none
Проблемы в AD RRS feed

  • Вопрос

  • Коллеги, добрый день!
    Помогите решить проблему.

    В компании есть 3 сайта, 2 клиентские OS: Win 7, Win 10
    Вчера началась проблема на сайте 1 с машинами на Win 7 (когда пользователи меняли пароль - после смены пароля невозможно залогиниться). Выяснялось, что DC на сайте 3, который держал все роли fsmo приболел и пришлось с него "жестко" захватывать роли, сейчас они на DC сайта 1 и вроде как все ОК. Вчера вечером все заработало, и пользователи смогли успешно залогиниться.

    Сегодня утром подобное повторилось на сайте 1 , плюс проблема захватила учетные записи которые НЕ меняли пароль. Далее выяснелось, что проблема с учетной записью компьютера, то есть пользователь Может залогиниться на другой машине.

    Нерабочий DC с сайта 3 в AD и DNS отовсюду удалил.

    В чем может быть проблема?...

    В логах на клиентских машинах все чисто, на DC есть только то, что ниже. 

    C:\>dcdiag /s:DC2
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       * Определен лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: site1\DC2
          Запуск проверки: Connectivity
             ......................... DC2 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: site1\DC2
          Запуск проверки: Advertising
             ......................... DC2 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... DC2 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... DC2 - не пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC2 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... DC2 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... DC2 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC2 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC2 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC2 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC2 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ ПОЛУЧЕННОЙ РЕПЛИКАЦИИ
             DC2:  Текущее время - 2019-05-16 11:34:25.
                DC=ForestDnsZones,DC=domen,DC=com
                   Последняя репликация получена из site3-AD2 в
              2019-05-08 18:39:49
                DC=DomainDnsZones,DC=domen,DC=com
                   Последняя репликация получена из site3-AD2 в
              2019-05-08 18:39:49
                CN=Schema,CN=Configuration,DC=domen,DC=com
                   Последняя репликация получена из site3-AD2 в
              2019-05-08 18:39:49
                CN=Configuration,DC=domen,DC=com
                   Последняя репликация получена из site3-AD2 в
              2019-05-08 18:39:49
                DC=domen,DC=com
                   Последняя репликация получена из site3-AD2 в
              2019-05-08 18:42:29
             ......................... DC2 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC2 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... DC2 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x000727A5
                Время создания: 05/16/2019   10:36:46
                Строка события: The WinRM service is not listening for WS-Management requests.
             Возникло предупреждение. Код события (EventID): 0x00001796
                Время создания: 05/16/2019   10:42:53
                Строка события:
                Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
             Возникло предупреждение. Код события (EventID): 0x0000008E
                Время создания: 05/16/2019   10:41:42
                Строка события: The time service has stopped advertising as a time source because the local clock is not synchronized.
             Возникло предупреждение. Код события (EventID): 0x000000DB
                Время создания: 05/16/2019   10:41:45
                Строка события: The driver \Driver\WudfRd failed to load for the device SWD\WPDBUSENUM\{05dc4b7e-2dae-11e4-80b5-806e6f6e6963}#0000000000100000.
             Возникло предупреждение. Код события (EventID): 0x000727A5
                Время создания: 05/16/2019   10:48:56
                Строка события: The WinRM service is not listening for WS-Management requests.
             Возникло предупреждение. Код события (EventID): 0x00001796
                Время создания: 05/16/2019   10:52:30
                Строка события:
                Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
             Возникла ошибка. Код события (EventID): 0x0000106A
                Время создания: 05/16/2019   10:53:04
                Строка события: Unable to update the IP address on Isatap interface isatap.{581A35BA-B8FA-4D6C-88FA-153FD248C4BD}. Update Type: 1. Error Code: 0x490.
             Возникло предупреждение. Код события (EventID): 0x0000008E
                Время создания: 05/16/2019   10:53:09
                Строка события: The time service has stopped advertising as a time source because the local clock is not synchronized.
             Возникло предупреждение. Код события (EventID): 0x000000DB
                Время создания: 05/16/2019   10:53:21
                Строка события: The driver \Driver\WudfRd failed to load for the device SWD\WPDBUSENUM\{05dc4b7e-2dae-11e4-80b5-806e6f6e6963}#0000000000100000.
             Возникла ошибка. Код события (EventID): 0x0000165B
                Время создания: 05/16/2019   10:54:18
                Строка события: The session setup from computer 'AL-TULN6' failed because the security database does not contain a trust account 'AL-TULN6$' referenced by the specified computer.
             Возникла ошибка. Код события (EventID): 0x00009018
                Время создания: 05/16/2019   10:55:43
             Возникла ошибка. Код события (EventID): 0x000016AD
                Время создания: 05/16/2019   10:56:18
                Строка события: The session setup from the computer AL-TULN6 failed to authenticate. The following error occurred:
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/16/2019   11:11:45
                Строка события:
                The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server al-uakr46$. The target name used was cifs/al-uakr46.domen.com. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (domen.com) is different from the client domain (domen.com), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/16/2019   11:12:41
                Строка события:
                The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server al-uakr19$. The target name used was cifs/al-uakr19.domen.com. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (domen.com) is different from the client domain (domen.com), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
                Время создания: 05/16/2019   11:31:08
                Строка события: A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 10. The Windows SChannel error state is 10.
             ......................... DC2 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC2 - пройдена проверка VerifyReferences
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка CrossRefValidation
    
