none
Ошибки репликации между DC RRS feed

  • Вопрос

  • Доброго дня.

    Предыдущая тема начиналась с ошибок в DNS и похоже как я понял сам и по подсказкам это связанно с репликацией.

    Нашёл такую статью http://technet.microsoft.com/ru-ru/library/cc794759(WS.10).aspx

    но вот не задача, у меня похоже или все совсем плохо, или я опять где то не там смотрю:

    Вообщем как то не вижу я ни одной записи которые по статье должны тут быть. Кто подскажет как должно быть и как это сделать?

    11 июля 2012 г. 6:10

Ответы

  • Просмотр событий- Журналы Windows- Журналы приложений и служб.

    Дайте ссылку на предидущую тему - посмотрим, что там, если не расклеилось.

    А вообще, если у вас есть контроллеры 2003 , то в домене работает в таком случае репликация FRS, и видно что-то вроде расшаренного каталога sysvol .

    Напишите в проводнике \\имядомена.

    Попробуйте открыть папки sysvol , netlogon .

    Должно открываться, в sysvol вы должны видеть еще папки, Policies  и много всяких разных со страшными именами ))

    • Помечено в качестве ответа Monolithyss 17 июля 2012 г. 5:20
    16 июля 2012 г. 18:10
    Отвечающий

Все ответы

  • Наверное я не прав, репликация бывает либо FRS или DFS Replication?

    А я почему то решил что должно быть и то и другое, DFS в "порядок" привел. Но не уверен как "перезапустить" что ль всю работу...

    11 июля 2012 г. 6:21
  • Ошибки репликации нужно смотреть в логах %WINDIR%\Debug\Dfsr????.LOG или в NtFrs????.LOG там же.

    Сергей Панченко

    11 июля 2012 г. 6:39
  • Спасибо, жаль только я ничего понять не могу, есть пара варнингов, ошибок не вижу 

    11 июля 2012 г. 6:56
  • В Журнале Active directory смотрите, Best Practices Analyzer тоже подскажет где проблемы могут появиться.
    12 июля 2012 г. 6:42
    Отвечающий
  • Доброго дня.

    Буду очень признателен если подскажите где искать, в русской версии все жутко сложно найти, зачем её только переводят... 

    16 июля 2012 г. 14:06
  • Просмотр событий- Журналы Windows- Журналы приложений и служб.

    Дайте ссылку на предидущую тему - посмотрим, что там, если не расклеилось.

    А вообще, если у вас есть контроллеры 2003 , то в домене работает в таком случае репликация FRS, и видно что-то вроде расшаренного каталога sysvol .

    Напишите в проводнике \\имядомена.

    Попробуйте открыть папки sysvol , netlogon .

    Должно открываться, в sysvol вы должны видеть еще папки, Policies  и много всяких разных со страшными именами ))

    • Помечено в качестве ответа Monolithyss 17 июля 2012 г. 5:20
    16 июля 2012 г. 18:10
    Отвечающий
  • Благодарю за помощь! то что искал. Да у меня там все штатно, только на перезагрузки сервера я так понял ругань.

    Был кластер, но я его с помощью зала снёс, к сожалению не сразу смог понять как использовать те команды что дали, ибо в стандартном PS они не запускались и под администратором тоже. Запустил странный режим "Импорт системных модулей" название прям таки сказать говорящее и тогда коммандлет Clear-ClasterNode нашёлся таки в системе и сделал свое дело :)

    Был вопрос с коротким названием домена в частности домен rumos, но видится сугубо как FQDN rumos.local и я упорно не смог вспомнить что надо сделать что бы виделся по короткому, а ведь припоминаю что действия смешные надо сказать ...

    http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/26532f48-ec5c-402c-91fd-d5f157fe4bbd

    а вот самая большая моя проблема или просто предубеждение, я прост оуже более 3 недель бьюсь мне никто не может объяснить ошибка это или так и должно быть

    http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/1da4347a-4411-4e4a-a572-9143f9153c7a

    Тестирую DNS (dcdiag /s:<Server> /test:dns) 

    на одном из серверов Exchange и получаю такой результат. Может так и должно быть, а может надо лечить. Буду рад если кто поможет.

    17 июля 2012 г. 5:19
  • А, черри и эппл )) Видел, только помочь не успел.

    Не, так, красиво ,как у вас там быть не должно, почитайте еще немного про работу Винс+Днс, посвободнее буду к выходным, посмотрим.Может, и раньше вам помогут.

    17 июля 2012 г. 5:44
    Отвечающий
  • Благодарю, буду мониторить свои темы на предмет новостей.
    17 июля 2012 г. 6:14
  • Почитайте матчасть лучше )).

    Мониторить не надо, просто подпишитесь (кнопочка уведомление) и все.

    17 июля 2012 г. 6:17
    Отвечающий
  • Предложение такое - сохраните свои журналы, и очистите их.

    Будет проще разбираться, ок?

    Посмотрим, что там нам нажужжит нового.

