none
Проблемы с Active Directory RRS feed

  • Вопрос

  • Добрый день всем. Имеется проблема с АД. Имеем один лес 3 контроллера домена (dc01,dc02,dc03), ОS windows server 2012 std. Кроме dc03 все не давно досталось по наследству. dc01 физическая машина, dc02 dc03 виртуальные. Видимо когда то dc01 дал сбой, и сейчас хозяином всех ролей является dc02. В середине марта я заметил что есть у некоторых пользователей есть проблемы при смене пароля, пароль он меняет но в ад этот пароль не изменяется. Проверил сервера и стало ясно что есть проблемы с репликацией между dc01 и dc02. Бывший админ сказал что с первым были проблемы и его хотели вообще удалить из ад.Видимо не успели. Выключил dc01 (из АД не удалял) Поднял на виртуалке dc03. Планировал что он реплецируется с dc02 и тогда я смогу спокойно удалить dc01. Установка прошла гладко, ошибок при установке не было. Но сейчас я вижу что папка sysvol и NETLOGON не появились на dc03. 

    По ошибкам вижу следующие.

    1) nslookup преобразовывает имена в ип, на оборот не всегда и не всех

    2) На dc02 (Основной КД)есть ошибки по АД и ДНС: 

    1)Этот сервер является владельцем роли FSMO, но не считает ее допустимой. Для раздела, содержащего FSMO, сервер с момента своего перезапуска не выполнил успешную репликацию ни с одним из партнеров. Ошибки репликации мешают проверке этой роли. 

    2)На данном компьютере теперь расположен указанный экземпляр Active Directory, но веб-службам Active Directory не удалось обработать его запросы. Веб-службы Active Directory будут периодически пытаться повторить эту операцию.

    3)DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

    На DC03 (новый резервный) 

    1)DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: "" (может отсутствовать). Данные о событии содержат сведения об ошибке.

    2)Ошибка функции recv() DNS-cервера. Данные о событии содержат сведения об ошибке.

    18 апреля 2017 г. 6:54

Все ответы

  • По dcdiag ругается на 

     Запуск проверки: NetLogons
        Не удается подключиться к общему ресурсу NETLOGON. (\\DC03\netlogon)
        [DC03] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя..
        ......................... DC03 - не пройдена проверка NetLogons

    Сервер проверки: Default-First-Site-Name\DC03
       Запуск проверки: Advertising
          Внимание: DsGetDcName вернул сведения для \\DC02.mydomain.ru при попытке получения доступа к DC03.
          СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
          ......................... DC03 - не пройдена проверка Advertising

    Предпочитаемый днс вытавлен свой IP, альтернативным днс партнера.  Привожу пример.

    dc01                                   dc02                                dc03

    192.168.1.1                                      192.168.1.2                              192.168.1.3

    255.255.255.0                                  255.255.255.0                          255.255.255.0

    днс                                     днс                                днс

    192.168.1.1                       192.168.1.2                  192.168.1.3

    192.168.1.2                       192.168.1.1                   192.168.1.2

    18 апреля 2017 г. 7:04
  • Выполните на всех контроллерах домена:

    net share 

    Отображается ли шара SYSVOL и NETLOGON на DC01 и DC02? 

    Посмотрите эту статью:

    http://www.lin.by/2015/06/sysvol-dc.html#more

    Только не спешите вносить изменения, чтобы ничего больше не поломать. Убедитесь, что это именно ваш случай.

    18 апреля 2017 г. 7:50
  • Выполните на всех контроллерах домена:

    net share 

    Отображается ли шара SYSVOL и NETLOGON на DC01 и DC02? 

    Посмотрите эту статью:

    http://www.lin.by/2015/06/sysvol-dc.html#more

    Только не спешите вносить изменения, чтобы ничего больше не поломать. Убедитесь, что это именно ваш случай.


    Данной статьей вы сможете воспользоваться, если sysvol репликация у вас происходит через ntfrs. Но учитывая, что на контроллерах домена установлена 2012, это сильно вряд ли. Восстановление репликации dfsr осуществляется так: How to force an authoritative and non-authoritative synchronization for DFSR-replicated SYSVOL (like "D4/D2" for FRS) - но да, сначала надо убедиться, а потом влезать с исправлениями.
    Проблем с репликацией AD точно нет? Учитывая ваши ошибки следует это проверить. Посмотрите на каждом dc 'repadmin /showrepl'.

