none
сбои работы Домена после восстановления со снапшота RRS feed

  • Общие обсуждения

  • Доброго дня, имеется КД Windows Server 2012 r2 на Hyper-V и 2 реплики(физическая и виртуальная), пару недель назад была атака шифровальщика и КД был восстановлен с контрольной точки недельной давности, после этого полезли ошибки и домен теперь не в очень рабочем состоянии, изменения внесённые в АД могут применяться до суток на конечном пользователе, групповая политика не синхронизирует недавно созданные правила, даже на КД, хотя репликация GP подхватывается, gpudate /force и gpresult проходит без ошибок

    Сервер терминальных лицензий (на пользователя) перестал отдавать через домен лицензии на RDP.

     Так же в домене существует ограничение на запуск приложений и некоторых действий пользователя, и на нескольких рабочих местах система перестала требовать ввода админских прав при выполнении этих действий, а просто вываливает ошибку "Отказано в доступе" или "Недостаточно прав".

     

    Что странно, репликация работает исправно, за последние дни ни одной ошибки, все тесты успешные, после перезагрузки тоже всё хорошо. Все тесты DFS без ошибок.

    repadmin /replsum

    Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
     DC-1                      34m:45s    0 /  10    0
     DC2-3CX                   36m:30s    0 /  10    0
     DC3-HP                    36m:30s    0 /  10    0


    Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
     DC-1                      36m:30s    0 /  10    0
     DC2-3CX                   31m:55s    0 /  10    0
     DC3-HP                    34m:46s    0 /  10    0



    C:\Users\mav>


    DCDIAG вот: 

    Выполнение обязательных начальных проверок 

    Сервер проверки: Default-First-Site-Name\DC-1 

    Запуск проверки: Connectivity 

    ......................... DC-1 - пройдена проверка Connectivity 

    Выполнение основных проверок 

    Сервер проверки: Default-First-Site-Name\DC-1 

    Запуск проверки: Advertising 

    ......................... DC-1 - пройдена проверка Advertising 

    Запуск проверки: FrsEvent 

    ......................... DC-1 - пройдена проверка FrsEvent 

    Запуск проверки: DFSREvent 

    ......................... DC-1 - пройдена проверка DFSREvent 

    Запуск проверки: SysVolCheck 

    ......................... DC-1 - пройдена проверка SysVolCheck 

    Запуск проверки: KccEvent 

    ......................... DC-1 - пройдена проверка KccEvent 

    Запуск проверки: KnowsOfRoleHolders 

    ......................... DC-1 - пройдена проверка KnowsOfRoleHolders 

    Запуск проверки: MachineAccount ......................... DC-1 - пройдена проверка MachineAccount 

    Запуск проверки: NCSecDesc 

    ......................... DC-1 - пройдена проверка NCSecDesc 

    Запуск проверки: NetLogons 

    ......................... DC-1 - пройдена проверка NetLogons 

    Запуск проверки: ObjectsReplicated 

    ......................... DC-1 - пройдена проверка ObjectsReplicated 

    Запуск проверки: Replications 

    ......................... DC-1 - пройдена проверка Replications 

    Запуск проверки: RidManager 

    ......................... DC-1 - пройдена проверка RidManager 

    Запуск проверки: Services 

    ......................... DC-1 - пройдена проверка Services 

    Запуск проверки: SystemLog 

    Возникла ошибка. Код события (EventID): 0x0000165B 

    Время создания: 04/05/2019 14:54:31 

    Строка события: 

    Не удалось установить сеанс с компьютера "KONS-RINAT", так как указа 

    нная компьютером учетная запись доверия "KONS-RINAT$" отсутствует в базе данных 

    безопасности. 

