none
Вопрос по переносу основного контроллера домена на резервный (Windows Server 2012 R2) RRS feed

  • Вопрос

  • Здравствуйте, Все!

    Возник выше означенный вопрос.

    Ситуация: Основной контроллер домена был развёрнут на виртуальной машине Hyper-V. Затем решили что это не правильно. Нужно было перенести "роль основного контроллера домена" на физический сервер. Причём, перенести без перерыва в работе домена. На обоих серверах Windows Server 2012 R2. (Старый сервер называется INT-DC02, новый - INT-DC01).

    Почитали интернет, нашли кучу инструкций (в основном о миграции основного контроллера домена с win2003 на win2008). Все найденные инструкции предлагают такой сценарий: на новом сервере поднимаем роль резервного контроллера домена, передаём роли FSMO резервному контроллеру и выводим старый контроллер из домена. В общем, ситуация похожа на нашу, но не совсем. Мы хотим резервный контроллер сделать основным, а старый контроллер оставить в качестве резервного.

    Что было сделано: по инструкциям, на новом сервере подняли роль контроллера домена. Затем перенесли роли FSMO на новый сервер.

    Симптомы: репликация между контроллерами работает (когда на одном из них создаём новые объекты, они появляются на другом). Но что-то всё-равно не так.

    Во-первых, странным кажется то, что на старом контроллере остались общие ресурсы SYSVOL и NetLogon. А на новом сервере таковых не появилось.

    Во-вторых, в оснастке "Редактирование ADSI" автоматически подключается к контексту именования по умолчанию старого сервера. Так же когда в оснастке "Active Directory - сайты и службы" выбираю команду Сменить лес... и указываю название леса, оно так же подключается к старому серверу. dfsutil c ключами /pktinfo и /spcinfo тоже ссылается на старый сервер.

    В третьих, команда dcdiag /q , запущенная на новом сервере, выдаёт следующее:

    C:\Windows\system32>dcdiag /q
             Внимание: DsGetDcName вернул сведения для \\INT-DC02.int.local при попытке получения доступа к INT-DC01.
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
             ......................... INT-DC01 - не пройдена проверка Advertising
             Не удается подключиться к общему ресурсу NETLOGON. (\\INT-DC01\netlogon)
             [INT-DC01] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя..
             ......................... INT-DC01 - не пройдена проверка NetLogons
    

    Та же команда, запущенная на станом сервере выдаёт

    C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об ошибках.  Сбои при репликации SYSVOL
             могут стать причиной проблем групповой политики.
             ......................... INT-DC02 - не пройдена проверка DFSREvent
             Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355
             Не удается найти основной контроллер домена.
             Сервер, которому принадлежит роль PDC, отключен.
             ......................... int.local - не пройдена проверка LocatorCheck
    


    Явно где-то что-то не дожали. Но, к сожалению, не понятно где и что.

    Подскажите что с этим можно сделать. Желательно без создания и переноса всего в новый лес (конечно если такое возможно).

    12 сентября 2014 г. 9:03

Ответы

  • 1. Настройки DNS. Поправили неправильно. Добавьте для INT-DC01 в качестве альтернативного DNS адрес любого из двух других КД. В имеющейся же конфигурации возможно при определенных условиях образование "острова DNS", когда INT-DC01 не увидит INT-DC02 и INT-DC03 и наоборот.

    2. У вас нарушена репликация SYSVOL. Это не та же самая репликация, что и репликация AD, которую контролирует repadmin - эту репликацию (при функциональном уровне домена Win2K8 и выше) выполняет служба DFS Replication. Из-за этого Netlogon на INT-DC01 и INT-DC03 не считает эти КД работоспособными - там нет годной копии папки SYSVOL. Так что, как я уже писал выше, разбирайтесь со службой DFSR и брандмауэром на INT-DC02: корень проблемы - там.

    3. Имя домена разрешается с помощью DNS в адрес одного из КД. Какого именно - выбирается случайно (по крайней мере, если они в одной подсети IP). Однако ни в поиске контроллера для аутентификации, ни при подключении клиента SYSVOL это разрешение имени не используется - там работают другие механизмы. Так что можете смело не обращать на это внимания.


    Слава России!

    15 сентября 2014 г. 9:39

Все ответы

  • у вас с DNS все хорошо? Оба контроллера домена могут пинговать друг друга по NetBIOS-имени и FQDN?

