none
Windows server 2012. Не применяются политики. Проблемы репликации RRS feed

  • Вопрос

  • Сначала был перевод с одного сервера на 2 других и понижение роли первого до рядового сервера. Сейчас на текущих серверах DC и TS такая ситуация:

    DC - dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:

    Выполняется попытка поиска основного сервера...

    Основной сервер = DC

    * Определен лес AD.

    Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

    Сервер проверки: Default-First-Site-Name\DC

    Запуск проверки: Connectivity

    ......................... DC - пройдена проверка Connectivity

    Выполнение основных проверок

    Сервер проверки: Default-First-Site-Name\DC

    Запуск проверки: Advertising

    ......................... DC - пройдена проверка Advertising

    Запуск проверки: FrsEvent

    ......................... DC - пройдена проверка FrsEvent

    Запуск проверки: DFSREvent

    ......................... DC - пройдена проверка DFSREvent

    Запуск проверки: SysVolCheck

    ......................... DC - пройдена проверка SysVolCheck

    Запуск проверки: KccEvent

    ......................... DC - пройдена проверка KccEvent

    Запуск проверки: KnowsOfRoleHolders

    ......................... DC - пройдена проверка KnowsOfRoleHolders

    Запуск проверки: MachineAccount

    ......................... DC - пройдена проверка MachineAccount

    Запуск проверки: NCSecDesc

    ......................... DC - пройдена проверка NCSecDesc

    Запуск проверки: NetLogons

    ......................... DC - пройдена проверка NetLogons

    Запуск проверки: ObjectsReplicated

    ......................... DC - пройдена проверка ObjectsReplicated

    Запуск проверки: Replications

    ......................... DC - пройдена проверка Replications

    Запуск проверки: RidManager

    ......................... DC - пройдена проверка RidManager

    Запуск проверки: Services

    ......................... DC - пройдена проверка Services

    Запуск проверки: SystemLog

    ......................... DC - пройдена проверка SystemLog

    Запуск проверки: VerifyReferences

    ......................... DC - пройдена проверка VerifyReferences

    Выполнение проверок разделов на: ForestDnsZones

    Запуск проверки: CheckSDRefDom

    ......................... ForestDnsZones - пройдена проверка

    CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... ForestDnsZones - пройдена проверка

    CrossRefValidation

    Выполнение проверок разделов на: DomainDnsZones

    Запуск проверки: CheckSDRefDom

    ......................... DomainDnsZones - пройдена проверка

    CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... DomainDnsZones - пройдена проверка

    CrossRefValidation

    Выполнение проверок разделов на: Schema

    Запуск проверки: CheckSDRefDom

    ......................... Schema - пройдена проверка CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... Schema - пройдена проверка

    CrossRefValidation

    Выполнение проверок разделов на: Configuration

    Запуск проверки: CheckSDRefDom

    ......................... Configuration - пройдена проверка

    CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... Configuration - пройдена проверка

    CrossRefValidation

    Выполнение проверок разделов на: domain

    Запуск проверки: CheckSDRefDom

    ......................... domain - пройдена проверка CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... domain - пройдена проверка

    CrossRefValidation

    Выполнение проверок предприятия на: domain.ru

    Запуск проверки: LocatorCheck

    ......................... domain.ru - пройдена проверка LocatorCheck

    Запуск проверки: Intersite

    ......................... domain.ru - пройдена проверка Intersite

    TS - dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:

    Выполняется попытка поиска основного сервера...

    Основной сервер = TS

    * Определен лес AD.

    Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

    Сервер проверки: Default-First-Site-Name\TS

    Запуск проверки: Connectivity

    ......................... TS - пройдена проверка Connectivity

    Выполнение основных проверок

    Сервер проверки: Default-First-Site-Name\TS

    Запуск проверки: Advertising

    ......................... TS - пройдена проверка Advertising

    Запуск проверки: FrsEvent

    ......................... TS - пройдена проверка FrsEvent

    Запуск проверки: DFSREvent

    ......................... TS - пройдена проверка DFSREvent

    Запуск проверки: SysVolCheck

    ......................... TS - пройдена проверка SysVolCheck

    Запуск проверки: KccEvent

    ......................... TS - пройдена проверка KccEvent

    Запуск проверки: KnowsOfRoleHolders

    ......................... TS - пройдена проверка KnowsOfRoleHolders

    Запуск проверки: MachineAccount

    ......................... TS - пройдена проверка MachineAccount

    Запуск проверки: NCSecDesc

    ......................... TS - пройдена проверка NCSecDesc

    Запуск проверки: NetLogons

    ......................... TS - пройдена проверка NetLogons

    Запуск проверки: ObjectsReplicated

    ......................... TS - пройдена проверка ObjectsReplicated

    Запуск проверки: Replications

    ......................... TS - пройдена проверка Replications

    Запуск проверки: RidManager

    ......................... TS - пройдена проверка RidManager

    Запуск проверки: Services

    ......................... TS - пройдена проверка Services

    Запуск проверки: SystemLog

    ......................... TS - пройдена проверка SystemLog

    Запуск проверки: VerifyReferences

    ......................... TS - пройдена проверка VerifyReferences

    Выполнение проверок разделов на: ForestDnsZones

    Запуск проверки: CheckSDRefDom

    ......................... ForestDnsZones - пройдена проверка

    CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... ForestDnsZones - пройдена проверка

    CrossRefValidation

    Выполнение проверок разделов на: DomainDnsZones

    Запуск проверки: CheckSDRefDom

    ......................... DomainDnsZones - пройдена проверка

    CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... DomainDnsZones - пройдена проверка

    CrossRefValidation

    Выполнение проверок разделов на: Schema

    Запуск проверки: CheckSDRefDom

    ......................... Schema - пройдена проверка CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... Schema - пройдена проверка

    CrossRefValidation

    Выполнение проверок разделов на: Configuration

    Запуск проверки: CheckSDRefDom

    ......................... Configuration - пройдена проверка

    CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... Configuration - пройдена проверка

    CrossRefValidation

    Выполнение проверок разделов на: domain

    Запуск проверки: CheckSDRefDom

    ......................... domain - пройдена проверка CheckSDRefDom

    Запуск проверки: CrossRefValidation

    ......................... domain - пройдена проверка

    CrossRefValidation

    Выполнение проверок предприятия на: domain.ru

    Запуск проверки: LocatorCheck

    ......................... domain.ru - пройдена проверка LocatorCheck

    Запуск проверки: Intersite

    ......................... domain.ru - пройдена проверка Intersite

    DC - dfsdiag /testdcs

    Сведения: Клиентский компьютер присоединен к следующему домену: DOMAIN

    Запуск TestDcs...

    Проверка службы пространства имен DFS...

    Проверка службы пространства имен DFS на DC.

    Успешно выполнено: Служба пространства имен DFS на следующем сервере запущена и настроена для автоматического запуска: DC

    Проверка службы пространства имен DFS на TS.

    Успешно выполнено: Служба пространства имен DFS на следующем сервере запущена и настроена для автоматического запуска: TS

    Проверка раздела SiteCostedReferrals...

    Проверка ссылок, упорядоченных по цене, в DC.

    Успешно выполнено: Для ссылок SYSVOL/NETLOGON включен расчет стоимости сайта.

    Проверка ссылок, упорядоченных по цене, в TS.

    Успешно выполнено: Для ссылок SYSVOL/NETLOGON включен расчет стоимости сайта.

    Проверка записей реестра...

    Сравнение DC и TS.

    Успешно выполнено: Значения реестра в разделе HKLM\CCS\Services\Dfs\Parameters для всех сравниваемых серверов согласованы.

    Проверка сопоставления сайтов...

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: DC

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: DC

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: TS

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: TS

    Завершено TestDcs.

    TS - dfsdiag /testdcs

    Сведения: Клиентский компьютер присоединен к следующему домену: DOMAIN

    Запуск TestDcs...

    Проверка службы пространства имен DFS...

    Проверка службы пространства имен DFS на DC.

    Успешно выполнено: Служба пространства имен DFS на следующем сервере запущена и настроена для автоматического запуска: DC

    Проверка службы пространства имен DFS на TS.