    Возникла ошибка. Код события (EventID): 0x000016AD 

    Время создания: 04/05/2019 15:06:12 

    Строка события: 

    Не удалось выполнить проверку подлинности для сеанса компьютера KONS 

    -RINAT. Произошла следующая ошибка: 

    ......................... DC-1 - не пройдена проверка SystemLog 

    Запуск проверки: VerifyReferences 

    ......................... DC-1 - пройдена проверка VerifyReferences 

    Выполнение проверок разделов на: ForestDnsZones 

    Запуск проверки: CheckSDRefDom 

    ......................... ForestDnsZones - пройдена проверка 

    CheckSDRefDom 

    Запуск проверки: CrossRefValidation 

    ......................... ForestDnsZones - пройдена проверка 

    CrossRefValidation 

    Выполнение проверок разделов на: DomainDnsZones 

    Запуск проверки: CheckSDRefDom 

    ......................... DomainDnsZones - пройдена проверка 

    CheckSDRefDom 

    Запуск проверки: CrossRefValidation 

    ......................... DomainDnsZones - пройдена проверка 

    CrossRefValidation 

    Выполнение проверок разделов на: Schema 

    Запуск проверки: CheckSDRefDom 

    ......................... Schema - пройдена проверка CheckSDRefDom 

    Запуск проверки: CrossRefValidation 

    ......................... Schema - пройдена проверка 

    CrossRefValidation 

    Выполнение проверок разделов на: Configuration 

    Запуск проверки: CheckSDRefDom 

    ......................... Configuration - пройдена проверка 

    CheckSDRefDom 

    Запуск проверки: CrossRefValidation 

    ......................... Configuration - пройдена проверка 

    CrossRefValidation 

    Выполнение проверок разделов на: ass 

    Запуск проверки: CheckSDRefDom 

    ......................... ass - пройдена проверка CheckSDRefDom 

    Запуск проверки: CrossRefValidation 

    ......................... ass - пройдена проверка CrossRefValidation 

    Выполнение проверок предприятия на: ass.lan 

    Запуск проверки: LocatorCheck 

    ......................... ass.lan - пройдена проверка LocatorCheck 

    Запуск проверки: Intersite 

    ......................... ass.lan - пройдена проверка Intersite 

    ошибки на КД:

    Веб-службам Active Directory не удалось найти сертификат сервера с указанным именем. Сертификат необходим для использования подключений SSL/TLS. Чтобы использовать подключения SSL/TLS, убедитесь, что на компьютере установлен действительный сертификат проверки подлинности сервера, выданный доверенным центром сертификации. 

    Имя сертификата: DC-1.ass.lan 

    -------------------------------------------------------------------------------------- 

    DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации. 

    -------------------------------------------------------------------------------------- 

    Служба времени прекратила объявлять себя как источник точного времени. 

    Буду очень рад помощи)

    8 апреля 2019 г. 13:35

Все ответы

  • почитайте про USN Rollback, возможно это ваш случай. А то, что вы сделали - ужасно. Делать резервную копию контроллера домена следует теми средствами, которые для этого предназначены, самое простое из которых Windows Server Backup Service. И восстанавливать тоже надо уметь - почитайте про "authoritative restore" и non "authoritative restore".
    8 апреля 2019 г. 15:01
  • почитайте про USN Rollback, возможно это ваш случай. А то, что вы сделали - ужасно. Делать резервную копию контроллера домена следует теми средствами, которые для этого предназначены, самое простое из которых Windows Server Backup Service. И восстанавливать тоже надо уметь - почитайте про "authoritative restore" и non "authoritative restore".

    Все это верно, но для ОС до 2012 (например для 2008r2). Если на виртуалке был кд с 2012 и его откатили к снимку, то ничего страшного не произойдет. Конечно это нельзя использовать как стратегию резервного копирования и уж тем более это не рекомендуется делать в проде, но сломать лес таким образом вы вряд ли сможете. Кд, откатившись к снимку, поймет это и выполнит те же действия, что и при неполномочном восстановлении.

    А проблема кроется вероятно в проблемах со временем, что и написано в последней ошибке

    8 апреля 2019 г. 16:14
  • 1. Какие роли помимо AD DS есть на КД? Не развёрнут ли случаем там AD CS?

    2. Какие FSMO на восстановлённом КД?

    3. Учитывая, что у вас есть ещё 2 рабочих (как мы предполагаем) КД, то возможен вариант, что вы переносите роли FSMO с восстановленного, понижаете его до рядового сервера, дожидаетесь пока вся информация отреплицируется на оставшиеся КД, затем убеждаетесь что на них нет никаких проблем (dcdiag /q) и после этого снова повышаете его до КД.

    9 апреля 2019 г. 5:48