       Выполнение проверок разделов на: domen
          Запуск проверки: CheckSDRefDom
             ......................... domen - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... domen - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: domen.com
          Запуск проверки: LocatorCheck
             ......................... domen.com - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... domen.com - пройдена проверка Intersite
    
    C:\>

Ответы

  • Вы сначала посмотрите с помощью dcdiag, не исчезла ли ошибка с репликацией. Если исчезла, то и основная проблема, скорее всего, исчезла - она явно связана с проблемами репликации между КД.

    Если не исчезла, то поправьте имена так, чтобы в выдаче repadmin и dcdiag имена одних и тех же контроллеров домена и сайтов совпадали - чтобы можно было хоть понять, что  к чему, и сопоставить.

    Ну, и список контроллеров домена по сайтам (поименованным так же, как в выдаче dcdiag/repadmin) не помешает.

    По поводу обновлений - надо смотреть для начала соответствующие статьи в MS KB (https://support.microsoft.com/ru-ru/help/номер_обновления_после_букв_KB), там могут быть описаны побочные эффекты, вызывающие проблему.


    Слава России!

    • Помечено в качестве ответа Sergey Ya 17 мая 2019 г. 6:25

Все ответы

  • site3-AD2 - это что? Если удаленный из AD контроллер, то когда удаляли, в каком сайте, и произошла ли с тех пор репликация в другой сайт(сайты) (смотреть с помощью repadmin /showrepl для соответствующих КД)

    Слава России!

  • site3 - название сайта. Заменил дабы не светить компанию.

    AD2 - домен контроллер.

    C:\>repadmin /syncall
    CALLBACK MESSAGE: The following replication is in progress:
        From: 509eba3b-616d-4329-88d3-0629a33bf343._msdcs.domen.com
        To  : 3dce1bb9-203a-4759-9f2a-393ec9418a46._msdcs.domen.com
    CALLBACK MESSAGE: Error issuing replication: 8453 (0x2105):
        Replication access was denied.
        From: 509eba3b-616d-4329-88d3-0629a33bf343._msdcs.domen.com
        To  : 3dce1bb9-203a-4759-9f2a-393ec9418a46._msdcs.domen.com
    CALLBACK MESSAGE: SyncAll Finished.
    