    19 июля 2012 г. 5:50
    Отвечающий
  • Хорошо, только серваки в течении дня не перегрузить, только после 21-00 :\
    19 июля 2012 г. 6:08
  • Да не надо перегружать, я на ваш SLA  не претендую )) Для чистоты эксперимента достаточно будет службу Днс передернуть.
    19 июля 2012 г. 6:20
    Отвечающий
  • На apple только одно предупреждение

    Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "rumos.local.".  Эти записи используются другими компьютерами для поиска данного сервера как контроллера домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложений).  

    Возможные причины ошибки:  
    - В свойствах TCP/IP сетевых подключений данного компьютера содержатся неверные IP-адреса предпочитаемого и альтернативного DNS-серверов 
    - Указанные предпочитаемый и альтернативный DNS-серверы не работают 
    - DNS-серверы, являющиеся основными для регистрируемых записей, не работают 
    - Предпочитаемый или альтернативный DNS-сервер настроен с использованием неверных корневых ссылок 
    - Родительская зона DNS содержит недопустимое делегирование в дочернюю зону, полномочную для записей DNS, не прошедших регистрацию  

    ДЕЙСТВИЕ ПОЛЬЗОВАТЕЛЯ  
    Исправьте возможные приведенные выше ошибки настройки и инициируйте регистрацию или удаление записей DNS, выполнив команду "nltest.exe /dsregdns" в командной строке на контроллере домена или перезапустив службу сетевого входа на контроллере домена.

    19 июля 2012 г. 6:27
  • Эээ стоп. 

    Все журналы, или все таки ограниченное число? нас интересуют в основном приложения и системный?

    19 июля 2012 г. 6:28
  • Нас интересуют те журналы, в которых были замечены ошибки.

    19 июля 2012 г. 6:37
    Отвечающий
  • Вот такая ошибка повилась, вернее она и была, время от времени появляется. Может быть это связано с проблемным каналом интернета?

    В приложениях есть такая ошибка, как я понимаю на репликацию это никак не влияет:

    Microsoft Exchange не удается найти сертификат, содержащий имя домена mail.rumos-auto.ru, в хранилище личных сертификатов на локальном компьютере. Поэтому он не поддерживает команду STARTTLS SMTP для соединителя rumos.local с полным доменным именем mail.rumos-auto.ru. Если полное доменное имя соединителя не указано, используется полное доменное имя компьютера. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться, что для этого полного доменного имени есть сертификат с именем домена. Если сертификат существует, выполните команду Enable-ExchangeCertificate -Services SMTP, чтобы убедиться, что служба транспорта Microsoft Exchange имеет доступ к ключу сертификата.


    • Изменено Monolithyss 19 июля 2012 г. 7:29
    19 июля 2012 г. 7:19
  • нет , с каналом это вряд ли связано - были бы ошибки RPC или репликации.

    по эксу сгенерируйте сертификат. -http://technet.microsoft.com/ru-ru/library/bb851554%28EXCHG.80%29.aspx и

    http://technet.microsoft.com/ru-ru/library/bb232032%28EXCHG.80%29.aspx

    по Безопасному каналу - это опять наш с вами днс ( от него все беды )))))))))))))))))))

    победим, побольше накопить информации надо.

    19 июля 2012 г. 7:42
    Отвечающий
  • Черт, нифига не понял по этим статьям, это создание нового сертификата в случае отсутствия старого или если он просрочен. но черт побери как создать сертификат на конкретное внешнее имя :(

    в моём случае на mail.rumos-auto.ru, когда у меня внётнение только.

    Его сначала надо создать, потом включить, но как создать на основе того что уже есть новый и при этом поменять имя, я не понял из статей.

    ... пошёл перечитывать ещё пару десятков раз, может "запятую где пропустил" черт зачем микрософт такие сложности делает с поиском ответов на их технологии

    Может я зря в соедините отправки указал вместо внутреннего имени (rumos.local) внешнее (mail.rumos-auto.ru)  :\


    • Изменено Monolithyss 19 июля 2012 г. 10:37
    19 июля 2012 г. 10:35
  • Ура !!! я наконец нашел нормальную статью описывающую как сделать требуемый сертификат

    msexchange.ru

    19 июля 2012 г. 12:25
  • что то информации то как то не прибавилось, сертификат победил, ну пока переносил системные ящики с одной БД на другую, тож наследил немного ошибками в логах, но более ничего не видно =\
    19 июля 2012 г. 13:30
  • Будут ещё полезные советы? ;)

    в логах все чисто

    20 июля 2012 г. 11:59
  • Доброго дня Всем!

    Подскажите пожалуйста а критична ли для репликации скорость соединения. Дело в том что у меня пинг между DC скачет как пульс у пожилого (иногда "пропуская" некоторые пакеты). Может все дело в том что не стабильное соединение с DC из за этого и ошибки есть?

    Хотя проверка dcdiag /test:dns должна проходить даже с плохим соединением...

    23 июля 2012 г. 7:52
  • В обычной ситуации, если у вас нормальный канал (не 64 кб до Хабаровска с ужасами), все будет нормально.

    Ошибки, если вас они беспокоят, можно мониторить 

    repadmin /showrepl

    repadmin /replsummary

    23 июля 2012 г. 8:01
    Отвечающий
  • Если все хорошо, ошибок ноль за период, то не  обращайте внимания. Пусть живет.