    Успешно выполнено: Служба пространства имен DFS на следующем сервере запущена и настроена для автоматического запуска: TS

    Проверка раздела SiteCostedReferrals...

    Проверка ссылок, упорядоченных по цене, в DC.

    Успешно выполнено: Для ссылок SYSVOL/NETLOGON включен расчет стоимости сайта.

    Проверка ссылок, упорядоченных по цене, в TS.

    Успешно выполнено: Для ссылок SYSVOL/NETLOGON включен расчет стоимости сайта.

    Проверка записей реестра...

    Сравнение DC и TS.

    Успешно выполнено: Значения реестра в разделе HKLM\CCS\Services\Dfs\Parameters для всех сравниваемых серверов согласованы.

    Проверка сопоставления сайтов...

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: DC

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: DC

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: TS

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: TS

    Завершено TestDcs.

    DC – DFSDiag /TestReferral /DFSPath:\\domain.ru\SYSVOL

    Запуск TestReferral...

    Запуск TestDcs...

    Проверка службы пространства имен DFS...

    Проверка службы пространства имен DFS на DC.

    Успешно выполнено: Служба пространства имен DFS на следующем сервере запущена и настроена для автоматического запуска: DC

    Проверка службы пространства имен DFS на TS.

    Успешно выполнено: Служба пространства имен DFS на следующем сервере запущена и настроена для автоматического запуска: TS

    Проверка раздела SiteCostedReferrals...

    Проверка ссылок, упорядоченных по цене, в DC.

    Успешно выполнено: Для ссылок SYSVOL/NETLOGON включен расчет стоимости сайта.

    Проверка ссылок, упорядоченных по цене, в TS.

    Успешно выполнено: Для ссылок SYSVOL/NETLOGON включен расчет стоимости сайта.

    Проверка записей реестра...

    Сравнение DC и TS.

    Успешно выполнено: Значения реестра в разделе HKLM\CCS\Services\Dfs\Parameters для всех сравниваемых серверов согласованы.

    Проверка сопоставления сайтов...

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: DC

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: DC

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: TS

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: TS

    Завершено TestDcs.

    Запуск TestSites...

    Проверка сопоставления сайтов...

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: DC

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: DC

    Завершено TestSites.

    Проверка следующего домена в кэше домена: domain.ru

    Успешно выполнено: Сведения для следующего домена в кэше домена проверены: domain.ru

    Ошибка: Не удается получить активный контроллер домена для домена DOMAIN

    Ошибка: Не удается получить активный контроллер домена для домена domain.ru

    Завершено TestReferral.

    TS – DFSDiag /TestReferral /DFSPath:\\domain.ru\SYSVOL

    Запуск TestReferral...

    Запуск TestDcs...

    Проверка службы пространства имен DFS...

    Проверка службы пространства имен DFS на DC.

    Успешно выполнено: Служба пространства имен DFS на следующем сервере запущена и настроена для автоматического запуска: DC

    Проверка службы пространства имен DFS на TS.

    Успешно выполнено: Служба пространства имен DFS на следующем сервере запущена и настроена для автоматического запуска: TS

    Проверка раздела SiteCostedReferrals...

    Проверка ссылок, упорядоченных по цене, в DC.

    Успешно выполнено: Для ссылок SYSVOL/NETLOGON включен расчет стоимости сайта.

    Проверка ссылок, упорядоченных по цене, в TS.

    Успешно выполнено: Для ссылок SYSVOL/NETLOGON включен расчет стоимости сайта.

    Проверка записей реестра...

    Сравнение DC и TS.

    Успешно выполнено: Значения реестра в разделе HKLM\CCS\Services\Dfs\Parameters для всех сравниваемых серверов согласованы.

    Проверка сопоставления сайтов...

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: DC

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: DC

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: TS

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: TS

    Завершено TestDcs.

    Запуск TestSites...

    Проверка сопоставления сайтов...

    Проверка сопоставлений сайтов на каждом контроллере домена следующего: TS

    Успешно выполнено: Сайт, сопоставленный со следующим именем узла, согласован на всех доступных контроллерах доменов: TS

    Завершено TestSites.