    MCSAnykey



    18 апреля 2017 г. 8:16
  • Основной DC02 

    C$           C:\                             Стандартный общий ресурс
    D$           D:\                             Стандартный общий ресурс
    IPC$                                         Удаленный IPC
    print$       C:\Windows\system32\spool\drivers
                                                 Printer Drivers
    ADMIN$       C:\Windows                      Удаленный Admin
    NETLOGON     C:\Windows\SYSVOL\sysvol\mkb.kz\SCRIPTS
                                                 Logon server share
    SYSVOL       C:\Windows\SYSVOL\sysvol        Logon server share
    Команда выполнена успешно.

    Проблемный DC01 

    Имя общего ресурса   Ресурс                        Заметки

    -------------------------------------------------------------------------------
    C$           C:\                             Default share
    IPC$                                         Remote IPC
    ADMIN$       C:\Windows                      Remote Admin
    Команда выполнена успешно.


    Новый DC03

    C:\Windows\system32>net share

    Общее имя   Ресурс                        Заметки

    -------------------------------------------------------------------------------
    C$           C:\                             Default share
    IPC$                                         Remote IPC
    ADMIN$       C:\Windows                      Remote Admin
    Команда выполнена успешно.


    C:\Windows\system32>

    18 апреля 2017 г. 8:52
  • Меня смущает работа dns. Сейчас на основном DC02 nslookup преобразовывает в имена и на оборот, на dc03 нет. Хотя еще утром имена резолвил но тоже как то через раз.
    • Изменено Sharley_ 18 апреля 2017 г. 10:07
    18 апреля 2017 г. 9:42
  • Меня смущает работа dns. Сейчас на основном DC02 nslookup преобразовывает в имена и на оборот, на dc03 нет. Хотя еще утром имена резолвил но тоже как то через раз.

    В настройках сетевого подключения на dc03 временно оставьте в качестве сервера DNS только dc02 - пока не будут реплицированы разделы с зонами DNS и DNS-сервер на dc03 не загрузит эти зоны (смотрите в консоли DNS, и с помощью repadmin /showrepl - интересуют разделы DC=ForestDNSZones,... и DC=DomainDNSZones,...). Потом, когда зоны появятся в консоли, добавите dc03 (лучше - как 127.0.0.1).

    Слава России!


    • Изменено M.V.V. _ 18 апреля 2017 г. 12:04
    18 апреля 2017 г. 12:02
  • DC=mydomain,DC=ru

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:56:23 успешна.

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:56:34 успешна.

     

    CN=Configuration,DC=mydomain,DC=ru

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:55:01 успешна.

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:55:01 успешна.

     

    CN=Schema,CN=Configuration,DC=mydomain,DC=ru

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:55:01 успешна.

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:55:01 успешна.

    DC=ForestDnsZones,DC=mydomain,DC=ru

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:55:01 успешна.

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:55:01 успешна.

    DC=DomainDnsZones,DC=mydomain,DC=ru

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:55:01 успешна.

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:55:01 успешна.

    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):

        Доступ к репликации отвергнут.

    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):

        Доступ к репликации отвергнут.

    Сейчас ругается только dc01. 

                                                    Та же самая команда на нем 

    DC=mydomain,DC=ru

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:54:31 успешна.

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 10:06:51 успешна.

     

    CN=Configuration,DC=mydomain,DC=ru

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:53:31 успешна.

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:53:31 успешна.

     

    CN=Schema,CN=Configuration,DC=mydomain,DC=ru

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:53:31 успешна.

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:53:31 успешна.

    DC=DomainDnsZones,DC=mydomain,DC=ru

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:53:31 успешна.

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:53:31 успешна.

    DC=ForestDnsZones,DC=mydomain,DC=ru

        Default-First-Site-Name\DC02 через  RPC

            DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

            Последняя попытка @ 2017-04-19 09:53:31 успешна.

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:53:31 успешна.

    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):

        Доступ к репликации отвергнут.

    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):

        Доступ к репликации отвергнут.

    Теперь на ведущем DC02

    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом

    Default-First-Site-Name\DC02

    Параметры DSA: IS_GC

    Параметры сайта: (none)

    DSA - GUID объекта: 6a742d20-3b2e-4c26-9b0b-80df20ad639d

    DSA - код вызова: 1d3ad842-a856-4052-bae3-a949f0a442be

     

    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================

    DC=mydomain,DC=ru

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:54:34 успешна.