    23 июля 2012 г. 8:04
    Отвечающий
  • Если очень хочется, можно скриптануть с выгрузкой по расписанию.

    Ну или вот еще такая штука есть.

    23 июля 2012 г. 8:08
    Отвечающий
  • Последняя штука мне понравилась, особенно тем что написала ни одной ошибки или предупреждения. И все чудесно без задержек
    23 июля 2012 г. 12:00
  • Она все тоже самое делает с модной обвязкой.Раньше в csv выгружали репадмин, и все))

    Я по старинке запускаю репадмин, надо пошиковские команд поучить по репликации))))

    В природе еще реплмон и сонар бывают, но это ретроспектива ))))

    23 июля 2012 г. 12:09
    Отвечающий
  • Раз в две недели пускайте и записывайте результат в тетрадочку.

    Будет бортовой журнал. )

    Всех благ.

    23 июля 2012 г. 12:17
    Отвечающий
  • А что с отчётом dcdiag /test:dns

    ?

    23 июля 2012 г. 12:18
  • Положите сюда пожалуйста.

    Поглядим на него.

    23 июля 2012 г. 12:30
    Отвечающий
  • Это на другом сервере, на самом Apple все в норме

    PS C:\Windows\system32> dcdiag /s:Apple.rumos.local /test:dns
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\APPLE
          Запуск проверки: Connectivity
             ......................... APPLE - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\APPLE
    
          Запуск проверки: DNS
    
             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... APPLE - пройдена проверка DNS
    
       Выполнение проверок разделов на: ForestDnsZones
    
       Выполнение проверок разделов на: DomainDnsZones
    
       Выполнение проверок разделов на: Schema
    
       Выполнение проверок разделов на: Configuration
    
       Выполнение проверок разделов на: rumos
    
       Выполнение проверок предприятия на: rumos.local
          Запуск проверки: DNS
             Результаты проверки контроллеров домена:
    
                Контроллер домена: APPLE.rumos.local
                Домен: rumos.local
    
    
                   TEST: Basic (Basc)
                      Внимание! У адаптера [00000016] Адаптер Microsoft замыкания на себя неверный DNS-сервер: 192.168.10.1
                      (<name unavailable>)
    
                   TEST: Records registration (RReg)
                      Сетевой адаптер [00000007] Сетевое подключение Intel(R) PRO/1000 MT:
                         Внимание!
                         Отсутствует запись CNAME на DNS-сервере 192.168.2.11:
                         89414fb5-4c52-4ee0-91d0-648c59d03532._msdcs.rumos.local
    
                         Внимание!
                         Отсутствует запись A на DNS-сервере 192.168.2.11:
                         APPLE.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _ldap._tcp.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _ldap._tcp.bf7e446d-63a0-4ad7-bc1c-b91508112846.domains._msdcs.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _kerberos._tcp.dc._msdcs.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _ldap._tcp.dc._msdcs.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _kerberos._tcp.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _kerberos._udp.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _kpasswd._tcp.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _ldap._tcp.Default-First-Site-Name._sites.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _kerberos._tcp.Default-First-Site-Name._sites.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _ldap._tcp.gc._msdcs.rumos.local
    
                         Внимание!
                         Отсутствует запись A на DNS-сервере 192.168.2.11:
                         gc._msdcs.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _gc._tcp.Default-First-Site-Name._sites.rumos.local
    
                         Ошибка:
                         Отсутствует запись SRV на DNS-сервере 192.168.2.11:
                         _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.rumos.local
    
                   Ошибка. Не удается найти регистрации записей для всех сетевых адаптеров
    
             Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:
    
                DNS-сервер: 192.168.10.1 (<name unavailable>)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.168.10.1               Name
     resolution is not functional. _ldap._tcp.rumos.local. failed on the DNS server 192.168.10.1
    
             Отчет по результатам проверки DNS:
    
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Домен: rumos.local
                   APPLE                        PASS WARN PASS PASS PASS FAIL n/a
    
             ......................... rumos.local - не пройдена проверка DNS


    23 июля 2012 г. 12:55
  • А зоны интегрированы в АД на обоих серверах?

    И обратная зана и на черри и на эппл есть? и тоже интегрирована, проверьте, пожалуйста.

    23 июля 2012 г. 13:02
    Отвечающий
  • может я чего то не понимаю. Прямая rumos.local

    обратная (две сети) 172.16.2.* и 172.16.4.* - все верно?

    обратные прописаны на обеих машинах
    • Изменено Monolithyss 23 июля 2012 г. 13:09
    23 июля 2012 г. 13:08
  • Можно и 172.16 просто сделать, в таком случае все записи машины будут в эту толстую сетку делать.

    Я так сделал, у меня 6 подсеток /24 машин немного в каждой.

    Как вам удобнее, так и делайте.Можно отдельно делать, просто по 20 машин и для каждой зону делать я посчитал слишком жирно.

    Повторюсь, ни на что не влияет.

    А с интеграцией, с интеграцией-то как?

