none
помогите починить домен AD windows2003 RRS feed

  • Вопрос

  • единственный КД на windows server 2003 R2.

    что происходило с ним неизвестно.

    AD не функционирует, но при этом остнастки прекрасно открываются. можно создать нового админа и зайти под ним на КД, но Гр.Политика не работает.

    сейчас имеем:

    ---------------------------------------------------------------------

    ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : srv
       Основной DNS-суффикс  . . . . . . : domen.ru
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : нет
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : domen.ru

    Подключение по локальной сети - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : BCM5703 Gigabit Ethernet
       Физический адрес. . . . . . . . . : 00-19-BB-XX-XX-XX
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.8.2
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.8.1
       DNS-серверы . . . . . . . . . . . : 192.168.8.2

    ------------------------------------------------------------------------------

    dcdiag

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\SRV
          Starting test: Connectivity
             ......................... SRV passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\SRV
          Starting test: Replications
             ......................... SRV passed test Replications
          Starting test: NCSecDesc
             ......................... SRV passed test NCSecDesc
          Starting test: NetLogons
             ......................... SRV passed test NetLogons
          Starting test: Advertising
             ......................... SRV passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... SRV passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... SRV passed test RidManager
          Starting test: MachineAccount
             ......................... SRV passed test MachineAccount
          Starting test: Services
             ......................... SRV passed test Services
          Starting test: ObjectsReplicated
             ......................... SRV passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... SRV passed test frssysvol
          Starting test: frsevent
             ......................... SRV passed test frsevent
          Starting test: kccevent
             ......................... SRV passed test kccevent
          Starting test: systemlog
             An Error Event occured.  EventID: 0x40000004
                Time Generated: 01/26/2016   02:22:28
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000423
                Time Generated: 01/26/2016   02:41:04
                (Event String could not be retrieved)
             ......................... SRV failed test systemlog
          Starting test: VerifyReferences
             ......................... SRV passed test VerifyReferences

       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom

       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom

       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom

       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom

       Running partition tests on : domen
          Starting test: CrossRefValidation
             ......................... domen passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... domen passed test CheckSDRefDom

       Running enterprise tests on : domen.ru
          Starting test: Intersite
             ......................... domen.ru passed test Intersite
          Starting test: FsmoCheck
             ......................... domen.ru passed test FsmoCheck

    ------------------------------------------------------------------------------

    netdiag

    Netcard queries test . . . . . . . : Passed
        GetStats failed for '╧Ё ьющ ярЁрыыхы№э√щ яюЁЄ'. [ERROR_NOT_SUPPORTED]
        [WARNING] The net card '╠шэшяюЁЄ WAN (PPTP)' may not be working because it has not received any packets.
        [WARNING] The net card '╠шэшяюЁЄ WAN (PPPoE)' may not be working because it has not received any packets.
        [WARNING] The net card '╠шэшяюЁЄ WAN (IP)' may not be working because it has not received any packets.
        GetStats failed for '╠шэшяюЁЄ WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

    Per interface results:

        Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш

            Netcard queries test . . . : Passed

            Host Name. . . . . . . . . : srv
            IP Address . . . . . . . . : 192.168.8.2
            Subnet Mask. . . . . . . . : 255.255.255.0
            Default Gateway. . . . . . : 192.168.8.1
            Dns Servers. . . . . . . . : 192.168.8.2


            AutoConfiguration results. . . . . . : Passed

            Default gateway test . . . : Passed

            NetBT name test. . . . . . : Passed
            [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
    r Service', <20> 'WINS' names is missing.

            WINS service test. . . . . : Skipped
                There are no WINS servers configured for this interface.

    Global results:

    Domain membership test . . . . . . : Passed

    NetBT transports test. . . . . . . : Passed
        List of NetBt transports currently configured:
            NetBT_Tcpip_{268A78E4-04C1-4464-A90C-981A7E30664B}
        1 NetBt transport currently configured.

    Autonet address test . . . . . . . : Passed

    IP loopback ping test. . . . . . . : Passed

    Default gateway test . . . . . . . : Passed

    NetBT name test. . . . . . . . . . : Passed
        [WARNING] You don't have a single interface with the <00> 'WorkStation Servi
    ce', <03> 'Messenger Service', <20> 'WINS' names defined.

    Winsock test . . . . . . . . . . . : Passed

    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '192.168.8.2'

    Redir and Browser test . . . . . . : Passed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{268A78E4-04C1-4464-A90C-981A7E30664B}
        The redir is bound to 1 NetBt transport.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{268A78E4-04C1-4464-A90C-981A7E30664B}
        The browser is bound to 1 NetBt transport.

    DC discovery test. . . . . . . . . : Passed

    DC list test . . . . . . . . . . . : Passed

    Trust relationship test. . . . . . : Skipped

    Kerberos test. . . . . . . . . . . : Passed

    LDAP test. . . . . . . . . . . . . : Passed

    Bindings test. . . . . . . . . . . : Passed

    WAN configuration test . . . . . . : Skipped
        No active remote access connections.