    Проверка следующего домена в кэше домена: domain.ru

    Успешно выполнено: Сведения для следующего домена в кэше домена проверены: domain.ru

    Ошибка: Не удается получить активный контроллер домена для домена DOMAIN

    Ошибка: Не удается получить активный контроллер домена для домена domain.ru

    Завершено TestReferral.

    DC – DFSDiag /TestDFSIntegrity /DFSRoot:\\domain.ru\SYSVOL /Recurse /Full

    Запуск TestDfsIntegrity...

    Ошибка: Не удается найти указанный файл.

    Предупреждение: Не удается получить доступ к метаданным DFS для следующего пространства имен: \\domain.ru\SYSVOL

    Предупреждение: Следующий путь DFS недоступен и не будет проверен еще раз. \\domain.ru\SYSVOL

    Завершено TestDfsIntegrity.

    TS – DFSDiag /TestDFSIntegrity /DFSRoot:\\domain.ru\SYSVOL /Recurse /Full

    Запуск TestDfsIntegrity...

    Ошибка: Не удается найти указанный файл.

    Предупреждение: Не удается получить доступ к метаданным DFS для следующего пространства имен: \\domain.ru\SYSVOL

    Предупреждение: Следующий путь DFS недоступен и не будет проверен еще раз. \\domain.ru\SYSVOL

    Завершено TestDfsIntegrity.

    И DC и TS имеют расшаренные SYSVOL и NETLOGON.

    Проблема в политиках. Могу переименовать, удалить политику, но не могу добавить/изменить. И не применяются, соответственно.

    На создание политики на любом КД получаю: отказано в доступе.

    На изменение политики (добавление пакета): Ошибка добавления. Нельзя изменить политику для этого контейнера.

    Права на SYSVOL

    Создатель-владелец особые разрешения

    Прошедшие проверку чтение, чтение и выполнение, список содержимого

    система полный доступ

    Администраторы domain\Администраторы чтение, чтение и выполнение, список содержимого, запись, особые разрешения

    Операторы сервера domain\Операторы сервера чтение, чтение и выполнение, список содержимого

    Как заставить правильно реплицироваться политики и применяться???

    В похожем вопросе http://social.technet.microsoft.com/Forums/ru-RU/b117e0b7-e2f3-4b6a-84c5-4efca3cb30c7/ws2012-gpo?forum=WS8ru ответа тоже не нашел.



    • Изменено apex_07 23 октября 2013 г. 22:19
    23 октября 2013 г. 22:15

Все ответы

  • День добрый. В журнале DFSR ошибки наблюдаете какие-нибудь? правильно понимаю, что у Вас чистая среда 2012, Dl/Fl = 2012?
    24 октября 2013 г. 3:34
  • Да, среда чистая, на прошлой неделе ставил. windows server 2012 standart.

    В логах серверов по  DFSR ошибки были более 24 часов назад, последние уведомительные сообщения от 22.10.2013, 22.50

    Служба репликации DFS успешно связалась с контроллером домена DC.domain.ru для получения сведений о конфигурации.

    24 октября 2013 г. 5:22
  • Неужели никто не знает, как заставить windows server применять политики?
    27 октября 2013 г. 16:59
  • Дело не в политиках, а в Вашем Sysvol. Предположу, что контроллеры Вы понижали спонтанно, не продиагностировав события репликации перед этим.

    Пробуйте.

    27 октября 2013 г. 17:26
  • Да, еще ipconfig /all с обоих КД и  netdom query fsmo с одного покажите.
    27 октября 2013 г. 17:30
  • Сделал, как указано в статье. Нужные события в логах видел.

    Служба репликации DFS успешно инициализировала реплицированную папку SYSVOL по локальному пути C:\Windows\SYSVOL\domain

    net share шары выдает.

    Dfsrdiag pollad операция прошла успешно.

    Пока что ни создать ни изменить политики не получается. Сколько нужно подождать?