    23 июля 2012 г. 13:16
    Отвечающий
  • Возможно образование меня подводит, что есть интеграция зоны в АД? может я просто как то по другому её называю (неправильно) :)
    23 июля 2012 г. 13:19
  • Интегрированная зона хранится в АД, и изменения в нее вносятся путем репликации АД.

    Это самый правильный способ хранения зоны.Топните по ней - свойства- Тип зоны. Обе Должны быть интегрированы в АД.

    Проверяем сейчас именно это - интеграция обеспечит нас согласованность записей в зонах.

    23 июля 2012 г. 14:40
    Отвечающий
  • Да обе зоны интегрированы в АД. все перепроверил на обоих серверах. обратные зоны так же интегрированы
    24 июля 2012 г. 4:34
  • Это хорошо. Если дальше раасуждать логически, то записи д.б. везде идентичны.

    Если у нас есть расхождение= запись не создается, надо проверить права на запись.

    24 июля 2012 г. 6:01
    Отвечающий
  • Все везде идентично на сколько я смог это проверить. Есть ли какие либо утилиты для сравнения?

    24 июля 2012 г. 6:03
  • Зачем? )) Вкладка сесурити и ADSI в руках. Все глазом видно хорошо.

    24 июля 2012 г. 6:13
    Отвечающий
  • секурити смотреть на каждой папке днс? оО

    а чего в ADSI можно увидеть? я просто там пока как свинья в апельсинах копаюсь, ищу знакомые "формы" :)

    на зоне    _msdcs.**** - нет группы dnsadmins - она нужна вообще?
    • Изменено Monolithyss 24 июля 2012 г. 7:30
    24 июля 2012 г. 7:27
  • У системы,SELF, контроллеров домена, администраторов домена и предприятия- полный доступ. ( можно поставить на него галочку, она проставит все ниж, потом снять только с полного доступа, но это не критично.)

    Проверяли мы тут разрешения больше у контроллеров, а не у админов))

    Надеюсь, вам понятно, почему))

    АДСИ открывайте иногда, полезно читать им всякое.

    Потом можно будет его в ход пускать, когда начитаетесь)

    24 июля 2012 г. 17:06
    Отвечающий
  • Осталось мое любимое - удалить зоны и создать их заново)).

    посмотрите их на предмет статических записей и неплохо сделать бекап перед самым важным.

    24 июля 2012 г. 18:33
    Отвечающий
  • что то "самое любимое" мне совсем не нравится ... :\
    25 июля 2012 г. 8:15
  • Ну оно в первый раз страшно только. Потом просто берете и делаете. Бояться не надо, чик - и зона новая и чистая.И потихоньку заполняется записями о машинках... тут криминала никакого нет, за исключением  ваших"ручных" записей, о которых АД ничего не знает, и которые, естественно, не создаст.Если вы не делали тучу синеймов себе красивых - то проблем точно не будет.Весь процесс, о котором я написал -аналогичен процессу подъема новой АД и ее жизненному циклу - новая.... прибегают компьютеры, контроллеры.... рагистрируют свои записи....

    Как-то так.

    25 июля 2012 г. 8:26
    Отвечающий
  • то есть по данным командам зона сама пересоздастся?

    1. Deleted the _msdcs.domain.local.com zone completely.
    2. Deleted the _msdcs entry in domain.local.com DNS zone.
    3. net stop netlogon
    4. net start dns logon

    25 июля 2012 г. 8:38
  • Команды передернут службу, она перерегистрирует свои записи. Это будут - записи о себе как контроллере, гл. каталоге и пр. керберосах )

    Чтобы каждый контроллер зарегистрировал себя заново, нужно перезапустить службу -она создает правильные записи автоматически.

    Если мы удалим руками записи, или внесем некоректные записи (относящиеся к контроллеру, разумеется) то этот момент нас спасет.

    Если мы удалим зону, то пока мы ее не создадим заново, (вручную,  или зонной передачей), то будет некоторое время грустно - зоны -то не будет, куда писать записи?

    25 июля 2012 г. 8:51
    Отвечающий
  • Бррр много написано и не могу понять то ли информация повторяется то ли столько раз делать...

    У меня 2 DC. Делать поочерёдно на каждом что ли? Или как то различается порядок действий? Зона создается или её создавать надо? Оо

    25 июля 2012 г. 8:54
  • Идем на любой ДС.

    Т.к. зоны интегрированы в АД, то грохнув зону на одном - мы автоматически грохнем ее через процесс репликации - она самоликвидируется на других КД.

    Создадим заново интегрированную зону  на певом- см. выше - доползет.

    Создавать заново - надо.

    25 июля 2012 г. 9:03
    Отвечающий
  • ну на счет репликации то я понял, но думал что из за ошибок ( по причине которых и началась вся кутерьма) необходимо проделывать работу параллельно.

    1. убивать только зону _msdcs.* надо?

    2. как она создается, не совсем уж руками же? или стандартно через команду создать зону? Оо

    25 июля 2012 г. 10:09
  • 1) Да, проблемы у нас в этой зоне.

    Другая зома ( с именем домена) держит только записи о компьютерах в вашем домене.

