none
Проблема с работой контролеров домена RRS feed

  • Вопрос

  • Здравствуйте! помогите пожалуйста разобраться (пришел в фирму а тут что то странное творится)
    есть 2 контроллера домена днс сервер интегрирован в каждый из них на обоих днс прямая зона ххх.local основная (передача зоны отключена,запись soa на них разная), обратная точно также
    если первый контроллер домена выключен то зайти на второй невозможно пишет что домен недоступен!!!

    на первом контроллере "1" стоит (ad,dhcp,dns,exchange) постоянно вылазят ошибки:

    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/1. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
    (0xc000005e)". 

    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/127.0.0.1. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
    (0xc000005e)".

    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/1.ххх.local. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
    (0xc000005e)".

    Служба DHCP не смогла обнаружить папку для авторизации сервера.

    Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "ххх.local.". Эти записи используются другими компьютерами для поиска данного сервера как контроллера домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложения). 
    Возможные причины ошибки: 
    - В свойствах TCP/IP сетевых подключений данного компьютера содержатся неверные IP-адреса предпочитаемого и альтернативного DNS-серверов 
    - Указанные предпочтительный и альтернативный DNS-серверы не работают 
    - DNS-серверы, являющиеся основными для регистрируемых записей, не работают 
    - Предпочитаемый или альтернативный DNS-сервер настроен с использованием неверных корневых ссылок 
    - Родительская зона DNS содержит недопустимое делегирование в дочернюю зону, полномочную для записей DNS, не прошедших регистрацию 
    Действие пользователя 
    Исправьте ошибки настройки и инициируйте регистрацию или удаление записей DNS, запустив программу "nltest.exe /dsregdns" в командной строке или перезапустив службу входа в систему. Программа Nltest.exe имеется на компакт-диске "Комплект ресурсов Microsoft Windows Server".

    Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам. 

    Исходный контроллер домена: 

    Ошибочное имя узла DNS: 
    92c0555d-4091-40e9-ba46-96b10d56872b._msdcs.ххх.local 
    Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1: 
    Раздел реестра: 
    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client 
    Действие пользователя: 
    1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB. 
    2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду "net view \\<source DC name>" или "ping <source DC name>". 
    3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns 
    dcdiag /test ns 
    4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду: 
    dcdiag /test ns 
    5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449: 
    http://support.microsoft.com/?kbid=824449 
    Дополнительные данные 
    Значение ошибки: 
    11004 Запрошенное имя верно, но данные запрошенного типа не найдены. 

    В ходе проверки согласованности знаний обнаружено, что все дальнейшие попытки репликации со следующим контроллером домена завершились неудачно. 

    Служба репликации файлов обнаружила ошибку JRNL_WRAP_ERROR для набора репликации "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)". 
    Имя набора репликации: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" 
    Корневой путь репликации: "c:\windows\sysvol\domain" 
    Корневой том репликации: "\\.\C:" 
    Ошибка JRNL_WRAP_ERROR возникает, когда набор репликации не находит запись, которую пытается прочитать из журнала NTFS USN. Это может быть вызвано одной из следующих причин.
    [1] Том "\\.\C:" был отформатирован. 
    [2] Журнал NTFS USN на томе "\\.\C:" был удален. 
    [3] Журнал NTFS USN на томе "\\.\C:" был усечен. Программа Chkdsk может выполнить усечение журнала, если обнаружит в конце журнала поврежденные записи. 
    [4] Служба репликации файлов давно не запускалась на данном компьютере. 
    [5] Показатель активности дискового ввода-вывода на "\\.\C:" слишком высок для службы репликации файлов. 
    Если установить параметр реестра "Enable Journal Wrap Automatic Restore" равным 1, будет выполнена описанная ниже процедура восстановления для автоматического исправления ошибки. 
    [1] При первом опросе, который производится каждые 5 минут, данный компьютер будет удален из набора репликации. Чтобы не ждать 5 минут, можно выполнить команду "net stop ntfrs" и затем команду "net start ntfrs" для перезапуска службы репликации файлов. 
    [2] При первом опросе после удаления компьютер будет заново включен в набор репликации. Повторное включение инициирует полную синхронизацию дерева для набора репликации. 
    Предупреждение. В процессе восстановления данные дерева репликации могут стать недоступными. Необходимо установить описанный выше параметр реестра равным 0, чтобы автоматическое восстановление не привело к недоступности данных при повторении ошибки. 
    Для изменения параметра реестра запустите программу regedit. 
    Нажмите кнопку "Пуск", выберите команду "Выполнить" и введите "regedit". 
    Разверните раздел HKEY_LOCAL_MACHINE. 
    Щелкните последовательно разделы пути: 
    "System\CurrentControlSet\Services\ntFrs\Parameters" 
    Дважды щелкните параметр 
    "Enable Journal Wrap Automatic Restore" 
    и обновите его значение. 
    Если этого параметра нет в реестре, его можно добавить с помощью команды "Создать->Параметр DWORD" в меню "Правка". Введите имя параметра точно так, как написано выше.





