none
Не удаётся завершить миграцию КД с Server 2003 на Server 2008 R2 RRS feed

  • Вопрос

  • Добрый день.

    Прошу помощи, т.к. накосячил в том, что не достаточно литературы прочитал по миграции и подготовке к ней. Теперь имею массу проблем с нерабочим КД.

    Есть старый сервер serverdomain на Server 2003, была произведена миграция на сервер SR117004 с  2008 R2.

    После миграции по netdom query fsmo выдавался ответ о том, что новый КД SR117004 является владельцем всех ролей.

    Сейчас на обоих серверах ответ "Параметр задан неверно"

    На netdom query pdc оба сервера называют SR117004, но службы AD его как КД не видят.

    До миграции serverdomain являлся так же основным шлюзом. После миграции, на нём был изменён IP, а шлюзом стал Mikrotik.

    Ошибок на новом КД вышло столько, что не понятно с какой начинать разгребать эту ситуацию.

    На новом КД не создались каталоги Sysvol и Netlogon.

      

    Далее список ошибок и выдачей диагностических утилит.

    -------------------------------------------------------------------------------------------------

    Доменным службам Active Directory не удается подключиться к глобальному каталогу. 

    Дополнительные данные 
    Значение ошибки:
    1355 Указанный домен не существует или к нему невозможно подключиться. 
    Внутренний идентификатор:
    3200e25 

    Действие пользователя: 
    Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST

    -------------------------------------------------------------------------------------------------

     

    Службе репликации DFS не удалось связаться с контроллером домена , чтобы получить сведения о конфигурации. Репликация остановлена. Служба вновь попытается это сделать во время следующего цикла опроса, который произойдет через 60 мин. Это событие может быть вызвано проблемами с подключением TCP/IP, брандмауэром, доменными службами Active Directory или DNS. 

    Дополнительные сведения:  
    Ошибка: 160 (Неверны один или несколько аргументов.)

    -------------------------------------------------------------------------------------------------

    DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

    -------------------------------------------------------------------------------------------------

    dcdiag с нового КД

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = SR117004
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\SR117004
          Запуск проверки: Connectivity
             ......................... SR117004 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\SR117004
          Запуск проверки: Advertising
             Внимание: DsGetDcName вернул сведения для
             \\serverdomain.permschool34.local при попытке получения доступа к
             SR117004.
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
             ......................... SR117004 - не пройдена проверка Advertising
          Запуск проверки: FrsEvent
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... SR117004 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... SR117004 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... SR117004 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... SR117004 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... SR117004 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... SR117004 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... SR117004 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             Не удается подключиться к общему ресурсу NETLOGON.
             (\\SR117004\netlogon)
             [SR117004] Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..
             ......................... SR117004 - не пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... SR117004 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             [SERVERDOMAIN] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
             Сервер RPC недоступен..
             ......................... SR117004 - не пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... SR117004 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... SR117004 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x00000469
                Время создания: 09/02/2020   11:09:34
                Строка события:
                Ошибка при обработке групповой политики из-за отсутствия сетевого по
    дключения к контроллеру домена. Это может быть временным явлением. Будет создано
     сообщение об успехе после того, как компьютер удастся подключить к контроллеру
    домена и групповая политика будет обработана успешно. Если в течение нескольких
    часов это сообщение не появляется, обратитесь к системному администратору.
             Возникла ошибка. Код события (EventID): 0xC0002719
                Время создания: 09/02/2020   11:35:37
                Строка события:
                Не удалось установить связь DCOM с компьютером 193.58.251.101 через
    один из настроенных протоколов.
             Возникла ошибка. Код события (EventID): 0xC0002719
                Время создания: 09/02/2020   11:49:22
                Строка события:
                Не удалось установить связь DCOM с компьютером 193.58.251.101 через
    один из настроенных протоколов.
             ......................... SR117004 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... SR117004 - пройдена проверка
             VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: permschool34
          Запуск проверки: CheckSDRefDom
             ......................... permschool34 - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... permschool34 - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: permschool34.local
          Запуск проверки: LocatorCheck
             Внимание! Сбой при вызове функции DcGetDcName(GC_SERVER_REQUIRED),
             ошибка 1355
             Не удается найти сервер глобального каталога - все глобальные каталоги
             отключены.
             ......................... permschool34.local - не пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... permschool34.local - пройдена проверка
             Intersite

    -------------------------------------------------------------------------------------------------

    dcdiag со старого КД

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\SERVERDOMAIN
          Starting test: Connectivity
             ......................... SERVERDOMAIN passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\SERVERDOMAIN
          Starting test: Replications
             ......................... SERVERDOMAIN passed test Replications
          Starting test: NCSecDesc
             ......................... SERVERDOMAIN passed test NCSecDesc
          Starting test: NetLogons
             ......................... SERVERDOMAIN passed test NetLogons
          Starting test: Advertising
             ......................... SERVERDOMAIN passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... SERVERDOMAIN passed test KnowsOfRoleHolders
          Starting test: RidManager
             Dcdiag could not locate (null) in the dcdiag's cache of servers.  Try
             running this dcdiag test  against this server, to avoid any problems
             caused by replication latency.
             ......................... SERVERDOMAIN failed test RidManager
          Starting test: MachineAccount
             ......................... SERVERDOMAIN passed test MachineAccount
          Starting test: Services
             ......................... SERVERDOMAIN passed test Services
          Starting test: ObjectsReplicated
             ......................... SERVERDOMAIN passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... SERVERDOMAIN passed test frssysvol
          Starting test: frsevent
             There are warning or error events within the last 24 hours after the
             SYSVOL has been shared.  Failing SYSVOL replication problems may cause
             Group Policy problems.
             ......................... SERVERDOMAIN failed test frsevent
          Starting test: kccevent
             An Warning Event occured.  EventID: 0x80000785
                Time Generated: 09/02/2020   12:03:48
                (Event String could not be retrieved)
             An Warning Event occured.  EventID: 0x80000785
                Time Generated: 09/02/2020   12:03:48
                (Event String could not be retrieved)
             An Warning Event occured.  EventID: 0x80000785
                Time Generated: 09/02/2020   12:03:48
                (Event String could not be retrieved)
             ......................... SERVERDOMAIN failed test kccevent
          Starting test: systemlog
             An Error Event occured.  EventID: 0x000016AD
                Time Generated: 09/02/2020   11:08:46
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x40000004
                Time Generated: 09/02/2020   11:17:55
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0002719
                Time Generated: 09/02/2020   11:18:34
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x40000004
                Time Generated: 09/02/2020   11:41:56
                (Event String could not be retrieved)
             ......................... SERVERDOMAIN failed test systemlog
          Starting test: VerifyReferences
             ......................... SERVERDOMAIN passed test VerifyReferences

       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom

       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom

       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom

       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom

       Running partition tests on : permschool34
          Starting test: CrossRefValidation
             ......................... permschool34 passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... permschool34 passed test CheckSDRefDom

       Running enterprise tests on : permschool34.local
          Starting test: Intersite
             ......................... permschool34.local passed test Intersite
          Starting test: FsmoCheck
             Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
             A Global Catalog Server could not be located - All GC's are down.
             ......................... permschool34.local failed test FsmoCheck

    2 сентября 2020 г. 7:10

Ответы

  • По вашему ответу выяснено.