    Innovation distinguishes between a leader and a follower - Steve Jobs

    12 сентября 2014 г. 10:33
  • У вас неработоспособна репликация SYSVOL с помощью DFS Replication. Для более точной диагностики проблемы загляните в журнал событий службы репликации DFS на старом КД.

    Слава России!

    12 сентября 2014 г. 10:56
  • Да. Вышел небольшой косяк. На обоих серверах включен IPv6 и на старом контроллере в настройках был указан основной DNS ::1. 

    Убрал. Но не помогла. Правда характер сообщений на старом сервере изменился. Теперь dcdiag /q выдаёт 

    C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об ошибках.  Сбои при репликации SYSVOL
             могут стать причиной проблем групповой политики.
             ......................... INT-DC02 - не пройдена проверка DFSREvent
             [Replications Check,INT-DC02] Сбой при последней попытке репликации:
                Из INT-DC01 в INT-DC02
                Контекст именования: CN=Schema,CN=Configuration,DC=int,DC=local
                При репликации возникла ошибка (1908):
                Не удается найти контроллер этого домена.
                Сбой возник в 2014-09-12 17:50:49.
                Последняя успешная операция была в 2014-09-12 16:50:00. После последней успешной операции было
                1 сбоев.
                Ошибка Kerberos.
                Не найден KDC, чтобы проверить подлинность вызова.
                Убедитесь, что доступно достаточное число контроллеров домена.
            
            
             ......................... INT-DC02 - не пройдена проверка Replications
             Возникла ошибка. Код события (EventID): 0x0000106A
                Время создания: 09/12/2014   17:50:26
                Строка события:
                Не удалось обновить IP-адрес на интерфейсе Isatap isatap.{314EE562-5419-4432-AE7D-A427E193D357}. Тип обновления: 1. Код ошибки: 0x490.
             ......................... INT-DC02 - не пройдена проверка SystemLog
             Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355
             Не удается найти основной контроллер домена.
             Сервер, которому принадлежит роль PDC, отключен.
             ......................... int.local - не пройдена проверка LocatorCheck

    На новом основном контроллере ошибки не изменились.

    Очень похоже на какие-то ошибки с репликацией. Пока не разобрался и помощь всё ещё требуется.


    12 сентября 2014 г. 11:06
  • Очень странно что на новом основном контроллере домена нет "расшареных" папок SYSVOL и NetLogon.

    Причём, когда я их вручную "расшариваю", "шары" через некоторое время чудесным образом исчезают.

    Может их не нужно создавать вручную, а есть какие-то штатные средства?
    12 сентября 2014 г. 11:09
  • Покажите пожалуйста

    netdom query fsmo

    Передать или захватить роли на новом сервере. У вас 1 домен 1 лес - 2 доменных контроллера.

    или так.

    Удалить старый

    Forcing the Removal of a Domain Controller

    По вопросу SYSVOL.

    Managing SYSVOL

    PS. Бекап не забывайте делать перед операциями System state DC


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    12 сентября 2014 г. 11:28
  • Очень странно что на новом основном контроллере домена нет "расшареных" папок SYSVOL и NetLogon.

    Причём, когда я их вручную "расшариваю", "шары" через некоторое время чудесным образом исчезают.

    Может их не нужно создавать вручную, а есть какие-то штатные средства?

    Этими общими папками управляет служба Netlogon. И создает она их в том и только в том случае, если служба репликации содержимого SYSVOL (FRS или DFSR, в зависимости от функционального уровня домена) этому не препятствует, т.е. считает это содержимое в целом допустимым. Если начальная репликация содержимого не произошла, то общие папки создаваться не будут.

    С DNS у вас там явно творятся чудеса (и они могут быть причиной проблем с репликацией SYSVOL). Для диагностики следует проверить настройки серверов DNS в сетевых подключениях обоих КД (например, командой ipconfig /all) - они должны указывать на оба этих КД и никуда более - а также провести тест DNS (dcdiag /test:DNS).

    PS Ни в коем случае не торопитесь понижать или удалять старый КД, пока не добьётесь полной работоспособности нового.


    Слава России!


    • Изменено M.V.V. _ 12 сентября 2014 г. 11:48
    12 сентября 2014 г. 11:48
  • Удалять старый контролер - пока не выход. Пока новая схема не заработает корректно, старый контроллер должен жить, чтобы иметь возможность вернуть всё назад.