    DC - ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : DC
       Основной DNS-суффикс  . . . . . . : domain.ru
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : domain.ru

    Ethernet adapter Ethernet:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE
       Физический адрес. . . . . . . . . : 90-2B-34-97-D9-1D
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::7dd3:89e6:309a:6bc5%12(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.20.21(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.20.1
       IAID DHCPv6 . . . . . . . . . . . : 261106484
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-EE-B6-3D-90-2B-34-97-D9-1D
       DNS-серверы. . . . . . . . . . . : ::1
                                           192.168.20.25
                                           127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{A48B4C5B-8C2B-4381-95BB-C4287300BECF}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    TS - ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : TS
       Основной DNS-суффикс  . . . . . . : domain.ru
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : domain.ru

    Ethernet adapter Ethernet 2:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigabit
       Физический адрес. . . . . . . . . : 00-25-90-A5-13-0E
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::2c3d:cc25:4074:565d%13(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.20.24(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . :
       IAID DHCPv6 . . . . . . . . . . . : 318776720
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-F1-49-5E-00-25-90-A5-13-0F
       DNS-серверы. . . . . . . . . . . : ::1
                                           192.168.20.21
                                           192.168.20.25
                                           127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Ethernet adapter Ethernet:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82579LM Gigabit
       Физический адрес. . . . . . . . . : 00-25-90-A5-13-0F
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::b8f6:d115:9897:29cf%12(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.20.25(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.20.1
       IAID DHCPv6 . . . . . . . . . . . : 251667856
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-F1-49-5E-00-25-90-A5-13-0F
       DNS-серверы. . . . . . . . . . . : ::1
                                           192.168.20.21
                                           127.0.0.1
                                           127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер Подключение по локальной сети* 1:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер isatap.{9780333A-089F-4073-AC5B-0C2812D6F80D}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер isatap.{B94893D7-6CE0-4DC8-85C5-8BC34F06AE10}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    DC - netdom query fsmo

    Хозяин схемы                DC.domain.ru
    Хозяин именования доменов   DC.domain.ru
    PDC                         DC.domain.ru
    Диспетчер пула RID          DC.domain.ru
    Хозяин инфраструктуры       DC.domain.ru
    Команда выполнена успешно.


    28 октября 2013 г. 6:26
  • Настройте DNS для DC  первый  192.168.20.21, второй адаптер 192.168.20.24. На TS соответственно, 192.168.20ю24 и 20.21. Для чего на TS еще один адаптер с адресом 20.25?

    На DC выполните, если не делали, вот это.

    28 октября 2013 г. 7:25
  • Настройки на сетевых адаптерах сделал.

    Время синхронизировал на прошлой неделе. Тогда все было ок для обоих КД.

    Сейчас повторил, тоже ок.

    Остальное все также неизменно.

    28 октября 2013 г. 10:06
  • Ок, так ок.

    Вычищайте журналы событий от ошибок, и заново прогоняем тесты DFS + dcdiag /q

    28 октября 2013 г. 11:19
  • Для чего на TS еще один адаптер с адресом 20.25? Вам действительно необходимо 2 сетевых карты на кд?

    28 октября 2013 г. 19:16
  • Очистил журналы событий от ошибок.

    Все тесты DFS на обоих серверах получились один в один, как в начале (23 октября).

    dcdiag /q на обоих КД ошибок не выдал.

    Мне достаточно одного адаптера на TS.

    28 октября 2013 г. 19:47
  • Но в выводе я два увидел, поэтому и спросил.

    \\domain.ru\SYSVOL Вы не видите, или, точнее, видите, но он недоступен? И по

    net share тоже видно?

    28 октября 2013 г. 20:21
  • И вижу, и захожу. И по net share тоже видно.


    • Изменено apex_07 29 октября 2013 г. 5:16
    29 октября 2013 г. 5:15
  • Ок, а вот такой вывод сделайте пожалуйста

    dfsrdiag syncnow /rgname:"domain system volume" /partner:dc /time:1 /verbose

    dfsrdiag syncnow /rgname:"domain system volume" /partner:ts /time:1 /verbose

    dfsrdiag  propagationtest /rgname:"Domain System Volume"
    /rgname:"SYSVOL Share" /testfile:1.txt

    dfsrdiag DumpAdCfg

    dfsrdiag ReplicationState /member:dc /all

    dfsrdiag ReplicationState /member:ts /all

    DfsrAdmin Mem List /RGName:"Domain System Volume" /attr:ALL

    Можно на скайдрайв.