    1. С DNS у вас, в целом, порядок - существенного рассогласования копий зон нет: запись NS для второго КД (2K8) на первом КД (2K3) для работы не требуется, и она должна сама прийти по репликации после того, как репликация наладится.

    2. Причина отсутствия репликации - невозможность создать подключение со второго КД на первый из-за неверного пароля для второго КД в копии AD на первом - в результате верное значение пароля среплицироваться в нее не может.

    Предлагаемый способ устранения.

    1. Отключить KDC на Win2K3 (как было написано выше), и перезагрузиться, чтобы Win2K3 брал билет Kerberos с Win2K8

    2. После перезагрузки инициировать вручную проверку топологии (командой repadmin /kcc или через меню в AD Sites&Services) и последующую репликацию (командой repadmin /replicate serverdomain  SR117004 DC=permschool34,DC=local или через меню в AD Sites&Services). Возможно, потребуется это проделать 2-3 раза - пока ошибки KCC в журнале не исчезнут и репликация не пойдет.

    3 Включить KDC (как было написано выше: установить тип запуска - автоматический и запустить).

    Если проверка топологии и репликация так и не захотят работать по той же причине неверного пароля, то придется сбросить пароль SR117004 с записью его в копию AD на SERVERDOMAIN. Процедура описана здесь:  https://support.microsoft.com/en-us/help/325850/how-to-use-netdom-exe-to-reset-machine-account-passwords-of-a-windows (выполнять ее надо на SR117004, указать параметр /s:serverdomain)


    Слава России!


    • Изменено M.V.V. _ 4 сентября 2020 г. 16:41
    • Помечено в качестве ответа brr.viper 8 сентября 2020 г. 13:28
    4 сентября 2020 г. 16:39

Все ответы

  • что вы подразумеваете под словом миграция?

    193.ххх.ххх.101 что делают белве адреса на кд? как настроена сеть на обеих?


    The opinion expressed by me is not an official position of Microsoft

    2 сентября 2020 г. 8:04
    Модератор
  • Под миграцией подразумеваю перенос всех ролей КД с одного сервера на другой.

    Это IP DNS сервера провайдера. Он прописан в настройках DNS как сервер пересылки.

    На нём осуществляется контент фильтрация. Все другие внешние DNS провайдером зарезаны. Т.к. организация - образовательное учреждение со всеми вытекающими обязательствами по недопущению доступа детям к нежелательному контенту.

    2 сентября 2020 г. 8:14
  • Новый КД

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : SR117004
       Основной DNS-суффикс  . . . . . . : permschool34.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : permschool34.local

    Ethernet adapter Подключение по локальной сети:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8102E/RTL8103E F
    amily PCI-E Fast Ethernet NIC (NDIS 6.20)
       Физический адрес. . . . . . . . . : E0-CB-4E-83-9D-15
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::3dfc:95d:afd9:d102%11(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.34.4(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.34.1
       IAID DHCPv6 . . . . . . . . . . . : 249613134
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-8F-70-E0-E0-CB-4E-83-9D-15

       DNS-серверы. . . . . . . . . . . : ::1
                                           192.168.34.4
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{B081A6E9-8EB4-4FA1-9B70-6EFEEDF50D09}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Старый КД

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : serverdomain
       Основной DNS-суффикс  . . . . . . : permschool34.local
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : permschool34.local

    lan - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : HP NC107i PCIe Gigabit Server Adapter
       Физический адрес. . . . . . . . . : B4-99-BA-5C-99-24
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.34.7
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.34.1
       DNS-серверы . . . . . . . . . . . : 192.168.34.7

    2 сентября 2020 г. 8:16
  • вы читали что-то про добавление кд в существующий домен?

    из простого у вас не сконфигурированы днс ни на старом кд ни на новом, так как они должны смотреть на самих себя и на второго


    The opinion expressed by me is not an official position of Microsoft

    2 сентября 2020 г. 9:00
    Модератор
  • Перенос делал по инструкции https://retifff.wordpress.com/2011/07/27/active_directory_migration/

    Добавил на оба сервера IP другого в качестве вторичного DNS.

    2 сентября 2020 г. 9:22
  • Перенос делал по инструкции https://retifff.wordpress.com/2011/07/27/active_directory_migration/

    Добавил на оба сервера IP другого в качестве вторичного DNS.

    инструкция опускает перепроверки выполнения предыдущего шага на успешность в связи с чем вы перенесли роли на неработающий КД. Галку с глобальным каталогом вы ставили?

    The opinion expressed by me is not an official position of Microsoft

    2 сентября 2020 г. 9:32
    Модератор
  • Да, ставил. Сейчас она на новом стоит, на старом - нет.

    И потом, я на новом выполнял 

       

    dcdiag /test:registerindns /dnsdomain:permschool34.local

    Он мне ответил, и я был спокоен...

    Запуск проверки: RegisterInDNS
          Конфигурация DNS достаточна, чтобы позволить данному контроллеру домена
          динамически регистрировать в DNS записи локатора контроллера домена.

          Конфигурация DNS достаточна, чтобы позволить данному компьютеру
          динамически  регистрировать A-запись, соответствующую его DNS-имени.

          ......................... SR117004 - пройдена проверка RegisterInDNS

    2 сентября 2020 г. 9:41
  • Поможет ли создание папок вручную по статье 

    https://support.microsoft.com/en-us/help/947022/the-netlogon-share-is-not-present-after-you-install-active-directory-d

    Или это неприменимо к моему случаю?

    2 сентября 2020 г. 10:17
  • Поможет ли создание папок вручную по статье 

    https://support.microsoft.com/en-us/help/947022/the-netlogon-share-is-not-present-after-you-install-active-directory-d

    Или это неприменимо к моему случаю?

    по вопросам починки доменов тут скорее M.V.V., так что яб его подождал

    The opinion expressed by me is not an official position of Microsoft

    2 сентября 2020 г. 10:56
    Модератор
  • Хорошо, ждём. Пока ковыряюсь в логах и ищу, что могу исправить, попутно не сломав чего нового.

    На новом сервере в лога службы репликации файлов имею следующее:

    Служба репликации файлов столкнулась с проблемами при включении репликации с "SERVERDOMAIN" на "SR117004" для "c:\windows\sysvol\domain", использующего DNS-имя "serverdomain.permschool34.local". Служба репликации файлов (FRS) продолжит повторные попытки.

     Ниже указаны причины, по которым может выдаваться это предупреждение.

     

     [1] FRS не может разрешить DNS-имя "serverdomain.permschool34.local" с этого компьютера.

     [2] FRS не запущена на "serverdomain.permschool34.local".

     [3] Сведения о топологии в доменных службах Active Directory для этой реплики реплицированы еще не на все контроллеры домена.

     

     Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.

    [1] По поводу не может разрешить, вроде все отлично разрешается:

    C:\Users\Администратор.PERMSCHOOL34>ping -a 192.168.34.7

    Обмен пакетами с serverdomain.permschool34.local [192.168.34.7] с 32 байтами дан

    ных:

    Ответ от 192.168.34.7: число байт=32 время<1мс TTL=128

    ...

     [2] Проверил FRS на старом сервере, запущена, но тоже есть ошибки

    Служба репликации файлов обнаружила ошибку JRNL_WRAP_ERROR для набора репликации "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)".