    По поводу конфигурации: один лес, два дерева. Сейчас работаем деревом c деревом int.local и второе никак не трогаем. В дереве один домен в котором было два контролера (INT-DC02 - основной и INT-DC01 - резервный). Их то мы и меняем местами/ролями. Т.е. сейчас INT-DC01 пытается быть основным контроллером домена, а INT-DC02 - соответственно, резервным. Сейчас к первым двум добавился еще один резервный - INT-DC03. Так что если он промелькнёт где-то в логах - не удивляйтесь :)

    За ссылочку про SYSVOL - Спасибо. Обязательно почитаю.

    На всех трёт контроллерах домена netdom query fsmo выдаёт следующее:

    C:\Windows\system32>netdom query fsmo
    Хозяин схемы                INT-DC01.int.local
    Хозяин именования доменов   INT-DC01.int.local
    PDC                         INT-DC01.int.local
    Диспетчер пула RID          INT-DC01.int.local
    Хозяин инфраструктуры       INT-DC01.int.local
    Команда выполнена успешно.
    

    По поводу DNS. Настройки на новом основном контроллере:

    C:\Windows\system32>ipconfig /all
    
    Настройка протокола IP для Windows
    
       Имя компьютера  . . . . . . . . . : INT-DC01
       Основной DNS-суффикс  . . . . . . : int.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : int.local
    
    Ethernet adapter Ethernet:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
       Физический адрес. . . . . . . . . : 00-25-90-94-11-A0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::20e2:5882:a423:bef0%12(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.42.2(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : fe80::230:88ff:fe1c:826a%12
                                           192.168.42.1
       IAID DHCPv6 . . . . . . . . . . . : 301999504
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1B-8F-78-29-00-25-90-94-11-A0
       DNS-серверы. . . . . . . . . . . : ::1
                                           127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Настройки на старом основной, а теперь резервном контроллере:

    C:\Windows\system32>ipconfig /all
    
    Настройка протокола IP для Windows
    
       Имя компьютера  . . . . . . . . . : INT-DC02
       Основной DNS-суффикс  . . . . . . : int.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : int.local
    
    Ethernet adapter Ethernet:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
       Физический адрес. . . . . . . . . : 00-15-5D-2A-0A-29
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::c82c:30e2:a068:6d46%12(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.42.3(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : fe80::230:88ff:fe1c:826a%12
                                           192.168.42.1
       IAID DHCPv6 . . . . . . . . . . . : 301995357
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-73-BF-F8-00-15-5D-2A-0A-29
       DNS-серверы. . . . . . . . . . . : 192.168.42.2
       NetBios через TCP/IP. . . . . . . . : Включен
    

    На новом основном контроллере dcdiag /test:DNS выдаёт следующее:

    C:\Windows\system32>dcdiag /test:DNS
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = INT-DC01
       * Определен лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\INT-DC01
          Запуск проверки: Connectivity
             ......................... INT-DC01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\INT-DC01
    
          Запуск проверки: DNS
    
             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... INT-DC01 - пройдена проверка DNS
    
       Выполнение проверок разделов на: ForestDnsZones
    
       Выполнение проверок разделов на: DomainDnsZones
    
       Выполнение проверок разделов на: Schema
    
       Выполнение проверок разделов на: Configuration
    
       Выполнение проверок разделов на: int
    
       Выполнение проверок предприятия на: int.local
          Запуск проверки: DNS
             ......................... int.local - пройдена проверка DNS
    
    На старом основном, который теперь новый резервный выдаёт тоже самое, только со своим именем.


    12 сентября 2014 г. 12:16
  • Про репликацию. В журнале Репликация DFS две ошибки. Привожу текст ошибки с нового основного контроллера. На старом ошибки аналогичные, только со ссылками на адрес нового основного контроллера.

    Имя журнала:   DFS Replication
    Источник:      DFSR
    Дата:          12.09.2014 17:48:57
    Код события:   5002
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     INT-DC01.int.local
    Описание:
    Служба репликации DFS обнаружила ошибку в подключении к партнеру INT-DC02 для группы репликации Domain System Volume. 
     
    DNS-адрес партнера: INT-DC02.int.local 
     
    Доступные дополнительные сведения: 
    WINS-адрес партнера: INT-DC02 
    IP-адрес партнера: 192.168.42.3 
      
    Служба периодически будет пытаться установить подключение. 
     