    на втором контроллере "2" стоит (ad,dns, на нем две сетевухи он пока шлюз на керио) постоянно вылазят ошибки:
    Не удалось найти основной контроллер домена для данного домена.

    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/2. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
    (0xc000005e)".

    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/2.ххх.local. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
    (0xc000005e)".

    Имя "ххх :1d" не удалось зарегистрировать на интерфейсе с IP-адресом 192.168.0.1. Компьютер с IP-адресом 192.168.0.2 не разрешил использовать имя, запрошенное этим компьютером.

    Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам. 

    Исходный контроллер домена: 

    Ошибочное имя узла DNS: 
    67edb398-160f-4611-a0d3-a3f2554bffa5._msdcs.ххх.local 
    Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1: 
    Раздел реестра: 
    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client 
    Действие пользователя: 
    1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB. 
    2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду "net view \\<source DC name>" или "ping <source DC name>". 
    3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns 
    dcdiag /test ns 
    4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду: 
    dcdiag /test ns 
    5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449: 
    http://support.microsoft.com/?kbid=824449 
    Дополнительные данные 
    Значение ошибки: 
    11004 Запрошенное имя верно, но данные запрошенного типа не найдены. 

    В ходе проверки согласованности знаний обнаружено, что все дальнейшие попытки репликации со следующим контроллером домена завершились неудачно. 

    Служба репликации файлов столкнулась с проблемами при включении репликации с "1" на "2" для "c:\windows\sysvol\domain", использующего DNS-имя "1.ххх.local". Служба репликации файлов (FRS) продолжит повторные попытки. 
    Ниже указаны причины, по которым может выдаваться это предупреждение. 
    [1] FRS не может разрешить DNS-имя "1.ххх.local" с этого компьютера. 
    [2] FRS не запущена на "1.ххх.local". 
    [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. 
    Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.




    При этом на обоих есть сообщение
    Все проблемы, мешавшие обновлению базы данных Active Directory, были устранены. Новые попытки обновления базы данных Active Directory успешно выполняются. Служба сетевого входа в систему вновь запущена.

    При этом все изменения в актив директори вносимые на одном переносятся на другой точно также с записями днс.
    IP на контроллерах 
    на "1" 192.168.0.2 днс предпочитаемый 192.168.0.1 дополнительный 192.168.0.2
    на "2" 192.168.0.1 днс предпочитаемый 192.168.0.2 дополнительный 192.168.0.1

    Помогите пожалуйста разобраться!!! как исправить без перерывов в работе для пользователей 

    уведомление

    3 июня 2012 г. 15:25

Все ответы

  • Прежде, чем исправлять, надо провести диагностику.

    Стандартный набор команд для диагностики - dcdiag, netdiag (из Support Tools) и ipconfig /all

    Посмотрите, что они выдают на каждом из DC. Если после этого причина проблемы Вам непонятна - выкладывайте выдачу на форум.

    PS Если будете выкладывать выдачу команд - dcdiag /test:DNS тоже было бы полезно посмотреть.


    Слава России!

    3 июня 2012 г. 16:39
  • Тема переведена в разряд обсуждений по причине отсутствия активности


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    14 июня 2012 г. 6:57
    Модератор


  • контроллер 1 
    ipconfig/all
    Настройка протокола IP для Windows

    Имя компьютера . . . . . . . . . : контроллер 1
    Основной DNS-суффикс . . . . . . : xxx.local
    Тип узла. . . . . . . . . . . . . : неизвестный
    IP-маршрутизация включена . . . . : да
    WINS-прокси включен . . . . . . . : нет
    Порядок просмотра суффиксов DNS . : xxx.local

    Локальная сеть - Ethernet адаптер:

    DNS-суффикс этого подключения . . :
    Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
    Физический адрес. . . . . . . . . : 00-00-00-00-3A-66
    DHCP включен. . . . . . . . . . . : нет
    IP-адрес . . . . . . . . . . . . : 192.168.0.1
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Основной шлюз . . . . . . . . . . :
    DNS-серверы . . . . . . . . . . . : 192.168.0.2
    192.168.0.1

    Интернет ВТ - Ethernet адаптер:

    DNS-суффикс этого подключения . . :
    Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
    NIC
    Физический адрес. . . . . . . . . : 00-00-00-00-D3-7F
    DHCP включен. . . . . . . . . . . : нет
    IP-адрес . . . . . . . . . . . . : хх.ххх.хх.163
    Маска подсети . . . . . . . . . . : 255.255.255.ххх
    Основной шлюз . . . . . . . . . . : хх.ххх.хх.161
    DNS-серверы . . . . . . . . . . . : 213.177.96.1
    213.177.97.1


    dcdiag /dnsall

    Domain Controller Diagnosis

    Performing initial setup:
    Done gathering initial info.

    Doing initial required tests

    Testing server: Default-First-Site-Name\контроллер 1
    Starting test: Connectivity
    ......................... контроллер 1 passed test Connectivity

    Doing primary tests

    Testing server: Default-First-Site-Name\контроллер 1
    Starting test: Replications
    ......................... контроллер 1 passed test Replications
    Starting test: NCSecDesc
    ......................... контроллер 1 passed test NCSecDesc
    Starting test: NetLogons
    Unable to connect to the NETLOGON share! (\\контроллер 1\netlogon)
    [контроллер 1] An net use or LsaPolicy operation failed with error 1203, Ни
    одна из служб доступа к сети не смогла обработать заданный сетевой путь..
    ......................... контроллер 1 failed test NetLogons
    Starting test: Advertising
    Warning: DsGetDcName returned information for \\контроллер 2,
    when we were trying to reach контроллер 1.
    Server is not responding or is not considered suitable.
    ......................... контроллер 1 failed test Advertising
    Starting test: KnowsOfRoleHolders
    ......................... контроллер 1 passed test KnowsOfRoleHolders
    Starting test: RidManager
    ......................... контроллер 1 passed test RidManager
    Starting test: MachineAccount
    ......................... контроллер 1 passed test MachineAccount
    Starting test: Services
    ......................... контроллер 1 passed test Services
    Starting test: ObjectsReplicated
    ......................... контроллер 1 passed test ObjectsReplicated
    Starting test: frssysvol
    ......................... контроллер 1 passed test frssysvol
    Starting test: frsevent
    There are warning or error events within the last 24 hours after the
    SYSVOL has been shared. Failing SYSVOL replication problems may cause
    Group Policy problems.
    ......................... контроллер 1 failed test frsevent
    Starting test: kccevent
    ......................... контроллер 1 passed test kccevent
    Starting test: systemlog
    An Error Event occured. EventID: 0xC0002719
    Time Generated: 06/15/2012 08:17:28
    (Event String could not be retrieved)
    An Error Event occured. EventID: 0xC0002719
    Time Generated: 06/15/2012 08:18:10
    (Event String could not be retrieved)
    ......................... контроллер 1 failed test systemlog
    Starting test: VerifyReferences
    ......................... контроллер 1 passed test VerifyReferences

    Running partition tests on : ForestDnsZones
    Starting test: CrossRefValidation
    ......................... ForestDnsZones passed test CrossRefValidation

    Starting test: CheckSDRefDom
    ......................... ForestDnsZones passed test CheckSDRefDom

    Running partition tests on : DomainDnsZones
    Starting test: CrossRefValidation
    ......................... DomainDnsZones passed test CrossRefValidation

    Starting test: CheckSDRefDom
    ......................... DomainDnsZones passed test CheckSDRefDom

    Running partition tests on : Schema
    Starting test: CrossRefValidation
    ......................... Schema passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... Schema passed test CheckSDRefDom

    Running partition tests on : Configuration
    Starting test: CrossRefValidation
    ......................... Configuration passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... Configuration passed test CheckSDRefDom

    Running partition tests on : miac
    Starting test: CrossRefValidation
    ......................... ххх passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... ххх passed test CheckSDRefDom

    Running enterprise tests on : ххх.local
    Starting test: Intersite
    ......................... ххх.local passed test Intersite
    Starting test: FsmoCheck
    ......................... ххх.local passed test FsmoCheck