    SyncAll reported the following errors:
    Error issuing replication: 8453 (0x2105):
        Replication access was denied.
        From: 509eba3b-616d-4329-88d3-0629a33bf343._msdcs.domen.com
        To  : 3dce1bb9-203a-4759-9f2a-393ec9418a46._msdcs.domen.com
    
    
    C:\>repadmin /showrepl
    
    Repadmin: running command /showrepl against full DC localhost
    AutoLeasing\AS-DC2
    DSA Options: IS_GC
    Site Options: (none)
    DSA object GUID: 3dce1bb9-203a-4759-9f2a-393ec9418a46
    DSA invocationID: bb87c9b3-d365-4cdc-94be-4ab64039480e
    
    ==== INBOUND NEIGHBORS ======================================
    
    DC=domen,DC=com
        RCOD\RS-AD1 via RPC
            DSA object GUID: 9c91def6-f19f-4583-ab6e-3d1f3d9204d3
            Last attempt @ 2019-05-16 14:22:20 was successful.
        MSK-CO\domen-DC2 via RPC
            DSA object GUID: 1b0bbbe4-6aaa-449b-8e90-f84e09eb5418
            Last attempt @ 2019-05-16 14:22:20 was successful.
        AutoLeasing\AS-DC1 via RPC
            DSA object GUID: 509eba3b-616d-4329-88d3-0629a33bf343
            Last attempt @ 2019-05-16 14:30:35 was successful.
    
    CN=Configuration,DC=domen,DC=com
        AutoLeasing\AS-DC1 via RPC
            DSA object GUID: 509eba3b-616d-4329-88d3-0629a33bf343
            Last attempt @ 2019-05-16 14:22:20 was successful.
        RCOD\RS-AD1 via RPC
            DSA object GUID: 9c91def6-f19f-4583-ab6e-3d1f3d9204d3
            Last attempt @ 2019-05-16 14:22:20 was successful.
        MSK-CO\domen-DC2 via RPC
            DSA object GUID: 1b0bbbe4-6aaa-449b-8e90-f84e09eb5418
            Last attempt @ 2019-05-16 14:22:20 was successful.
    
    CN=Schema,CN=Configuration,DC=domen,DC=com
        AutoLeasing\AS-DC1 via RPC
            DSA object GUID: 509eba3b-616d-4329-88d3-0629a33bf343
            Last attempt @ 2019-05-16 14:22:20 was successful.
        RCOD\RS-AD1 via RPC
            DSA object GUID: 9c91def6-f19f-4583-ab6e-3d1f3d9204d3
            Last attempt @ 2019-05-16 14:22:20 was successful.
        MSK-CO\domen-DC2 via RPC
            DSA object GUID: 1b0bbbe4-6aaa-449b-8e90-f84e09eb5418
            Last attempt @ 2019-05-16 14:22:20 was successful.
    
    DC=DomainDnsZones,DC=domen,DC=com
        RCOD\RS-AD1 via RPC
            DSA object GUID: 9c91def6-f19f-4583-ab6e-3d1f3d9204d3
            Last attempt @ 2019-05-16 14:22:20 was successful.
        MSK-CO\domen-DC2 via RPC
            DSA object GUID: 1b0bbbe4-6aaa-449b-8e90-f84e09eb5418
            Last attempt @ 2019-05-16 14:22:20 was successful.
        AutoLeasing\AS-DC1 via RPC
            DSA object GUID: 509eba3b-616d-4329-88d3-0629a33bf343
            Last attempt @ 2019-05-16 14:30:43 was successful.
    
    DC=ForestDnsZones,DC=domen,DC=com
        AutoLeasing\AS-DC1 via RPC
            DSA object GUID: 509eba3b-616d-4329-88d3-0629a33bf343
            Last attempt @ 2019-05-16 14:22:20 was successful.
        RCOD\RS-AD1 via RPC
            DSA object GUID: 9c91def6-f19f-4583-ab6e-3d1f3d9204d3
            Last attempt @ 2019-05-16 14:22:21 was successful.
        MSK-CO\domen-DC2 via RPC
            DSA object GUID: 1b0bbbe4-6aaa-449b-8e90-f84e09eb5418
            Last attempt @ 2019-05-16 14:22:21 was successful.
    DsReplicaGetInfo() failed with status 8453 (0x2105):
        Replication access was denied.
    DsReplicaGetInfo() failed with status 8453 (0x2105):
        Replication access was denied.
    