     

     Имя набора репликации: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

     Корневой путь репликации: "c:\windows\sysvol\domain"

     Корневой том репликации: "\\.\C:"

     Ошибка JRNL_WRAP_ERROR возникает, когда набор репликации не находит запись, которую пытается прочитать из журнала NTFS USN.  Это может быть вызвано одной из следующих причин.

     

     [1] Том "\\.\C:" был отформатирован.

     [2] Журнал NTFS USN на томе "\\.\C:" был удален.

     [3] Журнал NTFS USN на томе "\\.\C:" был усечен. Программа Chkdsk может выполнить усечение журнала, если обнаружит в конце журнала поврежденные записи.

     [4] Служба репликации файлов давно не запускалась на данном компьютере.

     [5] Показатель активности дискового ввода-вывода на "\\.\C:" слишком высок для службы репликации файлов.

     Если установить параметр реестра "Enable Journal Wrap Automatic Restore" равным 1, будет выполнена описанная ниже процедура восстановления для автоматического исправления ошибки.

     [1] При первом опросе, который производится каждые 5 минут, данный компьютер будет удален из набора репликации. Чтобы не ждать 5 минут, можно выполнить команду "net stop ntfrs" и затем команду "net start ntfrs" для перезапуска службы репликации файлов.

     [2] При первом опросе после удаления компьютер будет заново включен в набор репликации. Повторное включение инициирует полную синхронизацию дерева для набора репликации.

     

    Предупреждение. В процессе восстановления данные дерева репликации могут стать недоступными. Необходимо установить описанный выше параметр реестра равным 0, чтобы автоматическое восстановление не привело к недоступности данных при повторении ошибки.

     

    Для изменения параметра реестра запустите программу regedit.

     

    Нажмите кнопку "Пуск", выберите команду "Выполнить" и введите "regedit".

     

    Разверните раздел HKEY_LOCAL_MACHINE.

    Щелкните последовательно разделы пути:

       "System\CurrentControlSet\Services\ntFrs\Parameters"

    Дважды щелкните параметр

       "Enable Journal Wrap Automatic Restore"

    и обновите его значение.

     

    Если этого параметра нет в реестре, его можно добавить с помощью команды "Создать->Параметр DWORD" в меню "Правка". Введите имя параметра точно так, как написано выше.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Произвел изменения в реестре как рекомендовалось, после этого ошибок нет.

    Далее на старом сервере в логах Службы каталогов:

         

    Попытка установки связи репликации для следующего раздела каталога, доступного для изменения, завершилась ошибкой. 

    Раздел каталога: 
    DC=permschool34,DC=local 
    Исходный контроллер домена: 
    CN=NTDS Settings,CN=SR117004,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=permschool34,DC=local 
    Адрес исходного контроллера домена: 
    a0d298bf-1edb-48a0-8173-f1a126e842ff._msdcs.permschool34.local 
    Межсайтовый транспорт (если существует): 


    До устранения этой ошибки выполнение репликации между данным и исходным контроллерами домена будет невозможно.  

    Действие пользователя 
    Проверьте доступность исходного контроллера домена и работоспособность сетевого подключения. 

    Дополнительные данные 
    Значение ошибки: 
    2148074274 Главное конечное имя неверно.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Тут я не знаю что делать, если тупо через проводник зайти на \\SR117004 то без проблем. Из командной строки не получается.

    C:\Documents and Settings\Администратор>net view \\sr117004
    Системная ошибка 5.

    Отказано в доступе.

    Командная строка запущена от имени администратора домена.

    2 сентября 2020 г. 11:39
  • Возможно 2003 лезет на 2008 по smb1 или 2008 хочет проверку подлинности на уровне сети, буду копать в эту сторону.
    2 сентября 2020 г. 11:49
  • Возможно 2003 лезет на 2008 по smb1 или 2008 хочет проверку подлинности на уровне сети, буду копать в эту сторону.

    Не надо копать в эту сторону. Информации уже достаточно.

    Во-первых, у вас из-за настройки серверов DNS могут быть проблемы (а могут и не быть - как повезет). Для исправления добавьте в список серверов DNS на каждом КД адрес IP другого КД и выполните повторно регистрацию записей в DNS на каждом контроллере командами (в Win2K8 - из командной строки в редиме администратора) ipconfig /registerdns и nltest /dsregdns (на Win2K3 второй команды может не быть, в таком случае просто перезапустите службу Сетевой вход в систему (Netlogon)).

    Второе - установите галку "Глобальный каталог" на обоих КД: Глобальный каталог - это не роль FSMO, и в наше время рекомендуется делать все КД глобальными каталогами.

    Третье - источник проблемы, почему новый КД не объявляет себя: он не смог среплицировать себе содержимое SYSVOL, потому что старый КД не может служить его источником из-за ошибки JRNL_WRAP_ERROR. Для устранения ошибки выполните полномочную синхронизацию FRS (с BurFlags=D4) на старом КД (как здесь) . Если новый КД после этого не заработает нормально - выпоните на нем неполномочную синхронизацию (то же самое, только с BurFlags=D2).

    Четвертое - после устранения ошибки обязательно проконтролируйте, что у вас там с тестом RidManager в dcdiag (на Win2K8 и выше dcdiag обязательно запускать из командной строки в режиме администратора).


    Слава России!

    2 сентября 2020 г. 14:04
  • Ну, я частично считал источником проблемы то, что w2k3 не может попасть на w2k8 по имени. С доступом в проводнике по \\SR117004 я погорячился, его нет.

    IP прописал и команды на обоих серверах выполнил утром, после этого в логах DNS на обоих серверах ошибок нет.

    Галку глобальный каталог установил на обоих серверах только в w2K8, нужно ли это отдельно делать в w2k3 и где там искать эту возможность?

    Содержимое в папках, насколько я понимаю, есть. Общим является каталог C:\WINDOWS\SYSVOL\sysvol