    29 октября 2013 г. 17:14
  • Выложил на скайдрайв http://sdrv.ms/1bBjIpH все, кроме последнего.

    Как обновить dfsutil для 2012 сервера?


    • Изменено apex_07 30 октября 2013 г. 6:32
    30 октября 2013 г. 6:28
  • Добрый вечер.

    Спасибо за ожидание- завал на работе.

    Итак, давайте смотреть:

    Вы по моей статье должны сделать на DC авторитетное восстановление, на TS- неавторитетное.

    1 ноября 2013 г. 16:57
  • Простите, не понял, по какой статье? от 29.10, 17.14?

    А можно как-нибудь эти политики все удалить?

    Я их заново потом создам, лишь бы создавались.

    2 ноября 2013 г. 20:17
  • Доброй ночи.

    нет, первый пост- Пробуйте. который.

    Удалить- можно, только это не поможет- у нас с самим хранилищем политик проблемы- точнее, с его доступностью- политики в нем лежат, а вот забрать мы их не можем пока.

    Выбираете авторитетным DC, на TS- неавторитетное восстановление. все по шагам в статье.

    2 ноября 2013 г. 21:55
  • Сделал все по статье. Ошибки выдавало, как и написано в статье. Уже часов 18 прошло, а все также нельзя политики ни создать ни изменить.
    3 ноября 2013 г. 17:29
  • Ок, а пробовали контроллеры перегружать? По одному с интервалом в полчаса в час проделайте, если сейчас возможно. Dcdiag и тесты DFS у Вас сейчас такие же, как и в первом сообщении о проблеме?

    4 ноября 2013 г. 7:52
  • Не пробовал. Сейчас dc перезагрузил.

    В логах ошибки 1202 ADWS

    Тип события:    Ошибка
    Источник события:    ADWS
    Категория события:    События экземпляра веб-служб Active Directory
    Код события:    1202
    Дата:        04.11.2013
    Время:        23:24:24
    Пользователь:        N/A
    Компьютер:    DC.domain.ru
    Описание:
    На данном компьютере теперь расположен указанный экземпляр Active Directory, но веб-службам Active Directory не удалось обработать его запросы. Веб-службы Active Directory будут периодически пытаться повторить эту операцию.
     
     Экземпляр Active Directory: NTDS
     LDAP-порт экземпляра Active Directory: 389
     SSL-порт экземпляра Active Directory: 636

    Для получения дополнительной информации см. Помощь в Центре поддержки http://go.microsoft.com/fwlink/events.asp.

    Данные:

    и ошибка 1202 DFSR

    Тип события:    Ошибка
    Источник события:    DFSR
    Категория события:    Нет
    Код события:    1202
    Дата:        04.11.2013
    Время:        23:22:41
    Пользователь:        N/A
    Компьютер:    DC.domain.ru
    Описание:
    Службе репликации DFS не удалось связаться с контроллером домена , чтобы получить сведения о конфигурации. Репликация остановлена. Служба вновь попытается это сделать во время следующего цикла опроса, который произойдет через 60 мин. Это событие может быть вызвано проблемами с подключением TCP/IP, брандмауэром, доменными службами Active Directory или DNS.
     
    Дополнительные сведения:  
    Ошибка: 160 (Неверны один или несколько аргументов.)

    Для получения дополнительной информации см. Помощь в Центре поддержки http://go.microsoft.com/fwlink/events.asp.

    Данные:

    Минуты через 2

    В настоящее время веб-службы Active Directory принимают запросы от указанного экземпляра Active Directory.

    и

    Служба репликации DFS успешно настроила прослушиватель RPC на принятие запросов на репликацию.


    4 ноября 2013 г. 19:31
  • Ничего криминального нет.

    Что с отчетами DFSDiag ?

    4 ноября 2013 г. 19:49
  • Минут 10 назад перегрузил TS.