    2) Вы попробуйте на практике (в виртуальной машине) создать крохотный тестовый домен.

    После dcpromo вы введете имя домена - мастер создаст обе зоны за вас. Если желаете, можно создать их вручную, не доверяя компутеру ))

    И. Создается она руками.

    Если хочется, можно использовать командную строку DNSCMD. Результат будет тот же самый.

    Алгоритм, в общем такой- удаляете зону _msdcs, создаете тут же заново , и из остнастки же перезапускаете сервис днс.Глазом смотрите, что она заполнилась записями.Дергаете репликацию repadmin /syncall.Чистим лог ошибок, или засекаем время, от которого можно смотреть и не дергаться( лучше почистить)

    Ждем конца вечера и проверяем логи раз в час.....

    25 июля 2012 г. 10:21
    Отвечающий
  • и последний глупый вопрос, как в 2008 теперь бэкап DNS делается :)

    раньше вроде через СС можно было сохранять, а что теперь делается, просто скопировать? %)

    25 июля 2012 г. 10:33
  • снимаете галку хранить зону в АД - имеете зону в текстовом файле. Идете %systemroot%\system32\dns

    и забираете файлик. Это и будет наша резервная копия со всеми записями (блокнотом посмотрите)

    Все, бекап есть - интегрируйте опять в АД и убивайте.(т.к. текстовая и ад - разные механизмы, то лучше интегрировать опять и удалить, чтобы не ходить и удалять поодиночке.)

    25 июля 2012 г. 10:45
    Отвечающий
  • Ну как?
    26 июля 2012 г. 17:59
    Отвечающий
  • Времени не было, а в попыхах немного боязно, вот приеду в понедельник и попробую, спасибо за поддержку. Как все сделаю, обязательно отпишусь!
    27 июля 2012 г. 11:40
  • жутко надоело ждать и подгадывать время. Если снесу её в период работы - чем грозит?

    Пробовал на тестовом ничего не понял...

    1. Удалить зону _msdcs.domain.local

    2. Удалить запись _msdcs из domain.local

    3. Net stop netlogon

    4. ... 

    Вообщем порядок действий где то не стыкуется. Зона создаваться сама должна или её нужно создать руками? 

    Какие службы передёргивать? На тестовом сервере ( к сожалению у меня для тестов только Win 2008 x32) ничего простым передёргиванием служб не получается

    31 июля 2012 г. 5:53
  • 0. Ничем, если среда маленькая и все в одном сайте. В большой  (в большой) среде записи , необходимые для функционирования службы каталогов, будут реплицироваться дольше, и задержкка в репликации может оказать влияние на работоспособность сети. Но вы не Сбер, вам это не грозит )

    1.Удалить зону.

    2. Создать зону.

    3. Эта команда создаст нужные записи в зоне.

    4. Profit.Вы потом хоть по пять раз на дню эту операцию можете сделать %) . Тестовый домен- это очень хорошо. Можно в нем эксперементировать по-всякому, а потом притаскивать инновации в продакшн.

    31 июля 2012 г. 6:33
    Отвечающий
  • profit - это что за команда? я её как то не могу найти
    31 июля 2012 г. 6:56
  • Это не команда, извините. Это выражение такое, очень распространенное. http://lmgtfy.com/?q=...profit
    31 июля 2012 г. 7:15
    Отвечающий
  • у меня в кабинете температура 30 градусов, мой мозг сейчас способен обрабатывать ограниченное количество "крылатых фраз" %)

    что запусткать после остановки

    net stop netlogon

    далее ведь ещё что т онадо делать

    31 июля 2012 г. 7:46
  • Удалить зону, создать зону, проверить что она пустая,

    net stop netlogon && net start netlogon . Проверить, что в зону внеслись служебные SRV записи. Все.

    31 июля 2012 г. 9:09
    Отвечающий
  • вроде получилось. Утром отпишусь на все 100%
    31 июля 2012 г. 19:45
  • нет ... все ошибки и ныне там

    Тест dcdiag /test:dns  - так и не проходит

    и Schannel - переодически генерирует странные не обьяснимые ошибки :\

    1 августа 2012 г. 10:31
  • Ну и ладно, зато вы получили ценный опыт, а он налогами не облагается. Теперь загасить зону - тьфу, ерунда )))

    Ошибки победим , их меньше, чем нас. Я к вечеру посвободнее буду, поглядим.

    1 августа 2012 г. 10:35
    Отвечающий
  • Благодарю, а то у меня от жары что то мозг совсем отказывается работать :\
    1 августа 2012 г. 10:37
  • Monolithyss, он должен работать всегда! )))

    Посмотрите на картинки, и скажите, не видите ли вы птичку?

    у себя подобных записей?

    1 августа 2012 г. 17:11
    Отвечающий

  • 1 августа 2012 г. 17:13
    Отвечающий
  • ДСдиаг по-прежнему говорит, что их таки нет?

    Best Practices Analyzer  что говорит?

    1 августа 2012 г. 17:15
    Отвечающий
  • Над рисунками несколько дней думал, так и не понял.