    C:\WINDOWS\SYSVOL
    ├───domain
    │   ├───Policies
    │   │   ├───{31B2F340-016D-11D2-945F-00C04FB984F9}
    │   │   │   ├───Adm
    │   │   │   ├───MACHINE
    │   │   │   │   ├───Microsoft
    │   │   │   │   │   └───Windows NT
    │   │   │   │   │       └───SecEdit
    │   │   │   │   └───Scripts
    │   │   │   │       ├───Shutdown
    │   │   │   │       └───Startup
    │   │   │   └───USER
    │   │   │       └───Microsoft
    │   │   │           └───RemoteInstall
    │   │   ├───{6AC1786C-016F-11D2-945F-00C04fB984F9}
    │   │   │   ├───Adm
    │   │   │   ├───MACHINE
    │   │   │   │   ├───Microsoft
    │   │   │   │   │   └───Windows NT
    │   │   │   │   │       └───SecEdit
    │   │   │   │   └───Scripts
    │   │   │   │       ├───Shutdown
    │   │   │   │       └───Startup
    │   │   │   └───USER
    │   │   │       ├───Documents & Settings
    │   │   │       └───Scripts
    │   │   │           ├───Logoff
    │   │   │           └───Logon
    │   │   └───{E6770FFA-9B5E-40C8-A263-EB09E5328059}
    │   │       ├───Adm
    │   │       ├───Machine
    │   │       │   ├───Applications
    │   │       │   ├───Microsoft
    │   │       │   │   └───Windows NT
    │   │       │   │       └───SecEdit
    │   │       │   └───Scripts
    │   │       │       ├───Shutdown
    │   │       │       └───Startup
    │   │       └───User
    │   │           ├───Applications
    │   │           ├───Documents & Settings
    │   │           ├───MICROSOFT
    │   │           │   └───IEAK
    │   │           │       └───BRANDING
    │   │           │           └───favs
    │   │           └───Scripts
    │   │               ├───Logoff
    │   │               └───Logon
    │   ├───scripts
    │   └───StarterGPOs
    ├───staging
    ├───staging areas
    │   └───permschool34.local
    └───sysvol
        └───permschool34.local
            ├───Policies
            │   ├───{31B2F340-016D-11D2-945F-00C04FB984F9}
            │   │   ├───Adm
            │   │   ├───MACHINE
            │   │   │   ├───Microsoft
            │   │   │   │   └───Windows NT
            │   │   │   │       └───SecEdit
            │   │   │   └───Scripts
            │   │   │       ├───Shutdown
            │   │   │       └───Startup
            │   │   └───USER
            │   │       └───Microsoft
            │   │           └───RemoteInstall
            │   ├───{6AC1786C-016F-11D2-945F-00C04fB984F9}
            │   │   ├───Adm
            │   │   ├───MACHINE
            │   │   │   ├───Microsoft
            │   │   │   │   └───Windows NT
            │   │   │   │       └───SecEdit
            │   │   │   └───Scripts
            │   │   │       ├───Shutdown
            │   │   │       └───Startup
            │   │   └───USER
            │   │       ├───Documents & Settings
            │   │       └───Scripts
            │   │           ├───Logoff
            │   │           └───Logon
            │   └───{E6770FFA-9B5E-40C8-A263-EB09E5328059}
            │       ├───Adm
            │       ├───Machine
            │       │   ├───Applications
            │       │   ├───Microsoft
            │       │   │   └───Windows NT
            │       │   │       └───SecEdit
            │       │   └───Scripts
            │       │       ├───Shutdown
            │       │       └───Startup
            │       └───User
            │           ├───Applications
            │           ├───Documents & Settings
            │           ├───MICROSOFT
            │           │   └───IEAK
            │           │       └───BRANDING
            │           │           └───favs
            │           └───Scripts
            │               ├───Logoff
            │               └───Logon
            ├───scripts
            └───StarterGPOs

    2 сентября 2020 г. 16:02
  • Покажите, что у вас сейчас с репликацией AD - repadmin /showrepl с каждого из КД (с 2K8 - в режиме администратора).

    Ну и, просто перезайдите администратором там, откуда у вас нет доступа к SR117004


    Слава России!

    2 сентября 2020 г. 16:47
  • Не знаю что я делаю не так, но пока ошибки остаются.

    Вот с w2k3

    C:\Documents and Settings\Администратор>repadmin /showrepl

    repadmin running command /showrepl against server localhost

    Default-First-Site-Name\SERVERDOMAIN
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
    DC invocationID: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22


    Naming Context: CN=Configuration,DC=permschool34,DC=local
    Source: Default-First-Site-Name\SR117004
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: DC=permschool34,DC=local
    Source: Default-First-Site-Name\SR117004
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: CN=Schema,CN=Configuration,DC=permschool34,DC=local
    Source: Default-First-Site-Name\SR117004
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    С w2k8

    C:\Users\Администратор.PERMSCHOOL34>repadmin /showrepl

    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    Default-First-Site-Name\SR117004
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: a0d298bf-1edb-48a0-8173-f1a126e842ff
    DSA - код вызова: 31feb11d-73bd-4570-ba7f-3418bb4e0347

    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================

    DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-02 21:56:39 успешна.

    CN=Configuration,DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-02 21:56:38 успешна.

    CN=Schema,CN=Configuration,DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-02 21:56:38 успешна.

    DC=DomainDnsZones,DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-02 21:56:39 успешна.

    DC=ForestDnsZones,DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-02 21:56:39 успешна.


    2 сентября 2020 г. 17:10
  • Доступа у меня нет с w2k3 на w2k8 по имени. По IP заходит.

    Ну и с ошибками по прежнему непонятки. Думал, что с DNS все норм, но ошибки походу просто выходят 1 раз после перезагрузки. Стоило перезагрузить сервер...

    На w2k8

    DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена.

    Служба каталогов по прежнему пишет 

    Доменным службам Active Directory не удается подключиться к глобальному каталогу. 

    И ещё

    Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного  контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в доменные службы Active Directory с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях будет не согласована между контроллерами  домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам. 
     
    Исходный контроллер домена: 
     serverdomain 
    Ошибочное имя узла DNS: 
     0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22._msdcs.permschool34.local 
     
    Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше.  Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1: 
     
    Раздел реестра: 
    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client 
     
    Действие пользователя: 
     
     1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB. 
     
     2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в  сети, введя команду "net view \\<имя исходного DC>" или   "ping <имя исходного DC>". 
     
     3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для  служб DNS и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на  http://www.microsoft.com/dns 
     
      dcdiag /test:dns 
     
     4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду: 
     
      dcdiag /test:dns 
     
     5) Для дальнейшего анализа ошибок DNS ознакомьтесь со статьей базы знаний 824449: 
       http://support.microsoft.com/?kbid=824449 
     
    Дополнительные данные 
    Значение ошибки: 
     11004 Запрошенное имя верно, но данные запрошенного типа не найдены. 

    Далее тесты

    С w2k3

    C:\Documents and Settings\Администратор>dcdiag /test:dns

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\SERVERDOMAIN
          Starting test: Connectivity
             ......................... SERVERDOMAIN passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\SERVERDOMAIN

    DNS Tests are running and not hung. Please wait a few minutes...

       Running partition tests on : ForestDnsZones

       Running partition tests on : DomainDnsZones

       Running partition tests on : Schema

       Running partition tests on : Configuration

       Running partition tests on : permschool34

       Running enterprise tests on : permschool34.local
          Starting test: DNS
             ......................... permschool34.local passed test DNS

    С w2k8

    C:\Users\Администратор.PERMSCHOOL34>dcdiag /test:dns

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = SR117004
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\SR117004
          Запуск проверки: Connectivity
             ......................... SR117004 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\SR117004

          Запуск проверки: DNS

             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... SR117004 - пройдена проверка DNS

       Выполнение проверок разделов на: ForestDnsZones

       Выполнение проверок разделов на: DomainDnsZones

       Выполнение проверок разделов на: Schema

       Выполнение проверок разделов на: Configuration

       Выполнение проверок разделов на: permschool34

       Выполнение проверок предприятия на: permschool34.local
          Запуск проверки: DNS
             Результаты проверки контроллеров домена:

                Контроллер домена: SR117004.permschool34.local
                Домен: permschool34.local


                   TEST: Records registration (RReg)
                      Сетевой адаптер
                      [00000007] Сетевая карта Realtek RTL8102E/RTL8103E Family PCI
    E Fast Ethernet NIC (NDIS 6.20):

                         Внимание!
                         Отсутствует запись SRV на DNS-сервере 192.168.34.7:
                         _ldap._tcp.dc._msdcs.permschool34.local

                         Внимание!
                         Отсутствует запись SRV на DNS-сервере 192.168.34.7:
                         _kerberos._udp.permschool34.local

                         Внимание!
                         Отсутствует запись SRV на DNS-сервере 192.168.34.7:
                         _kpasswd._tcp.permschool34.local

                         Внимание!
                         Отсутствует запись SRV на DNS-сервере 192.168.34.7:
                         _kerberos._tcp.Default-First-Site-Name._sites.permschool34
    local

                         Внимание!
                         Отсутствует запись SRV на DNS-сервере 192.168.34.7:
                         _gc._tcp.Default-First-Site-Name._sites.permschool34.local

                         Внимание!
                         Отсутствует запись SRV на DNS-сервере 192.168.34.7:
                         _ldap._tcp.pdc._msdcs.permschool34.local

                   Ошибка. Не удается найти регистрации записей для всех сетевых
                   адаптеров

             Отчет по результатам проверки DNS:

                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Домен: permschool34.local
                   SR117004                     PASS PASS PASS PASS PASS FAIL n/a

             ......................... permschool34.local - не пройдена проверка
             DNS

    С чего вдруг имя 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22._msdcs.permschool34.local  стало ошибочным, если оно переехало на новый сервер вместе со всеми настройками DNS?