    А сейчас повторил на dc

    dfsdiag /testdcs

    DFSDiag /TestReferral /DFSPath:\\domain.ru\SYSVOL

    DFSDiag /TestDFSIntegrity /DFSRoot:\\domain.ru\SYSVOL /Recurse /Full

    все, как в самом первом посте

    1 ок

    2 Ошибка: Не удается получить активный контроллер домена для домена DOMAIN

    3 Предупреждение: Не удается получить доступ к метаданным DFS для следующего пространства имен: \\domain.ru\SYSVOL

    4 ноября 2013 г. 20:43
  • Дмитрий, а если мне временно вывести из домена TS, настроить репликацию на DC будет проще?

    Просто много времени прошло, а результата нет, а очень нужно.

    7 ноября 2013 г. 5:10
  • Да, скорее всего, у меня это единственное решение для Вас сейчас.

    Пробуйте понизить TS штатными средствами. DC останется один. Нужно будет внимательно проверить среду на ошибки.

    Если штатно понизить не получится, удаляйте через /forceremooval и вычищайте метаданные. Потом поднимите обратно второй контроллер.

    Пишите по проделанной работе и не торопитесь в действиях.

    7 ноября 2013 г. 5:53
  • В общем, понизил TS. На DC удалил из днс все упоминания о нем. Добился того, чтобы dcdiag не выдавал ошибок. И на разные тесты dfsdiag получил все те же ошибки, как в начале...

    Теперь думаю про миграцию домена на другой, раз все вышеописанное не помогает.

    Или все же еще что-то можно сделать?

    8 ноября 2013 г. 6:31
  • на TestDFSIntegrity  можете не обращать внимания, этот тест не выполнятется для sysvol.

    Что с политиками?

    8 ноября 2013 г. 9:30
  • Все также.

    На создание политики: отказано в доступе.

    На изменение политики (добавление пакета): Ошибка добавления. Нельзя изменить политику для этого контейнера.

    8 ноября 2013 г. 9:35
  • Загружаетесь в DSRM. - режиме восстановления контроллера домена.

    ntdsutil
    activate instance ntds
    authoritative restore

    restore database

    Далее, в нормальном режиме загрузки проделайте

    dcgpofix /ignoreschema /target:both

    перезагрузите машину.

    8 ноября 2013 г. 10:01
  • Перезагрузился в DSRM.

    ntdsutil
    activate instance ntds
    authoritative restore

    прошло

    restore database выдало ошибку, что-то вроде "неправильный синтаксис".

    тогда я попробовал восстановить подразделение:

    restore subtree ″OU=Users,DC=domain,DC=com″, принудительное восстановление прошло успешно.

    bcdedit /deletevalue safeboot; shutdown -r -t 0;

    на dcgpofix /ignoreschema /target:both (и на /target:Domain) получил

    Внимание! Программе не удалось воссоздать сертификаты EFS в объекте групповой политики Default Domain Policy. Не удалось выполнить восстановление.

    Тут сказали, "Если Вы не используете EFS, то на это можно не обращать внимание". Еще раз ребут. В логах уведомления:

    Служба репликации DFS успешно связалась с контроллером домена DC.domain.ru для получения сведений о конфигурации.

    Веб-службы Active Directory успешно запущены и принимают запросы.

    Политики редактировать пока не дает. Если дать отстояться, проблема уйдет?

    11 ноября 2013 г. 21:01
  • Про EFS- нормально. Должна быть копия на всякий случай. Вообще, dcgpofix , возможно и не понадобился бы. Хуже не будет, если мы его прогоним.

    А вот что касается восстановления самой базы данных Вы скорее всего, не в том контексте были. Нужно было взять справку и посмотреть, в чем дело. Мне кажется, не доделано восстановление. Попробуйте перезагрузить машину еще раз (может быть дольше обычного, поскольку контроллер один) и попробовать редактирование. Если не получится, нужно восстанавливать все-таки базу.

    12 ноября 2013 г. 6:04
  • Не понял про контекст. Вот скрин http://clip2net.com/s/69GFGo

    12 ноября 2013 г. 6:40
  • Я попробовал восстановить весь объект "DC=domain,DC=ru". Windows сказал ок, успешно обновлено 477 записей. После перезагрузки изменений нет. Политики все также недоступны на редактирование.
    16 ноября 2013 г. 19:20
  • Добрый вечер. А создать резервную копию GPO и восстановить попробуйте. Не совсем понятно, что с разрешениями. После восстановления любого GPO попробуйте его редактировать.