    По поводу Best Practices Analyzer, пока ничего не скажу, ещё не прочитал как им пользоваться
    6 августа 2012 г. 12:50
  • Должно быть вроде того, как на картинке. Я показал на них ,что записи есть - а ваш дсдиаг говорит, что нет. Поэтому прошу удостовериться визуально. BPA очень прост в применении - открыли любую роль  и ткнули - проверить роль.

    Он пожужжал и выдал, где хорошо, а где не очень.Это сборник рекомендаций такой, полуинтерактивный, который если совсем плохо, будет вас ругать.

    6 августа 2012 г. 13:49
    Отвечающий
  • оказывается есть куча BPA под разные решения так сказать и продукты ;)

    долго искал, вроде нашёл http://www.microsoft.com/en-us/download/details.aspx?id=3345#system-requirements

    а пользоваться то им как Оо

    7 августа 2012 г. 8:55
  • просто - кнопка сканировать роль. Они даже в виде обновлений от заботливого вендора приплывают иногда.

    Откройте Диспетчер Сервера, выберите роль и проверяйте на так сказать, соответствие )
    7 августа 2012 г. 9:04
    Отвечающий
  • В русской версии хрен чего найдёшь :) спасибо! Как сделается - отчитаюсь ;)

    1. Ошибка 

    Проблема:
    Петлевой IP-адрес не указан у сетевого адаптера LAN как DNS-сервер или стоит в списке первым.

    Воздействие:
    Если петлевой IP-адрес стоит первым в списке DNS-серверов, Active Directory может не иметь возможности найти партнеров репликации.

    Разрешение:
    Измените параметры адаптера, добавив петлевой IP-адрес в список DNS-серверов на всех активных интерфейсов, но не ставя его в списке серверов первым.

    это я понят и исправил быстро, теперь хоть понял как правильно использовать петлевой интерфейс :)

    2. Ошибка

    Проблема:
    Петлевой IP-адрес не указан у сетевого адаптера loopback как DNS-сервер или стоит в списке первым.

    Воздействие:
    Если петлевой IP-адрес стоит первым в списке DNS-серверов, Active Directory может не иметь возможности найти партнеров репликации.

    Разрешение:
    Измените параметры адаптера, добавив петлевой IP-адрес в список DNS-серверов на всех активных интерфейсов, но не ставя его в списке серверов первым.

    А вот это я не сильно понял, как на петлевом указать его не первым, а вторым? Оо Кого тогда первым то ставить?

    3. Предупреждение

    Проблема:
    Для loopback настроен только предпочитаемый DNS-сервер.

    Воздействие:
    Использование одиночного DNS-сервера на одной карте противоречит требованиям избыточности и отработки отказа. Если настроенный DNS-сервер станет недоступен, компьютер не сможет разрешать имена и подключаться к сетевым ресурсам.

    Разрешение:
    Нажмите кнопку "Пуск", а затем выберите пункты "Сеть", "Центр управления сетями и общим доступом" и "Изменение параметров адаптера", чтобы настроить по меньшей мере два DNS-сервера для одного адаптера.

    Ну это решается так же как и пункт 2 ;)

    4. Предупреждение

    Проблема:
    Очистка на DNS-сервере отключена.

    Воздействие:
    Если очистка не включена, размер базы данных DNS может чрезмерно увеличиться.

    Разрешение:
    Включите очистку на DNS-сервере.

    Этим я как то никогда не пользовался, а точно ли мне это нужно?

    • Изменено Monolithyss 7 августа 2012 г. 9:31
    7 августа 2012 г. 9:16
  • 1,2,3 Мы уже проходили. Есть рекомендация устанавливать первым либо себя, либо своего партнера по площадке, если таковой имеется близко и доступен.) вторым, третьим есть рекомендация ставить 127.0.0.1. Это общие рекомендации, которые подойдут для большинства сценариев. Т.е. огромного криминала, если сделать исключительно так нет - сценарии могут отличаться довольно сильно - real life.

    Все вполне прилично, в общем. 4) Есть такой хитрый механизм, который нужен для того, чтобы записи динамически обновлялись в зоне.

    Настраивать нужно на уровне сервера и а уровне зоны. Дефолтные значения подойдут в большинстве сценариев.

    Применение простое - пришел дядька, получил адрес по DHCP, зарегистрировал свою запись в DNS. Она повисела-повисела, а потом он включился еще раз и получил новый адрес и опять себя зарегистрировал с новым адресом. Вот чтобы каши в адресах не было, придумали такой замечательный механизм, который рекомендуют включать. Как-то так.

    7 августа 2012 г. 9:49
    Отвечающий
  • С чисткой я думаю справлюсь, благодарю.

    А как быть с loopback адаптером? 

    я ему назначил следующее:

    IP 192.168.10.1

    Mask 255.255.255.0 (24)

    GW -empty-

    DNS1 192.168.2.10 (реальная карточка)

    DNS2 192.168.10.1

    или ему обязательно пихнуть 127.0.0.1 надо?

    7 августа 2012 г. 10:07
  • Вам Юрий же уже объяснял - он нужен для тестирования или сложных сценариев.