    Дополнительные сведения: 
    Ошибка: 1753 (В системе отображения конечных точек не осталось доступных конечных точек.) 
    Идентификатор подключения: 4694EC4A-2DEC-48AA-9AAE-788D36C94AC6 
    Идентификатор группы репликации: B594C8CA-B64B-433B-AC91-25DFEFBED854
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="DFSR" />
        <EventID Qualifiers="49152">5002</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2014-09-12T10:48:57.000000000Z" />
        <EventRecordID>49</EventRecordID>
        <Channel>DFS Replication</Channel>
        <Computer>INT-DC01.int.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data>4694EC4A-2DEC-48AA-9AAE-788D36C94AC6</Data>
        <Data>INT-DC02</Data>
        <Data>Domain System Volume</Data>
        <Data>INT-DC02.int.local</Data>
        <Data>INT-DC02</Data>
        <Data>192.168.42.3</Data>
        <Data>1753</Data>
        <Data>В системе отображения конечных точек не осталось доступных конечных точек.</Data>
        <Data>B594C8CA-B64B-433B-AC91-25DFEFBED854</Data>
      </EventData>
    </Event>
    Имя журнала:   DFS Replication
    Источник:      DFSR
    Дата:          12.09.2014 17:48:57
    Код события:   4612
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     INT-DC01.int.local
    Описание:
    Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером INT-DC02.int.local. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена. 
      
    Дополнительные сведения:  
    Имя реплицированной папки: SYSVOL Share 
    Идентификатор реплицированной папки: 6E615AD4-0D4C-4272-A2E4-403A0053EBA5 
    Имя группы репликации: Domain System Volume 
    Идентификатор группы репликации: 4694EC4A-2DEC-48AA-9AAE-788D36C94AC6 
    Код участника: 20836C0A-22D3-44FB-B5DD-D5DE51694E39 
    Только для чтения: 0
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="DFSR" />
        <EventID Qualifiers="49152">4612</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2014-09-12T10:48:57.000000000Z" />
        <EventRecordID>50</EventRecordID>
        <Channel>DFS Replication</Channel>
        <Computer>INT-DC01.int.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data>6E615AD4-0D4C-4272-A2E4-403A0053EBA5</Data>
        <Data>C:\Windows\SYSVOL\domain</Data>
        <Data>SYSVOL Share</Data>
        <Data>Domain System Volume</Data>
        <Data>4694EC4A-2DEC-48AA-9AAE-788D36C94AC6</Data>
        <Data>20836C0A-22D3-44FB-B5DD-D5DE51694E39</Data>
        <Data>INT-DC02.int.local</Data>
        <Data>0</Data>
      </EventData>
    </Event>


    12 сентября 2014 г. 12:27
  • Настройка серверов DNS в подключениях допустимая, но не обеспечивает отказоустойчивости: при отключении INT-DC01 второй КД - INT-DC02 - не будет иметь доступных ему серверов DNS, в рабочей конфигурации рекомендуется указывать в качестве серверов DNS, как минимум, два КД. Проблем с работой DNS нет - вероятно, предыдущая ошибка репликации AD была вызвана случайным сбоем.ЧТо Что же касается SYSVOL, то код ошибки свидетельствует либо о том, что на INT-DC02 не запущена служба DFS Replication, либо его брандмауэр блокирует обращение на тот конкретный порт TCP, который назначен оконечной точке подключения для службы репликации DFS. Дополнительную информацию об устранении данной ошибки можно посмотреть здесь.

    Если устранить ошибку самостоятельно не получится - обращайтесь на форум, подскажу, как получить диагностическую информацию, чтобы её можно было проанализировать участникам форума (мне для этого потребуется кое-что проверить на стенде, поэтому пока что так сразу дать инструкции не могу).


    Слава России!

    12 сентября 2014 г. 21:22
  • Настройки DNS поправил следующим образом:

    На основном контроллере домена (INT-DC01) Предпочитаемый DNS - 127.0.0.1. Альтернативного - нет.
    На резервном контроллере INT-DC02 Предпочитаемый DNS - адрес Int-DC01, Альтернативного - адрес INT-DC03.
    На резервном контроллере INT-DC03 Предпочитаемый DNS - адрес INT-DC01, Альтернативного - адрес INT-DC02.

    Думаю, такая конфигурация обеспечит отказоустойчивость. Если не так - поправьте меня.

    В пятницу вечером решил поэкспериментировать. Вручную "расшарил" папки SYSVOL и NETLOGON на основном контролере домена (INT-DC01) и решил посмотреть что будет. В итоге, за всё это время ни одной ошибки в разделе Репликация DFS ни на одном контроллере нет. Команда repadmin /replsum выдаёт следующее:

    C:\Windows\system32>repadmin /replsum
    Время запуска сводки по репликации: 2014-09-15 14:12:36
    
    Начат сбор данных для сводки по репликации, подождите:
      .......
    