    17 ноября 2013 г. 16:27
  • Не получается. Отказал сохранять. Видимо, нет прав на что-то.

    Объект групповой политики: services...Ошибка

    Отказано в доступе.

    ------------------------------------------------------------------------------------------------

    Сохранено 0 объектов групповой политики.
    Не сохранено 23 объектов групповой политики.

    17 ноября 2013 г. 18:14
  • Откройте dsa.msc, вид- расширенные параметры- Ваш домен- контейнер System- Policies/

    Посмотрите, что с правами у Domain Admins (по умолчанию все, кроме FC должно быть)

    17 ноября 2013 г. 18:20
  • В 2012 в dsa.msc нет контейнера system.

    Зато есть ткнуть политику, пишет:

    Разрешения для этого объекта групповой политики в папке sysvol не согласованы с аналогичными разрешениями в службе каталогов Active Directory. Рекомендуется, чтобы эти разрешения были согласованы. Для изменения разрешений SYSVOL на разрешения службы каталогов Active Directory нажмите кнопку "ОК".

    • Изменено apex_07 17 ноября 2013 г. 19:39
    17 ноября 2013 г. 19:35
  • В 2012 в dsa.msc нет контейнера system.

    Есть, но видно будет только если включить  View- Advanced features.
    18 ноября 2013 г. 5:33
  • Да, действительно, есть. Не заметил.

    На Polices у Domain Admins все кроме "полный доступ" есть, особые разрешения светло-серым, унаследованы.

    18 ноября 2013 г. 9:31
  • Проблема актуальна.
    24 ноября 2013 г. 18:41
  • Хорошо. Тогда очистите журналы событий от старых ошибок.

    Попытайтесь изменить политики и отловить ошибку в журналах.

    Также можно посмотреть на разрешения на сетевом ресурсе Sysvol и самом томе (физически путь с папке C:\WINDOWS\SYSVOL).

    25 ноября 2013 г. 18:55
  • Ставлю пакет. Сыпится десяток ошибок №119

    Тип события:    Внимание
    Источник события:    Software Installation
    Категория события:    Нет
    Код события:    119
    Дата:        26.11.2013
    Время:        0:01:37
    Пользователь:        N/A
    Компьютер:    DC.domain.ru
    Описание:
    При установки приложения произошла непредусмотренная ошибка при чтении MSI-файла \\DC\install\browser\firefox\Firefox-24.0-ru.msi. Ошибка не была достаточно серьезной для прекращения установки. Была обнаружена следующая ошибка: Операция успешно завершена.


    Для получения дополнительной информации см. Помощь в Центре поддержки http://go.microsoft.com/fwlink/events.asp.

    Данные:
    0000:  00 00 00 00               ....

    а затем ошибка №1040

    Тип события:    Уведомление
    Источник события:    MsiInstaller
    Категория события:    Нет
    Код события:    1040
    Дата:        26.11.2013
    Время:        0:01:38
    Пользователь:        apex
    Компьютер:    DC.domain.ru
    Описание:
    Начало транзакции установщика Windows: \\DC\install\browser\firefox\Firefox-24.0-ru.msi. ИД клиентского процесса: 1780.

    Для получения дополнительной информации см. Помощь в Центре поддержки http://go.microsoft.com/fwlink/events.asp.

    Данные:

    Разрешения на сетевом ресурсе sysvol

    Создатель-владелец особые разрешения
    Прошедшие проверку чтение, чтение и выполнение, список содержимого
    СИСТЕМА полный доступ кроме особые разрешения
    Администраторы\domain Администраторы все, кроме полного доступа
    Операторы сервера domain\Операторы сервера чтение, чтение и выполнение, список содержимого

    На самом C:\windows\sysvol

    Создатель-владелец особые разрешения

    Прошедшие проверку чтение, чтение и выполнение, список содержимого

    СИСТЕМА полный доступ кроме особые разрешения

    Администраторы domain\Администраторы полный доступ кроме особые разрешения

    Операторы сервера domain\Операторы сервера чтение, чтение и выполнение, список содержимого

    25 ноября 2013 г. 20:18