    2 сентября 2020 г. 17:25
  • У вас там проблемы с записями DNS, из-за этого, видимо и репликация AD с 2K8 обратно на 2K3 не идет (подробностей не вижу - вы выложили не весь вывод, похоже), и ошибки на 2K8 фиксируются. Это - видимо следствие неправильной изначальной настройки DNS: вы допустили существование "островов", когда каждый КД регистрировал записи и брал их только с самого себя.

    Есть шанс, что к утру это может пройти само, но если не пройдет, то надо временно сделать так, чтобы КД использовали только один и один и тот же сервер DNS: который на serverdomain - 192.168.34.7. Оставьте в настройках подключений каждого КД только этот адрес, после чего повторите регистрацию имен DNS (см. выше). После этого все может заработать (возможно, надо будет час подождать) - а может и не заработать, если один КД потерял пароль другого КД. Тогда надо опять смотреть репликацию и ошибки Kerberos, чтобы понять, что в какую сторону не работает, и что с этим делать.

    Постоянные настройки серверов DNS можно будет вернуть назад после того, как пройдет репликация AD.


    Слава России!

    2 сентября 2020 г. 19:54
  • Оставил 192.168.34.7. Если не заработает, буду думать о том, чтобы временно установить куда-нибудь w2k8, сразу заблокировать на нём обновления, ввести в домен и попробовать на него перенести КД по новой.

    Я уже сомневался, что между ними существует вообще какая-либо связь. Для эксперимента, сменил пароль администратора домена на w2k8, думал, на w2k3 с ним не пустит. Нет, пустил. 

    Про пароли есть ошибки на w2k3

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера sr117004$. Использовавшееся конечное имя: DNS/sr117004.permschool34.local. Это значит, что пароль, который был использован для шифрования билета службы Kerberos, отличается от пароля на конечном сервере. Обычно это происходит, если в конечной сфере (PERMSCHOOL34.LOCAL) и в сфере клиента имеются учетные записи компьютеров с одинаковыми именами.   Обратитесь к системному администратору.

    3 сентября 2020 г. 3:22
  • Нашел тут статью с описание проблемы похожей на мою.

    https://support.microsoft.com/ru-ru/help/2090913/active-directory-replication-error-2146893022-the-target-principal-nam

    Но опять какие-то грабли.

    При попытке запустить репликацию через Службы и сайты опять пресловутое Отказано в доступе.

    В командной строке:

    C:\Users\Администратор.PERMSCHOOL34>Repadmin /replicate sr117004 serverdomain "D
    C=permschool34,DC=local"
    Успешно выполнена синхронизация из serverdomain к sr117004.

    Ну она то выполнена, а где мои папки sysvol и netlogon?

    Я уже запутался в плане того, что может служить маркером положительного завершения этого процесса.

    3 сентября 2020 г. 4:32
  • Для проверки отключил w2k3 от сети. Попробовал подключить рабочую станцию к домену. Ответ отрицательный. W2k8 указан как DNS сервер на рабочей станции, но как контроллер домена она его не воспринимает.

    Служба DNS по прежнему пишет предупреждения

    DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. 

    Служба каталогов тоже

         

    Этот сервер является владельцем следующей роли FSMO, но не считает назначение правильным. Для раздела, содержащего FSMO, этот сервер не выполнил успешной репликации ни с одним из партнеров репликации с момента перезапуска этого сервера. Ошибки репликации мешают выполнению проверки для этой роли. 

    Операции, требующие обращения хозяина операции FSMO, не смогут выполняться, пока это состояние не будет исправлено. 

    Роль FSMO: DC=permschool34,DC=local 

    Действие пользователя: 

    1. Начальная синхронизация является самой первой репликацией, выполняемой системой при запуске. Ошибка при выполнении начальной синхронизации может быть причиной того, что роль FSMO не может быть проверена. Описание этого процесса содержится в статье базы знаний 305476. 
    2. У этого сервера есть один или несколько партнеров репликации, и репликация завершается ошибкой для всех этих партнеров. Используйте  команду "repadmin /showrepl" для отображения ошибок репликации.  Исправьте возможную ошибку. Например, это могут быть проблемы связи IP, разрешения DNS-имен, проверки подлинности, которые мешают успешному выполнению репликации. 
    3. В том редком случае, когда известно, что все партнеры репликации были неработоспособны, возможно из-за выполнения обслуживания или восстановления после ошибки, можно принудительно выполнить проверку роли. Это можно сделать с помощью утилиты NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-сайте http://support.microsoft.com. 

    Могут быть затронуты следующие операции: 
      Схема: нельзя будет изменять схему для этого леса. 
      Именование доменов: нельзя будет добавлять или удалять домены из этого леса. 
      PDC: нельзя будет выполнять операции, исполняемые основным контроллером домена, например, обновление групповой политики и сброс паролей для учетных записей, не принадлежащих доменным службам Active Directory. 
      RID: нельзя будет выделять новые SID для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности. 
      Инфраструктура: междоменные ссылки на имена, например, членство в универсальных группах, не будут правильно обновляться, если конечный объект будет перемещен или переименован.

    Служба репликации 

    Служба репликации файлов просматривает данные на системном томе. Компьютер SR117004 не сможет стать контроллером домена, пока этот процесс не завершится. Затем системный том станет общим ресурсом с именем SYSVOL. 

    Для проверки ресурса SYSVOL введите в командной строке: 
    net share 

    Когда служба репликации файлов завершит процесс сканирования, на экране появится общий ресурс SYSVOL. 

    Инициализация системного тома может занять некоторое время. Это время зависит от объема системного тома.

    Служба репликации файлов столкнулась с проблемами при включении репликации с "serverdomain.permschool34.local" на "SR117004" для "c:\windows\sysvol\domain", использующего DNS-имя "serverdomain.permschool34.local". Служба репликации файлов (FRS) продолжит повторные попытки. 
     Ниже указаны причины, по которым может выдаваться это предупреждение. 
     
     [1] FRS не может разрешить DNS-имя "serverdomain.permschool34.local" с этого компьютера. 
     [2] FRS не запущена на "serverdomain.permschool34.local". 
     [3] Сведения о топологии в доменных службах Active Directory для этой реплики реплицированы еще не на все контроллеры домена. 
     
     Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.

