти

    M.V.V, благодарю !

    Да, учетные записи компьютеров есть. Так же сейчас проверил и новые успешно на этот проблемный КД реплицируются. Правда не создавал новых политик, чтоб проверить, будет ли успешная теперь репликация. Но это уже не страшно, сейчас dcdiag /q не выводит абсолютно ничего.

    На рабочих станциях я проверял командой: Test-ComputerSecureChannel, получал TRUE.

    А вот команда, которую Вы мне посоветовали, ввел на этом проблемном КД:

    C:\Windows\system32>nltest /sc_query:resoleasing.com
Флаги: 30 HAS_IP  HAS_TIMESERV
Имя доверенного контроллера домена \\cloud-dc-02.resoleasing.com
Состояние подключения доверенного контроллера домена Status = 0 0x0 NERR_Success
Команда выполнена успешно.

    У меня около 60 КД. Все, кроме трех, это RODC, их ставят в филиалах. И вот частенько там по питанию выключают, на горячую перезагружают или еще чего..И я уже обнаружил 10 таких КД, где операционка битая, не запускается пуск, cmd, всякие ошибки и в том числе не работает репликация SYSVOL.

    - Вопрос: Можно как-то глобально выявлять проблемы в лесу, по всем доменам? Может есть скрипты, которые всё собирают и делают отчет. Как всю эту пачку доменов контролировать ?

    2 апреля 2021 г. 6:26
    |
  • Question
    Нужно войти
    1
    Нужно войти
    Есть такая Active Directory Replication Status Tool.

    Слава России!

    2 апреля 2021 г. 21:15
    |