none
Не работает репликация на PDC RRS feed

  • Вопрос

  • Добрый день.

    Есть Win2k8 R2

    Проблемы с репликацией.

    Никто не может подключиться к PDC.

    Локально на нём все шары, в том числе и SYSVOL открываются, а удалённо нет.

    В логах IIS строки типа

    2015-10-16 09:01:01 192.168.10.2 OPTIONS /c$ - 80 - 192.168.230.75 Microsoft-WebDAV-MiniRedir/6.1.7601 200 0 0 15
    2015-10-16 09:01:01 192.168.10.2 PROPFIND /c$ - 80 - 192.168.230.75 Microsoft-WebDAV-MiniRedir/6.1.7601 404 0 2 15

    С какого он это делает?

    Понятное дело WebDav не установлен и Web Client Network в Network Providers тоже нет.

    С другого DC выполняю dcdiag /test:checksecurityerror /replsource:srv-dc

    Ответ

    Doing primary tests
    
       Testing server: USERS\SRV-DC06
          Starting test: CheckSecurityError
             Source DC SRV-DC was requested for a manual security error check.  Diagnosing...
                   Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine received by:
                            SRV-DC
             [SRV-DC] DsBindWithSpnEx() failed with error -2146893022,
             The target principal name is incorrect..
             Ignoring DC SRV-DC in the convergence test of object CN=SRV-DC06,OU=Domain Controllers,DC=domain,DC=local, because we cannot
             connect!
             ......................... SRV-DC06 failed test CheckSecurityError
    по w32tm /monitor расхождения по времени нет

    16 октября 2015 г. 12:58

Ответы

  • Ну, а если эти тесты ничего интересного не найдут, а в журналах событий системы на вызывающем или выхзываемом КД наличиествуют ошибки Kerberos  с кодом KRB_ERR_MODIFIED, то, наиболее вероятно, что произошло рассогласование пароля учётной записи SRV-DC на нём самом и в копиях базы AD на других контроллерах. Лечится это с помощью команды netdom resetpwd, процедура описана тут.

    То есть, необходимо на SRV-DC выполнить (из командной строки в режиме администратора) следующие команды:

    net stop kdc

    sc config kdc start= demand

    klist -purge

    netdom resetpwd /s:SRV-DC06

    , перезагрузить SRV-DC, дождаться успешной репликации и вернуть тип запуска службы KDC и запустить её

    sc config kdc start= auto

    net start kdc


    Слава России!

    • Помечено в качестве ответа Lanin Aleksandr 16 октября 2015 г. 18:50
    16 октября 2015 г. 18:44
  • Гоча!
    Поскольку всё ресолвилось, то было подозрение на недоверие к машинному аккаунту DC, что как-то странно, так как он PDC. Кому, как не ему верить.

    После переноса этой роли на другой контроллер, я запросил для страдальца srv-dc новый пароль (по статье например )

    После включения обратно службы KDC всё заструилось как надо.

    Всем спасибо.

    • Помечено в качестве ответа Lanin Aleksandr 16 октября 2015 г. 18:48
    16 октября 2015 г. 18:48

Все ответы

  • Добрый день.

    Есть Win2k8 R2

    Проблемы с репликацией.

    Никто не может подключиться к PDC.

    Локально на нём все шары, в том числе и SYSVOL открываются, а удалённо нет.

    В логах IIS строки типа

    2015-10-16 09:01:01 192.168.10.2 OPTIONS /c$ - 80 - 192.168.230.75 Microsoft-WebDAV-MiniRedir/6.1.7601 200 0 0 15
    2015-10-16 09:01:01 192.168.10.2 PROPFIND /c$ - 80 - 192.168.230.75 Microsoft-WebDAV-MiniRedir/6.1.7601 404 0 2 15

    С какого он это делает?

    Понятное дело WebDav не установлен и Web Client Network в Network Providers тоже нет.

    С другого DC выполняю dcdiag /test:checksecurityerror /replsource:srv-dc

    Ответ

    Doing primary tests
    
       Testing server: USERS\SRV-DC06
          Starting test: CheckSecurityError
             Source DC SRV-DC was requested for a manual security error check.  Diagnosing...
                   Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED or down machine received by:
                            SRV-DC
             [SRV-DC] DsBindWithSpnEx() failed with error -2146893022,
             The target principal name is incorrect..
             Ignoring DC SRV-DC in the convergence test of object CN=SRV-DC06,OU=Domain Controllers,DC=domain,DC=local, because we cannot
             connect!
             ......................... SRV-DC06 failed test CheckSecurityError
    по w32tm /monitor расхождения по времени нет

    Сообщение об ошибке вводит в заблуждение: недавно тут на форуме наблюдал в точности такую же неправильную диагностику, при этом тщательный анализ показал, что никакого расхождения времени нет. Так что, надо полагать, имеет место вторая причина (выделено жирным) - сервер недоступен. Чаще всего это бывает из-за проблем с DNS.

    Для первичной диагностики проверьте на PDC (SRV-DC, как я понимаю)регистрацию и разрешение имён DNS тестом dcdiag /test:DNS.