    
    C:\>

  • Еще есть мысли, что проблема может быть с некоторыми KB:

    KB4495596
    KB4495587
    KB4495588
    KB4495593
    KB4495164
    KB4495175
    KB4498206
    KB4495612
    KB4495606

    google ничего плохого по этим KB не дал, но при удалении их всех или определенной пары - все начинает работать. Почему работает с определенными КВ я объяснить никак не могу, но вдруг, кто0то столкнулся с похожей проблемой.

  • Вы сначала посмотрите с помощью dcdiag, не исчезла ли ошибка с репликацией. Если исчезла, то и основная проблема, скорее всего, исчезла - она явно связана с проблемами репликации между КД.

    Если не исчезла, то поправьте имена так, чтобы в выдаче repadmin и dcdiag имена одних и тех же контроллеров домена и сайтов совпадали - чтобы можно было хоть понять, что  к чему, и сопоставить.

    Ну, и список контроллеров домена по сайтам (поименованным так же, как в выдаче dcdiag/repadmin) не помешает.

    По поводу обновлений - надо смотреть для начала соответствующие статьи в MS KB (https://support.microsoft.com/ru-ru/help/номер_обновления_после_букв_KB), там могут быть описаны побочные эффекты, вызывающие проблему.


    Слава России!

    • Помечено в качестве ответа Sergey Ya 17 мая 2019 г. 6:25
  • Вырезка из dcdiag

          Запуск проверки: DFSREvent
             За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... AS-DC2 - не пройдена проверка DFSREvent

    c DFSR я разберусь, и проблема с паролями явно не в нем.

    Смущает еще вот эта ошибка 

    Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/16/2019   17:25:13
                Строка события:
                The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server SERVER$. The target name used was RPCSS/SERVER.domen.com. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password. If the server name is not fully qualified, and the target domain (DOMEN.COM) is different from the client domain (DOMEN.COM), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.


  • Видимо, так совпали звезды, что при "кривых" КВ'шках обнаружилось, что один DC не отвечает (хотя по сети - rdp, ping был доступен).

    Пока решение такое - на время глушим все wsus, удаляем KB, что прилетели за вчера-сегодня.

  • Видимо, так совпали звезды, что при "кривых" КВ'шках обнаружилось, что один DC не отвечает (хотя по сети - rdp, ping был доступен).

    Пока решение такое - на время глушим все wsus, удаляем KB, что прилетели за вчера-сегодня.

    Зачем же WSUS глушить? Можно просто отменить одобрение тех обновлений, которые вызвали проблемы.

    PS У вас WSUS работает в режиме автоодобрения для всех рабочих серверов? В таком случае вы - смелый человек!


    Слава России!

  • Отключить WSUS - указания свыше, дабы еще ничего кривого не прилетело.

    На самом деле ситуации довольна интересная. Если ставить по одной KB на новую машину то проблем никаких нет, да и если бы КВ действительно были кривые, то тут была бы не одна похожая тема.

    У нас все security update пролетают автоматом.

    Плюс на машинах стоит Касперский и ПО от безопасников, которое имеет свойство паршиво работать.

    M.V.V. , спасибо за помощь! Домен починил, а вот с машинами пока еще ничего не ясно. Как выясню в чем было дело - отпишусь. ;)

  • Собственно вот так http://www.cnews.ru/news/top/2019-05-21_obnovlenie_windows_10_i_windows_7_lomayut_pk

    KB4495164

  • Сnатья KB с указанным номером отсутствует.

    Может быть, вы имели в виду  KB4499164 ?


    Слава России!


    • Изменено M.V.V. _ 21 мая 2019 г. 11:32
  • Пардон, опечатка.

    Да, я имел ввиду KB4499164

  • Хотелось бы еще добавить.

    KB4499164 является накопительным обновлением, которое содержит обновление KB4499175

    Собственно были проблемы и со вторым KB - KB4499175