none
Перенос ролей на дркгой контроллер домена RRS feed

  • Вопрос

  • Доброго времени суток, неделю назад возникла необходимость перенести домен с win2008r2 на win2012r2  в связи с покупкой новой техники. История: построен домен на 2008 r2. Уровень домена 2008 r2 уровень леса 2008r2. Существуют два контроллера домена S3 и S4,  основной S3. На нем 5 ролей: хозяин инфраструктуры, хозяин именования, PDC, RID master, schema master. Глобальный каталог на двух КД. Установил третий КД с win2012r2. Ввел в домен, назначил статический IP. добавил роль AD DS, повысил уровень до контроллера домена. При помощи netdom query fsmo из командной строки посмотрел роли. все 5 у S3. С помощью NTDSUTIL подключился к новому серверу S5 и с помощью transfer  передал эти роли новому серверу, затем еще раз netdom query fsmo. Все роли передались S5. Перезагрузил все серверы и запустил dcpromo на S3 для понижения роли . Dcpromo через некоторое время отказался удалять контроллер домена S3, сославшись на отказ партнера по репликации DNS. Выключил S3 и через некоторое время домен пропал. Включил обратно, все появилось, Вернул все роли S3 и удалил контроллер S5. Все прошло нормально. DCDIAG на S3 дает прохождение всех проверок кроме FrsEvent, DCDIAG на S4 не проходит проверка Advertising: пишетЗапуск проверки: Advertising
      Внимание: DsGetDcName вернул сведения для \\S3.class.local при
    Внимание: DsGetDcName вернул сведения для \\S3.class.local при попытке получения доступа к S4
    СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
    ......................... S4 - не пройдена проверка Advertising

     Подскажите,пожалуйста,  Как это исправить?
    Много чего прочитал. Делал, но вот это остается.

    16 января 2018 г. 20:14

Ответы

  • если не используете IPv6, то отключите его чтоб не мешался.

    если используете - потрудитесь настроить DNS правильно.

    Судя по отсутсвию в выдаче dcdiag ошибок репликации AD, рахрешение имён работает приемлемо. Так что этот совет полезный, конечно, но данную проблему он вряд ли решит.

    Судя по симпотмам, у автора не реплицируется SYSVOL на S4. А судя по тому, что новый КД тоже поимел проблемы, ошибка, скорее всего, живёт на S3. Т.к. для репликации SYSVOL, судя по выдаче dcdiag, используется Служба репликации файлов (FRS), то нужно смотреть наличие ошибок в её журнале событий (в разделе журналов служб и приложений). Если там ошибок нет, то надо перезапустить эту службу и посмотреть, не появились ли они в течение 15 минут после перезапуска (некоторые ошибки фиксируются только один раз). Если ошибок всё равно нет - искать на S4 аналогичным образом.

    Наиболее частая ошибка FRS - JRNL_WRAP_ERROR, про неё лично я (не говоря уж о других) тут на форуме уже несколько раз отвечал, поэтому следует поискать ответы поиском по этому слову: там есть неочевидный момент, что предлагаемое в описании самого события решение может не сработать (в одном из случаев как раз это и было).

    Если же ошибка - какая-то другая, и требуется помощь для её устранения, то нужно выложить сюда копию события целиком (вместе с описанием и доп. данными).


    Слава России!


    • Изменено M.V.V. _ 17 января 2018 г. 11:33
    • Помечено в качестве ответа masterws 18 января 2018 г. 13:08
    17 января 2018 г. 11:32
  • Лучше, наверное, выполнить полномочное (authoritative) восстановление S3 (и, возможно - неполномочное S4, хотя он и так, судя по всему, находится в состоянии начальной синзронизации). Дело в том, что у вас нет другой годной реплики SYSVOL, с которой можно было бы синхроизироваться, что предусматривает процедура из описания события.

    PS Копировать и чистить SYSVOL, делать сопряжение root и stage для полномочного восстановления не обязательно. Достаточно остановить ntfrs, изменить BurFlags на 0xD4 и запустить ntfrs


    Слава России!