    3 сентября 2020 г. 5:53
  • Как только подключил w2k3 к сети, даже не менял DNS в настройках TCP\IP, как рабочая станция сразу выдала запрос на учетную запись для подключения к домену.
    3 сентября 2020 г. 6:00
  • DNS успешно запросила запись ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена "permschool34.local":

    Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.permschool34.local

    Этим запросом были идентифицированы следующие контроллеры домена Active Directory:

    server1c.permschool34.local
    sr117004.permschool34.local
    serverdomain.permschool34.local

    К возможным причинам этой ошибки относятся:

    - Записи узлов (A) или (AAAA) , которые сопоставляют имя контроллера домена Active Directory его IP-адресам, утеряны или содержат неправильные адреса.

    - Контроллеры доменов Active Directory, зарегистрированные в DNS, не подключены к сети или не запущены.

    Не знаю откуда он server1c откопал, даже не в курсе, что такой тут когда-то был.

    3 сентября 2020 г. 6:11
  • Оставил 192.168.34.7. Если не заработает, буду думать о том, чтобы временно установить куда-нибудь w2k8, сразу заблокировать на нём обновления, ввести в домен и попробовать на него перенести КД по новой.

    Я уже сомневался, что между ними существует вообще какая-либо связь. Для эксперимента, сменил пароль администратора домена на w2k8, думал, на w2k3 с ним не пустит. Нет, пустил. 

    Про пароли есть ошибки на w2k3

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера sr117004$. Использовавшееся конечное имя: DNS/sr117004.permschool34.local. Это значит, что пароль, который был использован для шифрования билета службы Kerberos, отличается от пароля на конечном сервере. Обычно это происходит, если в конечной сфере (PERMSCHOOL34.LOCAL) и в сфере клиента имеются учетные записи компьютеров с одинаковыми именами.   Обратитесь к системному администратору.

    У вас разошелся пароль учетной записи в копиях AD на sr117004 (там - правильный) и на serverdomain, и из-за этого не идет репликация. В обратную сторону она идет, т.к. пароль для serverdomain на sr117004 правильный.

    Процедура из https://support.microsoft.com/ru-ru/help/2090913/active-directory-replication-error-2146893022-the-target-principal-nam для пароля КД-партнера это не исправляет, т.к. она не сбрасывает кэш билетов Kerberos.

    Для исправления можно сделать следующее (только делать это лучше, когда пользователей нет) - см. список действий ниже.

    Заодно скопируйте куда-нибудь содержимое C:\WINDOWS\SYSVOL\domain - может пригодиться, т.к. репликация FRS, которая тоже может возобновиться, может его уничтожить в результате попытки автоматического восстановления, которое вы включили ранее.

    Список действий:

    1. Остановить службу Центр распространения ключей (KDC) на serverdomain

    2. Т.к. это Win2K3 и кэш билетов системного сеанса почистить без перезагрузки  не удастся (на Win2k8 и выше это можно сделать вновь добавленными параметрами команды klist), то нужно отключить службу KDC (сделать тип запуска Отключено) и перезагрузить КД.

    3. После перезагрузки система на serverdomain должна получить билеты Kerberos с sr117004 и репликация должна пройти (проконтролируйте repadmin /showrepl).

    4. Верните автоматический тип запуска KDC и запустите службу.

    После этого, похоже (смотрите по событиям в журнале FRS и тесту Advertising в dcdiag), надо будет лечить репликацию SYSVOL (FRS) так, как я написал - путем полномочной синхронизации на serverdomain (как я писал выше) и (возможно, есть хороший шанс, что не понадобится) неполномочной - на sr117004.  Пока FRS не починена, этот КД себя объявлять рабочим не будет. И да, проверьте, что содержимое SYSVOL(C:\WINDOWS\SYSVOL\domain) никуда не делось - могут быть сюрпризы.

    Про роли FSMO пока не волнуйтесь - без них можно пожить некоторое время, а после починки репликации AD все должно прийти в норму.


    Слава России!


    • Изменено M.V.V. _ 3 сентября 2020 г. 13:06
    3 сентября 2020 г. 13:00
  • Предыдущая попытка написать ответ ушла в никуда (

    Спасибо за вашу помощь, пока лишь получаю новые ошибки.

    Сделал всё как вы писали.

    Sysvol был забекаплен ранее перед манипуляциями рекомендованными несколько постов выше. Сейчас содержимое всех папок на месте.

    Службу KDC остановил и отключил, сервер перезагрузил, выждал 5-10 минут.

    C:\Documents and Settings\Администратор>repadmin /showrepl

    repadmin running command /showrepl against server localhost

    Default-First-Site-Name\SERVERDOMAIN
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
    DC invocationID: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22


    Source: Default-First-Site-Name\SR117004
    ******* 2 CONSECUTIVE FAILURES since 2020-09-03 21:00:45
    Last error: 8524 (0x214c):
                Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска
    в DNS.

    Naming Context: CN=Configuration,DC=permschool34,DC=local
    Source: Default-First-Site-Name\SR117004
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: DC=permschool34,DC=local
    Source: Default-First-Site-Name\SR117004
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: CN=Schema,CN=Configuration,DC=permschool34,DC=local
    Source: Default-First-Site-Name\SR117004
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Может эти ошибки связанные с DNS можно обойти тупо прописав сервер в hosts?

    Заметил, что при отключенном на w2k3 KDC могу с него зайти на sr117004 по имени. А вот при включенном - болт: "Нет доступа..."

    3 сентября 2020 г. 16:55
  • Вот так выглядит _msdcs на w2k3

    Название    Тип    Значение
    dc        
    domains        
    gc        
    pdc        
    (как папка верхнего уровня)    Начальная запись зоны (SOA)    [156], serverdomain.permschool34.local., hostmaster.
    (как папка верхнего уровня)    Сервер имен (NS)    serverdomain.permschool34.local.
    0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22    Псевдоним (CNAME)    serverdomain.permschool34.local.
    a0d298bf-1edb-48a0-8173-f1a126e842ff    Псевдоним (CNAME)    sr117004.permschool34.local.

    Так на w2k8

    Название    Тип    Значение    Отметка времени
    dc            
    domains            
    gc            
    pdc            
    (как папка верхнего уровня)    Начальная запись зоны (SOA)    [237], sr117004.permschool34.local., hostmaster.    статический
    (как папка верхнего уровня)    Сервер имен (NS)    serverdomain.permschool34.local.    ?06.?07.?2011 12:00:00
    (как папка верхнего уровня)    Сервер имен (NS)    sr117004.permschool34.local.    статический
    0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22    Псевдоним (CNAME)    serverdomain.permschool34.local.    статический
    a0d298bf-1edb-48a0-8173-f1a126e842ff    Псевдоним (CNAME)    sr117004.permschool34.local.    ?03.?09.?2020 12:00:00

    Может тут собака порылась?

    3 сентября 2020 г. 17:09
  • Может эти ошибки связанные с DNS можно обойти тупо прописав сервер в hosts?

    Заметил, что при отключенном на w2k3 KDC могу с него зайти на sr117004 по имени. А вот при включенном - болт: "Нет доступа..."

    В hosts вы записи типа SRV не пропишете.

    DNS вы так и не победили. И меня смущает, почем repadmin на Win2K3 ничего не пишет про разделы приложения для зон DNS.