    его не нужно вообще конфигурировать хоть как-то в большинстве случаев. Типовая настройка для адаптера  контроллера - (не петли! а карточки контроллера! ) 

    IP 192.168.10.1

    Mask 255.255.255.0 (24)

    GW -empty- (или если ему надо выбегать на партнеров по репликации -  тогда нужен)

    DNS1 192.168.2.10 (реальная карточка) либо 192.168.10.1

    DNS2 127.0.0.1 (или адрес партрера- контроллера)

    7 августа 2012 г. 10:19
    Отвечающий
  • на 192.168.10.1 в этой карте он вопить начинает, а то что первым его нельзя ставить, масимум вторым или третьим, просто я его поставил, а результата ноль, все равно орет :)

    Странно его по моему "заглючило" 

    Я включил чистку, а он так и показывает ошибку. Так же как и с IP ДНС сервера... ДО сих пор кричит о том что указан первым он

    7 августа 2012 г. 11:25
  • Может, пара перезагрузок решит дело . Это так, неплохой инструмент бегло посмотреть, на что стоит обратить внимание. Жаль, немногие знают и еще меньшие пользуются.... Чистим логи журналов, пару раз перегружаемся и dcdiag /q можно (так только ошибки, без подробностей)

    7 августа 2012 г. 11:32
    Отвечающий
  • Может, пара перезагрузок решит дело . Это так, неплохой инструмент бегло посмотреть, на что стоит обратить внимание. Жаль, немногие знают и еще меньшие пользуются.... Чистим логи журналов, пару раз перегружаемся и dcdiag /q можно (так только ошибки, без подробностей)

    Раз уж речь про DNS зашла, то и dcdiag /test:dns добавьте.
    7 августа 2012 г. 12:10
    Отвечающий
  • PS C:\Windows\system32> dcdiag /q
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 08/09/2012   10:43:09
                Строка события: Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 08/09/2012   10:44:10
                Строка события: Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
             ......................... APPLE - не пройдена проверка SystemLog

    с DNS все по старому без изменений, если что то хоть немного будет отличаться сразу напишу

    9 августа 2012 г. 7:39
  • PS C:\Windows\system32> dcdiag /q
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 08/09/2012   10:43:09
                Строка события: Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 08/09/2012   10:44:10
                Строка события: Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.
             ......................... APPLE - не пройдена проверка SystemLog

    с DNS все по старому без изменений, если что то хоть немного будет отличаться сразу напишу

    Здесь через ntdsutil проверяйте целостность базы и семантику. В остальном работу DC вам нормализовали, но на вашем месте я бы завёл отдельный DC... Слишком адская смесь у Беломорканала выходит...
    9 августа 2012 г. 7:41
    Отвечающий
  • попробую, но я как то на столько глубоко данной утилитой ещё не копал.

    По поводу нормализовали, вообщето ничего и не поменялось, "а воз и ныне там" © Знаний прибавилось, а от ошибок так и не избавились. Только несколько новых почему то добавилось, но думаю это не из за этого.

    И что значит завести отдельный DC? для чего?

    9 августа 2012 г. 7:49
  • Для очистки совести и перестраховки. Когда виртуализация близка , как никогда, завести себе еще один контроллер где-нибудь, в углу, в уголке, не составит труда. )) Знания - это наша цель. А ошибки- перманентны. И потом, без них скучно:)

    Как быть с целостностью базы: делаем бекап контроллера. Выбираем непроизводственное время( выходной)

    При старте машины жмем  F8 плюс и выбираем АД restore mode.
    - дальше в консоли:
    md copy # создал папку для базы АД
    copy c:\windows\NTDS c:\copy #скопировал файлы АД, на всякий пожарный
    cd c:\windows\NTDS
    dir
    видим файлы- темп дб, нтдсдит(который нас интересует) и файлы логов транзакций.
    трем все, кроме дита
    del *t
    del *e
    dir
    и затем
    esentutl /p C:\WINDOWS\NTDS\ntds.dit
    все

    shutdown -r

    Это, если все плохо AD не стартует и прочие ужасы, которые могут приключиться, если машину запустить....

    В нашем случае все не так страшно, чтобы браться за скальпель, поэтому сделаем только пункты с 9-го по 11 из статьи

    • Проверьте целостность базы данных Active Directory. Для этого введите в командной строке следующую команду: ntdsutil files integrity.

      Если проверка целостности не выявит ошибок, перезапустите контроллер домена в нормальном режиме. Если проверка целостности завершается с ошибками, переходите к следующим действиям.
    • Выполните семантический анализ базы данных. Для этого в командной строке введите следующую команду, включая кавычки:
      ntdsutil "sem d a" go
    • Если семантический анализ базы данных завершается без ошибок, переходите к следующим действиям. Если семантический анализ базы данных выявит какие-либо ошибки, введите в командной строке следующую команду, включая кавычки:
      ntdsutil "sem d a" "go f"
    9 августа 2012 г. 8:15
    Отвечающий
  • Это не страшнее чем заново зоны пересоздать ;) Сделайте в своей виртуалке сначала, и потом на живой системе. Оно не повредит.