    • Помечено в качестве ответа masterws 18 января 2018 г. 13:02
    18 января 2018 г. 8:01

Все ответы

  • Скиньте вывод dcdiag /q и ipconfig /all со всех действующих КД.

    Поясните что означает "домен пропал" и почему вы решили удалить S5?

    17 января 2018 г. 7:45
  • Новый КД пишет Неопознаная сеть и Если вход с рабочей станции, то отсутствуют серверы обеспечивающие связь с доменом (ну или что то очень близкое к этому) Если войти как на локальный компьютер и ппопробовать подключиться к домену то пишет что домен CLASS не доступен. S3 хочу удалить т.к. физически устарел. Пробовал проделать тоже с S4 (перенести роли) на него. все тоже самое , что и с S5. Заметил что на S4 и S5 (Когда был) не были расшарены на них папки SYSVOL и NETLOGON. Они в доступе только на S3. DCDIAG и IPCONFIG сейчас скину
    17 января 2018 г. 9:35
  • C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... S3 - не пройдена проверка FrsEvent
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=DomainDnsZones,DC=class,DC=local
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=ForestDnsZones,DC=class,DC=local
             ......................... S3 - не пройдена проверка NCSecDesc

    C:\Windows\system32>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : s3
       Основной DNS-суффикс  . . . . . . : class.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : class.local

    Ethernet adapter Подключение по локальной сети:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8168D/8111D Fami
    ly PCI-E Gigabit Ethernet NIC (NDIS 6.20)
       Физический адрес. . . . . . . . . : 48-5B-39-B7-91-35
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::b862:5fb:ab00:d5f5%10(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.1.253(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.1.250
       IAID DHCPv6 . . . . . . . . . . . : 239622969
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-14-32-45-BA-48-5B-39-B7-91-35

       DNS-серверы. . . . . . . . . . . : ::1
                                           192.168.1.252
                                           127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен

    C:\Windows\system32>
    17 января 2018 г. 9:48
  • C:\Windows\system32>dcdiag /q
             Внимание: DsGetDcName вернул сведения для \\s3.class.local при попытке
             получения доступа к S4.
             СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
             ......................... S4 - не пройдена проверка Advertising
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=ForestDnsZones,DC=class,DC=local
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=DomainDnsZones,DC=class,DC=local
             ......................... S4 - не пройдена проверка NCSecDesc
             Не удается подключиться к общему ресурсу NETLOGON. (\\S4\netlogon)
             [S4] Сбой операции net use или LsaPolicy с ошибкой 67,
             Не найдено сетевое имя..
             ......................... S4 - не пройдена проверка NetLogons
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 01/17/2018   12:49:28
                Строка события:
                Драйвер HP LaserJet Pro MFP M225-M226 PCL 6 для принтера HP LaserJet
     Pro MFP M225-M226 PCL 6 (копия 1) не опознан. Обратитесь к сетевому администрат
    ору, чтобы он установил нужный драйвер.
             ......................... S4 - не пройдена проверка SystemLog

    C:\Windows\system32>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : s4
       Основной DNS-суффикс  . . . . . . : class.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : class.local

    Ethernet adapter Подключение по локальной сети:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8168C(P)/8111C(P
    ) Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)
       Физический адрес. . . . . . . . . : BC-5F-F4-C1-5F-54
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::d13b:2846:3daf:836c%10(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.1.252(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.1.250
       IAID DHCPv6 . . . . . . . . . . . : 247226356
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-96-52-B5-BC-5F-F4-C1-5F-54

       DNS-серверы. . . . . . . . . . . : ::1
                                           192.168.1.253
                                           127.0.0.1
       Основной WINS-сервер. . . . . . . : 192.168.1.253
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{96BF3D4D-CEFC-42AC-9FC4-1F1CBF7FD15F}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Подключение по локальной сети* 2:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    C:\Windows\system32>
    17 января 2018 г. 9:54
  • если не используете IPv6, то отключите его чтоб не мешался.

    если используете - потрудитесь настроить DNS правильно.