    Покажите, как у вас настроены разделы приложений и зоны на каждом из КД - выдачу команд с каждого:

    dnscmd /EnumDirectoryPartitions

    dnscmd /ZoneInfo permschool34.local

    dnscmd /ZoneInfo _msdcs.permschool34.local

    PS То, что при отключенном KDC на Win2K3 у вас доступ появляется - это так и должно быть: для того и KDC отключается, чтобы билет для неверного пароя не выдавал. Если бы у вас не было проблем с DNS, то это бы позволило провести репликацию. До решения проблемы с DNS можно пока включить KDC на Win2K3 - хуже не будет.

    PPS Содержимое зоны можно вывести командой dnscmd /ZonePrint имя.зоны


    Слава России!

    3 сентября 2020 г. 17:57
  • w2k3-------------->

    C:\Documents and Settings\Администратор>dnscmd /EnumDirectoryPartitions
    Enumerated directory partition list:

            Directory partition count = 2

     DomainDnsZones.permschool34.local         Enlisted Auto Domain
     ForestDnsZones.permschool34.local         Enlisted Auto Forest

    Command completed successfully.

    C:\Documents and Settings\Администратор>dnscmd /ZoneInfo permschool34.local
    Zone query result:
    Zone info:
            ptr                   = 00083030
            zone name             = permschool34.local
            zone type             = 1
            update                = 2
            DS integrated         = 1
            data file             = (null)
            using WINS            = 0
            using Nbstat          = 0
            aging                 = 0
              refresh interval    = 168
              no refresh          = 168
              scavenge available  = 0
            Zone Masters
            NULL IP Array.
            Zone Secondaries
            NULL IP Array.
            secure secs           = 3
            directory partition   = AD-Domain     flags 00000015
            zone DN               = DC=permschool34.local,cn=MicrosoftDNS,DC=DomainDnsZones,DC=permschool34,DC=local
    Command completed successfully.

    C:\Documents and Settings\Администратор>dnscmd /ZoneInfo _msdcs.permschool34.local
    Zone query result:
    Zone info:
            ptr                   = 00083038
            zone name             = _msdcs.permschool34.local
            zone type             = 1
            update                = 2
            DS integrated         = 1
            data file             = (null)
            using WINS            = 0
            using Nbstat          = 0
            aging                 = 0
              refresh interval    = 168
              no refresh          = 168
              scavenge available  = 0
            Zone Masters
            NULL IP Array.
            Zone Secondaries
            NULL IP Array.
            secure secs           = 3
            directory partition   = AD-Forest     flags 00000019
            zone DN               = DC=_msdcs.permschool34.local,cn=MicrosoftDNS,DC=ForestDnsZones,DC=permschool34,DC=local
    Command completed successfully.

    w2k8-------------->

    C:\Users\Администратор.PERMSCHOOL34>dnscmd /EnumDirectoryPartitions
    Список перечисленных разделов каталога:

            Счетчик разделов каталога = 2
     DomainDnsZones.permschool34.local         Enlisted Auto Domain
     ForestDnsZones.permschool34.local         Enlisted Auto Forest


    Команда успешно завершена.


    C:\Users\Администратор.PERMSCHOOL34>dnscmd /ZoneInfo permschool34.local

    Результат запроса зоны:

    Сведения о зоне:
            указатель                          = 00000000001D8080
            имя зоны                           = permschool34.local
            тип зоны                           = 1
            отключено                          = 0
            приостановлено                     = 0
            обновление                         = 2
            интеграция со службой каталогов    = 1
            зона только для чтения             = 0
            загрузка очереди в службу каталогов   = 0
            текущая загрузка службы каталогов     = 0
            файл данных             = (null)
            использование WINS      = 0
            использование Nbstat    = 0
            очистка                 = 0
              интервал обновления   = 168
              без обновления        = 168
              очистка доступна      = 0
            Хозяева зоны    Массив IP-адресов со значением NULL.
            Дополнительные для зоны         Массив IP-адресов со значением NULL.
            безопасные секции           = 3
            раздел каталога       = AD-Domain     флаги 00000015
            DN зоны               = DC=permschool34.local,cn=MicrosoftDNS,DC=DomainDnsZones,DC=permschool34,DC=local
    Команда успешно завершена.


    C:\Users\Администратор.PERMSCHOOL34>dnscmd /ZoneInfo _msdcs.permschool34.local

    Результат запроса зоны:

    Сведения о зоне:
            указатель                          = 0000000000218080
            имя зоны                           = _msdcs.permschool34.local
            тип зоны                           = 1
            отключено                          = 0
            приостановлено                     = 0
            обновление                         = 2
            интеграция со службой каталогов    = 1
            зона только для чтения             = 0
            загрузка очереди в службу каталогов   = 0
            текущая загрузка службы каталогов     = 0
            файл данных             = (null)
            использование WINS      = 0
            использование Nbstat    = 0
            очистка                 = 0
              интервал обновления   = 168
              без обновления        = 168
              очистка доступна      = 0
            Хозяева зоны    Массив IP-адресов со значением NULL.
            Дополнительные для зоны         Массив IP-адресов со значением NULL.
            безопасные секции           = 3
            раздел каталога       = AD-Forest     флаги 00000019
            DN зоны               = DC=_msdcs.permschool34.local,cn=MicrosoftDNS,DC=ForestDnsZones,DC=permschool34,DC=local
    Команда успешно завершена.

    Содержимое зон нужно выкладывать?

    4 сентября 2020 г. 4:19
  • С зонами все в порядке - они берутся из одного источника (а то всякое бывает). Содержимое целиком, наверное, выкладывать не стоит - там слишком много. Но вам самому сравнить стоит (например, командой fc). Можно даже попробовать прописать недостающие записи, касающиеся КД, на 2K3 вручную.

    А ещё интересно, почему у вас на 2K3 KCC не отрабатывает (ошибки в repadmin): запустите процесс проверки топологии (командой repadmin /kcc, например, или же через AD Sites Services в меню для NTDS Settings КД) и посмотрите ошибки, которые появятся в журнале событий службы каталогов.


    Слава России!

    4 сентября 2020 г. 13:04
  • Если я правильно понял, алгоритм такой: экспорт зоны в файл и сравнение его с таким же файлом экспортированным с другого КД?

    Если так, то у меня различия только по зоне _msdcs

    На w2k3 в ней отсутствует запись:

    (как папка верхнего уровня)    Сервер имен (NS)    sr117004.permschool34.local.    статический

    и я не знаю как её туда правильно добавить.

    Проверка топологии на w2k3 для его же пишет:
    Служба Active Directory на контроллере домена serverdomain.permschool34.local проверила топологию репликации. Следует обновить контейнер сайтов для того, чтобы увидеть какие-либо новые или удаленные подключения.
    Для w2k8:
    При попытке обращения к контроллеру домена произошла следующая ошибка:
    Свойства службы каталогов на могут быть найдены в кэше.

    В логах ничего нового, постоянно одно и то же предупреждение:

    Попытка установки связи репликации для следующего раздела каталога, доступного для изменения, завершилась ошибкой.
     
    Раздел каталога:
    CN=Configuration,DC=permschool34,DC=local
    Исходный контроллер домена:
    CN=NTDS Settings,CN=SR117004,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=permschool34,DC=local
    Адрес исходного контроллера домена:
    a0d298bf-1edb-48a0-8173-f1a126e842ff._msdcs.permschool34.local
    Межсайтовый транспорт (если существует):
     
     
    До устранения этой ошибки выполнение репликации между данным и исходным контроллерами домена будет невозможно.  
     