    9 августа 2012 г. 8:20
    Отвечающий
  • И что значит завести отдельный DC? для чего?
    ну очень мягко говоря: та солянка, что у вас заведена на единственном контроллере домена - глубоко неподдерживаемое производителем решение, нормальная работа которого совершенно не гарантируется
    Единственный поддерживаемый вариант - это редакция Small Business Server, но у вас, как я понимаю, классический серверный вариант.
    Вы совместили контроллер домена с сетевым шлюзом, вы там же как я понял держите терминальный доступ, там же файловая помойка (этот пункт ещё куда ни шло)... я что-то ещё не заметил? Вопрос - насколько вам нужна надёжность в работе: вы готовы потерять полностью инфраструктуру Active Directory в случае умирания единственного контроллера? хорошо, в случае регулярного бэкапа этого контроллера - вы готовы к простою в несколько часов (кстати, а кто-нибудь проверяет бэкапы при их наличии на возможность восстановления)? Плюс - у вас пока есть признаки проблем с базой AD, а других контроллеров у вас нет - рискуете потерять всё. Отдельный DC в вашем случае - это второй сервер (физический или виртуальный - не важно, но это должен быть отличный от srv_bbk физический хост), на котором будет развёрнута роль контроллера домена - и никаких терминалов со шлюзами на нём...
    9 августа 2012 г. 8:32
    Отвечающий
  • ну тут уже много чего написано, я перечитывать не хочу :)

    НО:

    1. у меня 2 DC и сейчас я копаю не PDC, а DC только.

    2. SBS я пережил как страшный сон, более никому не советую, настроить его не возможно, если не устраивает вариант As Is то это не вариант совсем.

    3. Сетевого шлюза там нет, вообще с чего вы это взяли Оо

    4. Файловая "помойка" на отдельном сервере.

    5. Был Exchange 2010 со всеми ролями и даже DAG-ом. В итоге я все роли MD с него снёс. Остался только HUB и CAS

    6. Терминального доступа там так же нету, для этого есть отдельный сервер.

    Вообщем у меня на сколько я понимаю сейчас все разделено, было бы денюшков побольше я бы и роли DHCP, DNS, Exchange так же разделил. И сертификацию бы тоже на отдельный сервер ставил ( но об этом вообще вспоминать пока не хочу, будет время - займусь)

    И да у меня все сервера живут на виртуалке!

    Так что сделаю копию и буду шаманить...

    9 августа 2012 г. 9:05
  • Значит не так понял :) но по net share явно видно кучу шар :) ок, тогда уже в профилактических целях - знаете, что нельзя с витруальными DC делать снапшоты? (ну поскольку самая распространённая головная боль впоследствии этого - решил уточнить). Как уже понимаю - все ваши описанные ранее проблемы сводятся к одной основной: проблемы с разрешением имён у пользователей?
    9 августа 2012 г. 9:18
    Отвечающий
  • целевую проблему здесь уже сложно выделить. Скажем так, "сижу трещины в штукатурке замазываю" © :)

    просто в журналах появились ошибки, начил узнавать, пытаться решить проблему, не раз встречал сообщения типа, это жить не мешает - не трогайте. Но хочется докопаться до правды и понять что и где работает не так. И в чем причина всего этого :)

    ADD:

    Прошелся по рекомендациям. Я так понял что команды будут работать только из режима "Режим восстановления служб каталогов". 

    Так как ntdsutil files - у меня работать отказывается.

    З.Ы. и на счёт снапшотов - да, я уже знаю, "настоятельно рекомендовали" не делать - ибо бесполезно практически. Но есть система которая позволяет veeam, во всяком случае нас заверили что работать будет.

    ADD2: Простите за глупый вопрос, но это он о чём?

    Не задан активный экземпляр. Для задания активного экземпляра используется коман
    да "Активировать экземпляр".

    • Изменено Monolithyss 9 августа 2012 г. 9:26
    9 августа 2012 г. 9:21
  • Он не подцепился, и говорит об этом. Команды нужно вводить в режим восстановления службы каталогов- иначе база у вас смонтирована и обслуживать себя не даст. (или можно остановить службу Active Directory Domain Services, которая и работает с базой.)

    activate instance ntds

    http://technet.microsoft.com/en-us/library/cc753343(v=ws.10).aspx

    9 августа 2012 г. 10:11
    Отвечающий
  • что то мне подсказывает что этого лучше не делать в рабочее время Оо

    У меня машину в жёсткий ступор не уйдёт если я это вечером сделаю?

    9 августа 2012 г. 10:15
  • Это да, я писал выше- бекап+ время, когда будет не так много пользователей. Ничего не произойдет думаю, вот, вы как закалились уже, хотел помочь а вы сами за себя уже постоять можете ))) Все будет нормально.

    9 августа 2012 г. 10:25
    Отвечающий
  • а как правильно поступить с PDC ? мне  достаточно поработать с DC что бы выявить "больные зоны" или надо стопорить все доменные службы. И как тогда пароли опознаваться будут если я службу зарублю Оо
    9 августа 2012 г. 10:41
  • Второй контроллер  в это время возьмет обслуживание клиентов на себя, для этого он и нужен.

    9 августа 2012 г. 10:47
    Отвечающий