    
    Исходный DSA        наиб. дельта     сбоев/всего %%   ошибка
     DC02                      22m:17s    0 /  12    0
     INT-DC01                  22m:16s    0 /  16    0
     INT-DC02                  24m:31s    0 /  16    0
     INT-DC03                  24m:31s    0 /  16    0
    
    
    Конечный DSA        наиб. дельта      сбои/всего %%   ошибка
     DC02                      16m:48s    0 /  12    0
     INT-DC01                  24m:32s    0 /  16    0
     INT-DC02                  24m:30s    0 /  16    0
     INT-DC03                  18m:45s    0 /  16    0
    Можно ли считать что проблемы с репликацией решены?

    При этом dcdiag на резервном контроллере домена INT-DC02 (который раньше был основным) никаких ошибок не выдаёт вообще. А вот на  новом основном контроллере домена dcdiag /q выдаёт следующее:

    C:\Windows\system32>dcdiag /q
             Внимание: DsGetDcName вернул сведения для \\INT-DC02.int.local при попытке получения доступа к INT-DC01.
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
             ......................... INT-DC01 - не пройдена проверка Advertising

    А на втором резервном контроллере домена INT-DC03 две ошибки. Одна та же, а вторая всё про то же, что и раньше:

    C:\Windows\system32>dcdiag /q
             Внимание: DsGetDcName вернул сведения для \\INT-DC02.int.local при попытке получения доступа к INT-DC03.
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
             ......................... INT-DC03 - не пройдена проверка Advertising
             Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355
             Не удается найти основной контроллер домена.
             Сервер, которому принадлежит роль PDC, отключен.
             ......................... int.local - не пройдена проверка LocatorCheck

    Еще интересную вещь заметил. Опять-таки, в качестве эксперимента, на каждом контроллере создал и "расшарил" папку собственного имени. Т.е. на INT-DC01 создал и "расшарил" папку DC01, на INT-DC02 - DC02 и т.д. Так вот, когда я в проводнике набираю адрес \\int.local на разных машинах я вижу разный результат. На INT-DC02 и INT-DC03 (оба - резервные контроллеры) я вижу среди прочего  папку DC01. А когда тот же адрес открываю на основном контроллере домена, то среди прочего вижу папку DC03. Я так понимаю, что открывая один и тот же адрес, я попадаю на разные компьютеры.

    Что бы это значило? Можете подсказать?



    15 сентября 2014 г. 7:08
  • У меня в днс-ах доменов прописаны ip друг друга в основных и свои - в альтернативных

    15 сентября 2014 г. 7:31
  • 1. Настройки DNS. Поправили неправильно. Добавьте для INT-DC01 в качестве альтернативного DNS адрес любого из двух других КД. В имеющейся же конфигурации возможно при определенных условиях образование "острова DNS", когда INT-DC01 не увидит INT-DC02 и INT-DC03 и наоборот.

    2. У вас нарушена репликация SYSVOL. Это не та же самая репликация, что и репликация AD, которую контролирует repadmin - эту репликацию (при функциональном уровне домена Win2K8 и выше) выполняет служба DFS Replication. Из-за этого Netlogon на INT-DC01 и INT-DC03 не считает эти КД работоспособными - там нет годной копии папки SYSVOL. Так что, как я уже писал выше, разбирайтесь со службой DFSR и брандмауэром на INT-DC02: корень проблемы - там.

    3. Имя домена разрешается с помощью DNS в адрес одного из КД. Какого именно - выбирается случайно (по крайней мере, если они в одной подсети IP). Однако ни в поиске контроллера для аутентификации, ни при подключении клиента SYSVOL это разрешение имени не используется - там работают другие механизмы. Так что можете смело не обращать на это внимания.


    Слава России!

    15 сентября 2014 г. 9:39
  • Доброго времени суток!

    Проделал операции в соответствии с инструкцией Restoring and Rebuilding SYSVOL

    Теперь на всех трёх контроллерах dcdiag /q ничего не выдаёт. Я так понимаю, что все проверки пройдены, ошибок нет.
    В журнале Репликация DFS ошибок тоже нет. В системном журнале разве что жалуется на отсутствие архивации Active Directory.

    Свидетельствует ли это нормальной работе нового контроллера? Какие ещё можно сделать проверки?

    26 сентября 2014 г. 3:21
  • По всем вашем тестам контроллеры домена работают нормально. В принципе, проверок достаточно.

    Слава России!

    26 сентября 2014 г. 10:19