    Modem diagnostics test . . . . . . : Passed

    IP Security test . . . . . . . . . : Skipped

        Note: run "netsh ipsec dynamic show /?" for more detailed information

    The command completed successfully

    ---------------------------------------------------------------

     в логе КД ошибки:

    1. Система безопасности обнаружила ошибку проверки подлинности  сервера cifs/SRV. Полученный от протокола проверки подлинности Kerberos код ошибки: "Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные.
     (0xc000006d)".

    2. Система безопасности обнаружила ошибку проверки подлинности  сервера LDAP/srv.domen.ru/domen.ru. Полученный от протокола проверки подлинности Kerberos код ошибки: "Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные.
     (0xc000006d)".
    3. Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера host/srv.domen.ru. Использовавшееся конечное имя: srv$@DOMEN.RU. Это значит, что пароль, который был использован для шифрования билета службы Kerberos, отличается от пароля на конечном сервере. Обычно это происходит, если в конечной сфере (DOMEN.RU) и в сфере клиента имеются учетные записи компьютеров с одинаковыми именами.   Обратитесь к системному администратору.
    4. Active Directory не удается подключиться к глобальному каталогу.
     
    Дополнительные данные
    Значение ошибки:
    8430 Внутренняя ошибка службы каталогов.
    Внутренний ID:
    3200c89
     
    Действие пользователя:
    Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена.  Для диагностики можно использовать программу NLTEST.

    5. Попытки обращения Active Directory к следующему глобальному каталогу завершились неудачно.
     
    Глобальный каталог:
    \\srv.domen.ru
     
    Продолжение выполнения текущей операции невозможно. Active Directory воспользуется локатором контроллеров домена для поиска доступного сервера глобального каталога.
     
    Дополнительные данные
    Значение ошибки: 5 Отказано в доступе.
    26 января 2016 г. 1:28

Ответы

  • Все признаки указывают на то, что пароль контроллера домена, хранящийся в AD не совпадает с паролем, харнящимся в реестре.

    Попробуйте сбросить пароль командой

    netdom resetpwd /server:srv /userd:DOMEN\имя_администратора /passwordd:*

     и перезагрузить контроллер домена.

    Гарантии, что получится, нет, но хуже точно не будет.

    PS Если напишет, что ошибка 5 (Отказано в доступе), попрбуйте вместо имени srv использовать адрес IP - 192.168.8.2

    PPS Если это всё не получится - есть ещё одна идея. Но насколько она реализуема - сказать заранее не могу.


    Слава России!

    • Помечено в качестве ответа Romashka Iv 31 января 2016 г. 22:34
    26 января 2016 г. 22:02

Все ответы

  • Есть подозрение, что для srv в домене есть лишние записи.

    Покажите результат выполнения команды nslookup srv.domain.ru


    Слава России!

    26 января 2016 г. 10:29
  • nslookup
    Default Server:  srv.domen.ru

    Address:  192.168.8.2

    > srv.domen.ru.
    Server:  srv.domen.ru
    Address:  192.168.8.2

    Name:    srv.domen.ru
    Address:  192.168.8.2

    > domen.ru.
    Server:  srv.domen.ru
    Address:  192.168.8.2

    Name:    srv.domen.ru
    Address:  192.168.8.2

    >

    26 января 2016 г. 12:21
  • Значит, причина не так проста, как могла бы быть: значит, имеется проблема с данными для протокола Kerberos - либо с SPN служб, либо с несовпадением паролей в AD и в реестре контроллера домена.

    Пароли проверить очень трудно, поэтому надо начать с проверки SPN.

    покажите выдачу команд

    setspn -L SRV

    (setspn входит в состав Support Tools, у вас, раз вы пользуетесь dcdiag и netdiag, они должны быть установлены).


    Слава России!

    26 января 2016 г. 13:56
  • setspn -L srv
    Registered ServicePrincipalNames for CN=SRV,OU=Domain Controllers,DC=domen,DC=ru:
        WSMAN/srv.domen.ru
        WSMAN/srv
        NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/srv.domen.ru
        ldap/srv.domen.ru/ForestDnsZones.domen.ru
        GC/srv.domen.ru/domen.ru
        HOST/srv.domen.ru/DOMEN
        HOST/SRV
        HOST/srv.domen.ru
        HOST/srv.domen.ru/domen.ru
        E3514235-4B06-11D1-AB04-00C04FC2DCD2/fc92d366-969d-4142-afb7-a286c5d5e58d/domen.ru
        ldap/fc92d366-969d-4142-afb7-a286c5d5e58d._msdcs.domen.ru
        ldap/srv.domen.ru/DOMEN
        ldap/SRV
        ldap/srv.domen.ru
        ldap/srv.domen.ru/DomainDnsZones.domen.ru
        ldap/srv.domen.ru/domen.ru
        DNS/srv.domen.ru
    26 января 2016 г. 14:40
  • Следующий тест.

    Для начала попробуйте включить в локальной политике контроллера домена (gpedit.msc) аудит удачных и неудачных попыток входа в систему. Если получится - хорошо, если нет - будем обходиться так.