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 10:09:16 успешна.

     

    CN=Configuration,DC=mydomain,DC=ru

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:50:13 успешна.

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:50:13 успешна.

     

    CN=Schema,CN=Configuration,DC=mydomain,DC=ru

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:50:13 успешна.

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:50:13 успешна.

    DC=DomainDnsZones,DC=mydomain,DC=ru

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:50:13 успешна.

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:50:13 успешна.

    DC=ForestDnsZones,DC=mydomain,DC=ru

        Default-First-Site-Name\DC01 через  RPC

            DSA - GUID объекта: 4fad830c-b730-4eae-a400-b88440af8a0a

            Последняя попытка @ 2017-04-19 09:50:13 успешна.

        Default-First-Site-Name\DC03 через  RPC

            DSA - GUID объекта: 089a769e-2af5-491d-a444-940860cde863

            Последняя попытка @ 2017-04-19 09:50:13 успешна.

    19 апреля 2017 г. 4:16
  • Выполнил команду  w32tm /query /source.

    C:\Windows\system32>w32tm /query /source

    ntp.nic.ru,0?1

    C:\Windows\system32>w32tm /monitor

    dc01.mydomain.ru[192.168.5.50:123]:

        ICMP: 0ms задержка

        NTP: -0.0095460s смещение относительно DC02.mydomain.ru

            RefID: DC02.mydomain.ru [192.168.5.51]

            Страта: 3

    DC02.mydomain.ru *** PDC ***[[::1]:123]:

        ICMP: 0ms задержка

        NTP: +0.0000000s смещение относительно DC02.mydomain.ru

            RefID: ntp.nic.ru [80.241.0.72]

            Страта: 2

    DC03.mydomain.ru[192.168.5.52:123]:

        ICMP: 3ms задержка

        NTP: -0.0326491s смещение относительно DC02.mydomain.ru

            RefID: DC02.mydomain.ru [192.168.5.51]

            Страта: 3

    Предупреждение:

    Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено

    неверно, так как поле RefID в пакетах времени различается в

    разных реализациях NTP и может не использовать IP-адреса.

    C:\Windows\system32>

    19 апреля 2017 г. 4:31
  • >>Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.
    Эта ошибка свидетельствует о том, что командная строка запущена не от администратора. Все партиции реплицируются между всеми контроллерами домена без ошибок.
    Так же рекомендуется поменять порядок dns-серверов, первым указать соседа, вторым 127.0.0.1 (https://technet.microsoft.com/ru-ru/library/ff807362%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396).
    >>Сейчас ругается только dc01.
    Не очень понятно, что вы имели в виду?
    Сейчас у вас какой статус: какие проблемы решены, какие остались?

    MCSAnykey


    19 апреля 2017 г. 9:34
  • Папка sysvol и netlogon отсутствует на dc01 dc03.

    на dc03 через раз работает nslookup (

    DNS request timed out.
        timeout was 2 seconds.
    *** Превышено время ожидания запроса

    )

    Просто сейчас я уже запутался, не могу понять по каким причинам нет репликации. С dc02 я вижу что он опубликовал папки и ждет к себе подключений. 

    Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером dc01.mkb.kz. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена. 

    На DC03 я вижу следующие в логах

    Служба репликации DFS останавливает подключение к партнеру DC01  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение. 

    Почему к dc01 и не слова про dc02?

    На DC01 я вижу 

    Служба репликации DFS останавливает подключение к партнеру DC02  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение. 

    Может стоит снести dc01 dc03 и потом снова подключить к домену только dc03?

    Такое ощущение что dc01 когда то упал и был понижен до рядового сервера, захват ролей сделали на dc02. Потом dc01 снова подключили, может поднимали из бэкапа. Он ругается то на днс то на службу времени то на репликацию в ad

    19 апреля 2017 г. 11:21
  • А если в nslookup сделать set timeout=побольше, dc3 не начнет отдавать записи?
    Про остальное, думается мне 2 варианта:
    1. Выполнить полномочное восстановление sysvol для dc2 и неполномочное для остальных https://support.microsoft.com/en-us/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-for-dfsr-replicated-sysvol-like-d4-d2-for-frs
    2. Удалить dc1 и dc3 и поднять заново

    MCSAnykey

    21 апреля 2017 г. 11:42