    17 января 2018 г. 11:18
  • если не используете IPv6, то отключите его чтоб не мешался.

    если используете - потрудитесь настроить DNS правильно.

    Судя по отсутсвию в выдаче dcdiag ошибок репликации AD, рахрешение имён работает приемлемо. Так что этот совет полезный, конечно, но данную проблему он вряд ли решит.

    Судя по симпотмам, у автора не реплицируется SYSVOL на S4. А судя по тому, что новый КД тоже поимел проблемы, ошибка, скорее всего, живёт на S3. Т.к. для репликации SYSVOL, судя по выдаче dcdiag, используется Служба репликации файлов (FRS), то нужно смотреть наличие ошибок в её журнале событий (в разделе журналов служб и приложений). Если там ошибок нет, то надо перезапустить эту службу и посмотреть, не появились ли они в течение 15 минут после перезапуска (некоторые ошибки фиксируются только один раз). Если ошибок всё равно нет - искать на S4 аналогичным образом.

    Наиболее частая ошибка FRS - JRNL_WRAP_ERROR, про неё лично я (не говоря уж о других) тут на форуме уже несколько раз отвечал, поэтому следует поискать ответы поиском по этому слову: там есть неочевидный момент, что предлагаемое в описании самого события решение может не сработать (в одном из случаев как раз это и было).

    Если же ошибка - какая-то другая, и требуется помощь для её устранения, то нужно выложить сюда копию события целиком (вместе с описанием и доп. данными).


    Слава России!


    • Изменено M.V.V. _ 17 января 2018 г. 11:33
    • Помечено в качестве ответа masterws 18 января 2018 г. 13:08
    17 января 2018 г. 11:32
  • В журнале просмотра событий службы репликации ошибка13559

      

    Служба репликации файлов обнаружила что путь к корню репликации изменен с "c:\windows\sysvol\domain" на "c:\windows\sysvol\domain". Если это сделано умышленно, то в новом корне необходимо создать файл с именем NTFRS_CMD_FILE_MOVE_ROOT. 
    Это было обнаружено для следующего набора реплик: 
        "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" 

    Изменение пути к корню реплики является двухэтапным процессом, который запускается при создании файла NTFRS_CMD_FILE_MOVE_ROOT file. 

     [1] Во время первого опроса, который происходит в течение 5 минут, этот компьютер будет удален из набора реплик. 
     [2] Во время следующего опроса, этот компьютер будет вновь добавлен  к набору реплик с новым путем к корню. Повторное добавление запустит полную синхронизацию дерева для данного набора реплик. После этой синхронизации все файлы будут находится на новом месте. Удалять те же файлы из их прежнего местоположения зависит от того, нужны они еще там или нет.

    Этого Будет достаточно для восстановления репликаций или надо копировать содержимое sysvol в другой  временный каталог, чистить sysvol а затем делать авторитетное восстановление S3 и неавторитетное S4 через параметр DWORd с именем BurFlags и выполнять сопряжение Root и stage точек?

    17 января 2018 г. 15:56
  • Лучше, наверное, выполнить полномочное (authoritative) восстановление S3 (и, возможно - неполномочное S4, хотя он и так, судя по всему, находится в состоянии начальной синзронизации). Дело в том, что у вас нет другой годной реплики SYSVOL, с которой можно было бы синхроизироваться, что предусматривает процедура из описания события.

    PS Копировать и чистить SYSVOL, делать сопряжение root и stage для полномочного восстановления не обязательно. Достаточно остановить ntfrs, изменить BurFlags на 0xD4 и запустить ntfrs


    Слава России!

    • Помечено в качестве ответа masterws 18 января 2018 г. 13:02
    18 января 2018 г. 8:01
  • Ура!! Все заработало и все расшарилось и перенеслось. Сделал сопряжение root  и stage на S3 c BurFlags D4 . теперь можно настроить Dfs  и забыть про  NtFrs, а затем уже переходить на Win 2012 R2. Всем спасибо за помощь.
    18 января 2018 г. 13:08