    Если там всё нормально, убедитесь, что на SRV-DC06 в подключениях в качестве серверов DNS указаны только контроллеры домена. Никаких 8.8.8.8, серверов провайдера и т.п. там быть не должно: они ничего не знают про ваш domain.local. После этого проверьте разрешение имени srv-dc.domain.local командой nslookup через каждый из настроенных серверов DNS:

    nslookup srv-dc.domain.local сервер_DNS


    Слава России!



    • Изменено M.V.V. _ 16 октября 2015 г. 13:58
    16 октября 2015 г. 13:54
  • Да DNS работает.

    Сервер PDC прекрасно виден в сети. На него можно зайти по RDP, например, или по http(s)

    Репликация к нему успешно проходит (если инициирована на нём).
    Ему вообще зашибись.
    На нём можно посмотреть хозяев операций (RID PDC Infr), с любой другой машины текущие мастера не видны соответственно.

    16 октября 2015 г. 14:40
  • Значит, DNS проверять не желаете...

    Покажите тогда

      а) выдачу repadmin /showrepl с SRV-DC06

      б) результат net view \\srv-DC оттуда же


    Слава России!

    16 октября 2015 г. 15:12
  • Всё печально. Ни рипликации

    C:\Windows\system32>repadmin /showrepl
    
    Repadmin: running command /showrepl against full DC localhost
    USERS\SRV-DC06
    DSA Options: IS_GC
    Site Options: (none)
    DSA object GUID: 35929af9-8439-4630-84c4-5b2ee341db84
    DSA invocationID: b9b822e4-e4f4-46fd-a85e-c24297b6af76
    
    ==== INBOUND NEIGHBORS ======================================
    
    DC=domain,DC=local
        USERS\SRV-SDC via RPC
            DSA object GUID: 232420f2-bde5-46fb-84e6-e09b35bcab79
            Last attempt @ 2015-10-16 18:24:51 was successful.
        USERS\SRV-DC via RPC
            DSA object GUID: 0b93ac80-efd5-41b2-8154-edc1988e8d0f
            Last attempt @ 2015-10-16 18:25:08 failed, result -2146893022 (0x80090322):
                The target principal name is incorrect.
            22721 consecutive failure(s).
            Last success @ 2015-10-10 01:38:55.
        USERS\SRV-DC01 via RPC
            DSA object GUID: ff0e8cba-8315-4555-b85c-91073292bb4f
            Last attempt @ 2015-10-16 18:25:16 was successful.
    
    CN=Configuration,DC=domain,DC=local
        USERS\SRV-DC via RPC
            DSA object GUID: 0b93ac80-efd5-41b2-8154-edc1988e8d0f
            Last attempt @ 2015-10-16 18:20:30 failed, result -2146893022 (0x80090322):
                The target principal name is incorrect.
            784 consecutive failure(s).
            Last success @ 2015-10-10 01:33:48.
        USERS\SRV-SDC via RPC
            DSA object GUID: 232420f2-bde5-46fb-84e6-e09b35bcab79
            Last attempt @ 2015-10-16 18:20:30 was successful.
        USERS\SRV-DC01 via RPC
            DSA object GUID: ff0e8cba-8315-4555-b85c-91073292bb4f
            Last attempt @ 2015-10-16 18:20:30 was successful.
    
    CN=Schema,CN=Configuration,DC=domain,DC=local
        USERS\SRV-DC via RPC
            DSA object GUID: 0b93ac80-efd5-41b2-8154-edc1988e8d0f
            Last attempt @ 2015-10-16 18:20:30 failed, result -2146893022 (0x80090322):
                The target principal name is incorrect.
            643 consecutive failure(s).
            Last success @ 2015-10-10 01:33:48.
        USERS\SRV-SDC via RPC
            DSA object GUID: 232420f2-bde5-46fb-84e6-e09b35bcab79
            Last attempt @ 2015-10-16 18:20:30 was successful.
        USERS\SRV-DC01 via RPC
            DSA object GUID: ff0e8cba-8315-4555-b85c-91073292bb4f
            Last attempt @ 2015-10-16 18:20:30 was successful.
    
    DC=ForestDnsZones,DC=domain,DC=local
        USERS\SRV-DC01 via RPC
            DSA object GUID: ff0e8cba-8315-4555-b85c-91073292bb4f
            Last attempt @ 2015-10-16 18:20:30 was successful.
        USERS\SRV-SDC via RPC
            DSA object GUID: 232420f2-bde5-46fb-84e6-e09b35bcab79
            Last attempt @ 2015-10-16 18:20:30 was successful.
        USERS\SRV-DC via RPC
            DSA object GUID: 0b93ac80-efd5-41b2-8154-edc1988e8d0f
            Last attempt @ 2015-10-16 18:23:04 failed, result -2146893022 (0x80090322):
                The target principal name is incorrect.
            1108 consecutive failure(s).
            Last success @ 2015-10-10 01:33:49.
    