    Действие пользователя
    Проверьте доступность исходного контроллера домена и работоспособность сетевого подключения.
     
    Дополнительные данные
    Значение ошибки:
    2148074274 Главное конечное имя неверно.
    -------------------------------------------------------------------------------------------------------------------------------------

    И уведомление:

    В ходе проверки согласованности знаний успешно отменены следующие уведомления об изменениях.
     
    Раздел каталога:
    DC=DomainDnsZones,DC=permschool34,DC=local
    Конечный сетевой адрес:
    a0d298bf-1edb-48a0-8173-f1a126e842ff._msdcs.permschool34.local
    Конечный контроллер домена (если известен):
    CN=NTDS Settings,CN=SR117004,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=permschool34,DC=local
     
    Это событие может возникнуть, если данный или конечный контролер домена был перемещен в другой сайт.



    • Изменено brr.viper 4 сентября 2020 г. 15:46 ошибка
    4 сентября 2020 г. 15:44
  • По вашему ответу выяснено.

    1. С DNS у вас, в целом, порядок - существенного рассогласования копий зон нет: запись NS для второго КД (2K8) на первом КД (2K3) для работы не требуется, и она должна сама прийти по репликации после того, как репликация наладится.

    2. Причина отсутствия репликации - невозможность создать подключение со второго КД на первый из-за неверного пароля для второго КД в копии AD на первом - в результате верное значение пароля среплицироваться в нее не может.

    Предлагаемый способ устранения.

    1. Отключить KDC на Win2K3 (как было написано выше), и перезагрузиться, чтобы Win2K3 брал билет Kerberos с Win2K8

    2. После перезагрузки инициировать вручную проверку топологии (командой repadmin /kcc или через меню в AD Sites&Services) и последующую репликацию (командой repadmin /replicate serverdomain  SR117004 DC=permschool34,DC=local или через меню в AD Sites&Services). Возможно, потребуется это проделать 2-3 раза - пока ошибки KCC в журнале не исчезнут и репликация не пойдет.

    3 Включить KDC (как было написано выше: установить тип запуска - автоматический и запустить).

    Если проверка топологии и репликация так и не захотят работать по той же причине неверного пароля, то придется сбросить пароль SR117004 с записью его в копию AD на SERVERDOMAIN. Процедура описана здесь:  https://support.microsoft.com/en-us/help/325850/how-to-use-netdom-exe-to-reset-machine-account-passwords-of-a-windows (выполнять ее надо на SR117004, указать параметр /s:serverdomain)


    Слава России!


    • Изменено M.V.V. _ 4 сентября 2020 г. 16:41
    • Помечено в качестве ответа brr.viper 8 сентября 2020 г. 13:28
    4 сентября 2020 г. 16:39
  • Спасибо огромное, вроде всё получилось. SR117004 больше не выдаёт предупреждений по поводу своей недееспособности.
    ----------------------------------------
    Служба репликации файлов больше не препятствует компьютеру SR117004 стать контроллером домена. Системный том был успешно инициализирован и служба NetLogon была уведомлена о том, что системный том подготовлен и к нему может быть открыт общий доступ как к общему ресурсу SYSVOL.
    ----------------------------------------
    Все проблемы, мешавшие обновлению базы данных доменных служб Active Directory, были устранены. Успешно выполняются обновления базы данных Active Directory. Служба NetLogon перезапущена.
    ----------------------------------------
    Сервер DNS завершил фоновую загрузку зон. Все зоны теперь доступны для обновлений DNS и передачи зон в соответствии с разрешениями их индивидуальной настройки.
    ----------------------------------------
    Доменным службами Active Directory найден глобальный каталог в следующем сайте.
     
    Глобальный каталог:
    \\SR117004.permschool34.local
    Сайт:
    Default-First-Site-Name
    ----------------------------------------
    Репликация в обе стороны без ошибок.
    C:\Documents and Settings\Администратор>repadmin /showrepl

    repadmin running command /showrepl against server localhost

    Default-First-Site-Name\SERVERDOMAIN
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
    DC invocationID: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22

    ==== INBOUND NEIGHBORS =====================================

    DC=permschool34,DC=local
        Default-First-Site-Name\SR117004 via RPC
            DC object GUID: a0d298bf-1edb-48a0-8173-f1a126e842ff
            Last attempt @ 2020-09-05 11:39:30 was successful.

    CN=Configuration,DC=permschool34,DC=local
        Default-First-Site-Name\SR117004 via RPC
            DC object GUID: a0d298bf-1edb-48a0-8173-f1a126e842ff
            Last attempt @ 2020-09-05 11:36:48 was successful.

    CN=Schema,CN=Configuration,DC=permschool34,DC=local
        Default-First-Site-Name\SR117004 via RPC
            DC object GUID: a0d298bf-1edb-48a0-8173-f1a126e842ff
            Last attempt @ 2020-09-05 11:36:48 was successful.

    DC=DomainDnsZones,DC=permschool34,DC=local
        Default-First-Site-Name\SR117004 via RPC
            DC object GUID: a0d298bf-1edb-48a0-8173-f1a126e842ff
            Last attempt @ 2020-09-05 11:37:24 was successful.

    DC=ForestDnsZones,DC=permschool34,DC=local
        Default-First-Site-Name\SR117004 via RPC
            DC object GUID: a0d298bf-1edb-48a0-8173-f1a126e842ff
            Last attempt @ 2020-09-05 11:37:27 was successful.
    ----------------------------------------

    C:\Users\Администратор.PERMSCHOOL34>repadmin /showrepl

    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    Default-First-Site-Name\SR117004
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: a0d298bf-1edb-48a0-8173-f1a126e842ff
    DSA - код вызова: 31feb11d-73bd-4570-ba7f-3418bb4e0347

    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================

    DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-05 11:57:43 успешна.

    CN=Configuration,DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-05 11:52:36 успешна.

    CN=Schema,CN=Configuration,DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-05 11:52:36 успешна.

    DC=DomainDnsZones,DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-05 12:00:03 успешна.

    DC=ForestDnsZones,DC=permschool34,DC=local
        Default-First-Site-Name\SERVERDOMAIN через  RPC
            DSA - GUID объекта: 0bcb3b11-9cc7-4a93-8c1c-b2692b39ad22
            Последняя попытка @ 2020-09-05 11:52:37 успешна.
    ----------------------------------------
    Подскажите ещё пожалуйста, текущее состояние достаточно для того, чтобы понизить w2k3?
    Буду наблюдать до понедельника не вылезет ли ещё что-либо. Потом временно отключу w2k3 от сети, для проверки работоспособности SR117004 без serverdomain.
    Далее сделаю последний бекап с него и через мастер уберу роли.
    Вопрос ещё в следующем, в процессе понижения он должен сам сообщить SR117004, что тот остаётся единственным КД в домене или нужно будет вручную чистить его от записей о serverdomain и останавливать репликацию?
    5 сентября 2020 г. 7:15
  • В общем, можете отключать SERVERDOMAIN и пробовать работу сети без него.

    Если понижение пройдет штатно - а никаких причин, почему этого быть не должно, не видно - то чистить в AD ничего не понадобится.


    Слава России!

    5 сентября 2020 г. 11:34