    После этого попробуйте посмотреть другого (желательно - только что загруженного) компьютера список общих папок на контроллере домена

    net view \\srv

    а затем, если получите ошибку - то же самое, но с использованием IP-адреса вместо имени

    net view \\192.168.8.2

    (это - тест на работспособность протколов Kerberos и NTLM). В случае если получаете ошибку, интересен код ошибки и записи в журнале Безопасность о логоне с того компьютера, откуда смотрите и в журнале Система - о любых ошибках Kerberos.


    Слава России!

    26 января 2016 г. 15:42
  • аудит входа включен, но только "успех", переключить не получается:


    на клиенте в момент загрузки след. ошибки :

    1.  код 4

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера host/srv.domen.ru. Использовалось конечное имя LDAP/srv.domen.ru/domen.ru@DOMEN.RU. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (DOMEN.RU) отличен от домена клиента (DOMEN.RU), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.

    2. код 4.

    Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера host/srv.domen.ru. Использовалось конечное имя cifs/srv.domen.ru. Это означает, что конечному серверу не удалось расшифровать билет, ...

    3. код 1129 ...

    на сервере в аудите:

    1. 

    Запрос билета службы:
    Пользователь: WS-21$@DOMEN.RU
    Домен пользователя: DOMEN.RU
    Имя службы: SRV$
    Код службы: DOMEN\SRV$
    Параметры билета: 0x40800000
    Тип шифрования билета: 0x17
    Адрес клиента: 10.129.4.155
    Код ошибки: -
    Код GUID: {f0cb55be-58c8-cf40-27e8-f2a7d75f037d}
    Промежуточные службы: -

    2.

              

    Запрос билета службы:
    Пользователь: u.juk@DOMEN.RU
    Домен пользователя: DOMEN.RU
    Имя службы: SRV$
    Код службы: DOMEN\SRV$
    Параметры билета: 0x40800000
    Тип шифрования билета: 0x17
    Адрес клиента: 10.129.4.155
    Код ошибки: -
    Код GUID: {dbbf6533-aca6-6efb-4bfe-6e5fa3b4d239}
    Промежуточные службы:

    >net view \\srv
    Системная ошибка 5.

    Отказано в доступе.


    >net view \\192.168.8.2
    Общие ресурсы на \\192.168.8.2

    Имя общего ресурса  Тип   Используется как  Комментарий
    -------------------------------------------------------------------------------
    deploy              Диск                    пакетная установка AD
    NETLOGON            Диск                    Общий сервер входа
    SYSVOL              Диск                    Общий сервер входа
    Команда выполнена успешно.


              

              
    26 января 2016 г. 17:20
  • Все признаки указывают на то, что пароль контроллера домена, хранящийся в AD не совпадает с паролем, харнящимся в реестре.

    Попробуйте сбросить пароль командой

    netdom resetpwd /server:srv /userd:DOMEN\имя_администратора /passwordd:*

     и перезагрузить контроллер домена.

    Гарантии, что получится, нет, но хуже точно не будет.

    PS Если напишет, что ошибка 5 (Отказано в доступе), попрбуйте вместо имени srv использовать адрес IP - 192.168.8.2

    PPS Если это всё не получится - есть ещё одна идея. Но насколько она реализуема - сказать заранее не могу.


    Слава России!

    • Помечено в качестве ответа Romashka Iv 31 января 2016 г. 22:34
    26 января 2016 г. 22:02
  • C:\>netdom resetpwd /server:srv /userd:DOMEN\admin /passwordd:*
    Type the password associated with the domain user:

    The machine account password for the local machine could not be reset.

    Вход в систему не произведен: конечная учетная запись указана неверно.

    The command failed to complete successfully.


    C:\>netdom resetpwd /server:192.168.8.2 /userd:DOMEN\admin /passwordd:*
    Type the password associated with the domain user:

    The machine account password for the local machine has been successfully reset.

    The command completed successfully.

    --------------------------------------------------------------------------------------------

    Вау! похоже что-то взлетело! :) спасибо. завтра окончательно проверю, сейчас уже пора бы поспать...

    век  живи век учись - ведь пытался делать сброс пароля, но почему-то не догадался ip вместо имени подсунуть...

    а почему не пускало по имени? оно же прекрасно резолвится?

    27 января 2016 г. 0:10
  • >а почему не пускало по имени? оно же прекрасно резолвится?

    При обращении по имени используется протокол аутентификации Kerberos, а с ним у вас проблема: пароль SRV в AD не соответствовал его паролю, хранящемуся у него в реестре, а потому он не мог расшифровать билет Kerberos, который сам же себе и выдал. При обращении по IP-адресу в Windows используется протокол аутентификации NTLM (т.к. SPN для IP Windows не создаёт), а с ней проблем у вас нет.

    PS Если проблема решена - пометьте ответ: проблема нетривиальная, и другим, кто будет искать решение, пометка поможет.


    Слава России!

    27 января 2016 г. 9:02