    контроллер 2 

    ipconfig /all

    Настройка протокола IP для Windows

    Имя компьютера . . . . . . . . . : контроллер 2
    Основной DNS-суффикс . . . . . . : xxx.local
    Тип узла. . . . . . . . . . . . . : неизвестный
    IP-маршрутизация включена . . . . : нет
    WINS-прокси включен . . . . . . . : нет
    Порядок просмотра суффиксов DNS . : xxx.local

    Подключение по локальной сети - Ethernet адаптер:

    DNS-суффикс этого подключения . . :
    Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
    ith I/O Acceleration
    Физический адрес. . . . . . . . . : 00-00-00-00-44-34
    DHCP включен. . . . . . . . . . . : нет
    IP-адрес . . . . . . . . . . . . : 192.168.0.2
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Основной шлюз . . . . . . . . . . : 192.168.0.1
    DNS-серверы . . . . . . . . . . . : 192.168.0.1
    192.168.0.2


    dcdiag /dnsall

    Domain Controller Diagnosis

    Performing initial setup:
    Done gathering initial info.

    Doing initial required tests

    Testing server: Default-First-Site-Name\контроллер 2
    Starting test: Connectivity
    ......................... контроллер 2 passed test Connectivity

    Doing primary tests

    Testing server: Default-First-Site-Name\контроллер 2
    Starting test: Replications
    ......................... контроллер 2 passed test Replications
    Starting test: NCSecDesc
    ......................... контроллер 2 passed test NCSecDesc
    Starting test: NetLogons
    ......................... контроллер 2 passed test NetLogons
    Starting test: Advertising
    ......................... контроллер 2 passed test Advertising
    Starting test: KnowsOfRoleHolders
    ......................... контроллер 2 passed test KnowsOfRoleHolders
    Starting test: RidManager
    ......................... контроллер 2 passed test RidManager
    Starting test: MachineAccount
    ......................... контроллер 2 passed test MachineAccount
    Starting test: Services
    ......................... контроллер 2 passed test Services
    Starting test: ObjectsReplicated
    ......................... контроллер 2 passed test ObjectsReplicated
    Starting test: frssysvol
    ......................... контроллер 2 passed test frssysvol
    Starting test: frsevent
    ......................... контроллер 2 passed test frsevent
    Starting test: kccevent
    ......................... контроллер 2 passed test kccevent
    Starting test: systemlog
    An Error Event occured. EventID: 0x00000457
    Time Generated: 06/15/2012 08:25:24
    (Event String could not be retrieved)
    An Error Event occured. EventID: 0x00000457
    Time Generated: 06/15/2012 08:25:24
    (Event String could not be retrieved)
    An Error Event occured. EventID: 0x00000457
    Time Generated: 06/15/2012 08:25:24
    (Event String could not be retrieved)
    An Error Event occured. EventID: 0x00000457
    Time Generated: 06/15/2012 08:25:25
    (Event String could not be retrieved)
    ......................... контроллер 2 failed test systemlog
    Starting test: VerifyReferences
    ......................... контроллер 2 passed test VerifyReferences

    Running partition tests on : ForestDnsZones
    Starting test: CrossRefValidation
    ......................... ForestDnsZones passed test CrossRefValidation

    Starting test: CheckSDRefDom
    ......................... ForestDnsZones passed test CheckSDRefDom

    Running partition tests on : DomainDnsZones
    Starting test: CrossRefValidation
    ......................... DomainDnsZones passed test CrossRefValidation

    Starting test: CheckSDRefDom
    ......................... DomainDnsZones passed test CheckSDRefDom

    Running partition tests on : Schema
    Starting test: CrossRefValidation
    ......................... Schema passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... Schema passed test CheckSDRefDom

    Running partition tests on : Configuration
    Starting test: CrossRefValidation
    ......................... Configuration passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... Configuration passed test CheckSDRefDom

    Running partition tests on : miac
    Starting test: CrossRefValidation
    ......................... xxx passed test CrossRefValidation
    Starting test: CheckSDRefDom
    ......................... xxx passed test CheckSDRefDom

    Running enterprise tests on : xxx.local
    Starting test: Intersite
    ......................... xxx.local passed test Intersite
    Starting test: FsmoCheck
    ......................... xxx.local passed test FsmoCheck


    уведомление

    15 июня 2012 г. 11:19