    DC=DomainDnsZones,DC=domain,DC=local
        USERS\SRV-DC via RPC
            DSA object GUID: 0b93ac80-efd5-41b2-8154-edc1988e8d0f
            Last attempt @ 2015-10-16 18:23:49 failed, result -2146893022 (0x80090322):
                The target principal name is incorrect.
            3134 consecutive failure(s).
            Last success @ 2015-10-10 01:37:18.
        USERS\SRV-SDC via RPC
            DSA object GUID: 232420f2-bde5-46fb-84e6-e09b35bcab79
            Last attempt @ 2015-10-16 18:24:03 was successful.
        USERS\SRV-DC01 via RPC
            DSA object GUID: ff0e8cba-8315-4555-b85c-91073292bb4f
            Last attempt @ 2015-10-16 18:25:32 was successful.
    
    Source: USERS\SRV-DC
    ******* 22683 CONSECUTIVE FAILURES since 2015-10-10 01:38:55
    Last error: -2146893022 (0x80090322):
                The target principal name is incorrect.
    
    Source: USERS\SRV-DC01
    ******* 2 CONSECUTIVE FAILURES since 2015-10-16 17:35:30
    Last error: 1722 (0x6ba):
                The RPC server is unavailable.

    ни SYSVOLа

    C:\Windows\system32>net view \\srv-DC
    System error 5 has occurred.
    
    Access is denied.

    Я покамест столкнул  PDC и Infrastructure на DC06, понятно, что RID и Хозяина имён передвинуть не даёт.

    16 октября 2015 г. 15:32
  • Target principal name is incorrect имеет несколько причин. Одну из них легко проверить: неверное разрешение имён. Проверяется командами

    ping srv-dc.domain.local

    ping 0b93ac80-efd5-41b2-8154-edc1988e8d0f._msdcs.domain.local 

    В обоих случаях должен пинговаться адрес сервера SRV-DC.

    Если этот тест проходит, то имеет смысл выполнить dcdiag  /checksecurityerror на SRV-DC и посмотреть результат.

    PS IMHO роли FSMO в таких случаях трогать опасно. И, главное, - не нужно: ни в каких повседневных операциях они не задействованы.

    Пока что вы ничего опасного не совершили - два хозяина ролей PDC emulator и Infrastructure master в одном домене ни к каким необратимым последствиям не приведут (возможны лишь временные затруднения). Но лучше сначала решить проблему (пусть даже принудительным понижением контроллера домена - хозяина ролей FSMO), а только потом трогать роли.


    Слава России!

    16 октября 2015 г. 17:33
  • Ну, а если эти тесты ничего интересного не найдут, а в журналах событий системы на вызывающем или выхзываемом КД наличиествуют ошибки Kerberos  с кодом KRB_ERR_MODIFIED, то, наиболее вероятно, что произошло рассогласование пароля учётной записи SRV-DC на нём самом и в копиях базы AD на других контроллерах. Лечится это с помощью команды netdom resetpwd, процедура описана тут.

    То есть, необходимо на SRV-DC выполнить (из командной строки в режиме администратора) следующие команды:

    net stop kdc

    sc config kdc start= demand

    klist -purge

    netdom resetpwd /s:SRV-DC06

    , перезагрузить SRV-DC, дождаться успешной репликации и вернуть тип запуска службы KDC и запустить её

    sc config kdc start= auto

    net start kdc


    Слава России!

    • Помечено в качестве ответа Lanin Aleksandr 16 октября 2015 г. 18:50
    16 октября 2015 г. 18:44
  • Гоча!
    Поскольку всё ресолвилось, то было подозрение на недоверие к машинному аккаунту DC, что как-то странно, так как он PDC. Кому, как не ему верить.

    После переноса этой роли на другой контроллер, я запросил для страдальца srv-dc новый пароль (по статье например )

    После включения обратно службы KDC всё заструилось как надо.

    Всем спасибо.

    • Помечено в качестве ответа Lanin Aleksandr 16 октября 2015 г. 18:48
    16 октября 2015 г. 18:48
  • M.V.V. , а что ресетить пароль можно было обращаясь на любой DC, не только на эмуляторе PDC?

    16 октября 2015 г. 18:53
  • Да, конечно. Это в WinNT пароль можно было менять только на PDC. А ныне пароль меняется на любом КД, а роль бывшего PDC называется "PDC emulator" - он же не является владельцем единственной пригодной для записи копии базы данных домена, но служит в качестве центральной точки для других целей: Domain Master Browser, к примеру. Или источником точного времени в домене. Ну и, все контроллеры домена, на которых изменён пароль, стремятся максимально быстро среплицировать его на PDC emulator, а столкнувшись с неверным паролем - пытаются проверить ещё раз пароль на нём же, как на, предположительно, всегда имеющем самую свежую копию пароля.


    Слава России!

    • Предложено в качестве ответа Dmitry_Vasilyev 16 октября 2015 г. 21:20
    16 октября 2015 г. 19:42
  • Спасибо, мне помогло)
    16 ноября 2016 г. 13:00