none
ActiveDirectory fails adprep

    Вопрос

  • Привет всем. помогите пожалуйста со следующей проблемой с АД 2003. Хотел добавить в домен контроллер 2012 r2, но как понял из гуглинга, что сперва надо перетаскивать через добавление 2008 r2.  Причем  "adprep /forestprep" ругается на Первичном контроллере домена что:

    "Adprep has stopped on this Active Directory Domain Controller and must be run on
     the current schema operations master, which is pdc-01.negr.ntek.nnov.ru"

    Но pdc-01 это мастер схемы. Пробывал перенести роли хояина на другой сервер(второй), при переносе возникает ошибка, что второй контроллер домена пишет, что  он находится в автономном режиме. Обратно на pdc роль прекрасно передается

    Вывод Ldp:

    ld = ldap_open("negr", 389);
    Established connection to negr.
    Retrieving base DSA information...
    Getting 1 entries:
    Dn: (RootDSE)
    configurationNamingContext: CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru; 
    currentTime: 19.06.2017 12:42:36 Багдадское время; 
    defaultNamingContext: DC=negr,DC=ntek,DC=nnov,DC=ru; 
    dnsHostName: pdc-01.negr.ntek.nnov.ru.; 
    domainControllerFunctionality: 2 = ( WIN2003 ); 
    domainFunctionality: 2 = ( WIN2003 ); 
    dsServiceName: CN=NTDS Settings,CN=PDC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru; 
    forestFunctionality: 2 = ( WIN2003 ); 
    highestCommittedUSN: 44849396; 
    isGlobalCatalogReady: TRUE; 
    isSynchronized: TRUE; 
    ldapServiceName: negr.ntek.nnov.ru:pdc-01$@NEGR.NTEK.NNOV.RU; 
    namingContexts (5): DC=negr,DC=ntek,DC=nnov,DC=ru; CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru; CN=Schema,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru; DC=DomainDnsZones,DC=negr,DC=ntek,DC=nnov,DC=ru; DC=ForestDnsZones,DC=negr,DC=ntek,DC=nnov,DC=ru; 
    rootDomainNamingContext: DC=negr,DC=ntek,DC=nnov,DC=ru; 
    schemaNamingContext: CN=Schema,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru; 
    serverName: CN=PDC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru; 
    subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru; 
    supportedCapabilities (3): 1.2.840.113556.1.4.800 = ( ACTIVE_DIRECTORY ); 1.2.840.113556.1.4.1670 = ( ACTIVE_DIRECTORY_V51 ); 1.2.840.113556.1.4.1791 = ( ACTIVE_DIRECTORY_LDAP_INTEG ); 
    supportedControl (23): 1.2.840.113556.1.4.319 = ( PAGED_RESULT ); 1.2.840.113556.1.4.801 = ( SD_FLAGS ); 1.2.840.113556.1.4.473 = ( SORT ); 1.2.840.113556.1.4.528 = ( NOTIFICATION ); 1.2.840.113556.1.4.417 = ( SHOW_DELETED ); 1.2.840.113556.1.4.619 = ( LAZY_COMMIT ); 1.2.840.113556.1.4.841 = ( DIRSYNC ); 1.2.840.113556.1.4.529 = ( EXTENDED_DN ); 1.2.840.113556.1.4.805 = ( TREE_DELETE ); 1.2.840.113556.1.4.521 = ( CROSSDOM_MOVE_TARGET ); 1.2.840.113556.1.4.970 = ( GET_STATS ); 1.2.840.113556.1.4.1338 = ( VERIFY_NAME ); 1.2.840.113556.1.4.474 = ( RESP_SORT ); 1.2.840.113556.1.4.1339 = ( DOMAIN_SCOPE ); 1.2.840.113556.1.4.1340 = ( SEARCH_OPTIONS ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 2.16.840.1.113730.3.4.9 = ( VLVREQUEST ); 2.16.840.1.113730.3.4.10 = ( VLVRESPONSE ); 1.2.840.113556.1.4.1504 = ( ASQ ); 1.2.840.113556.1.4.1852 = ( QUOTA_CONTROL ); 1.2.840.113556.1.4.802 = ( RANGE_OPTION ); 1.2.840.113556.1.4.1907 = ( SHUTDOWN_NOTIFY ); 1.2.840.113556.1.4.1948 = ( RANGE_RETRIEVAL_NOERR ); 
    supportedLDAPPolicies (14): MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; MaxValRange; ThreadMemoryLimit; SystemMemoryLimitPercent; 
    supportedLDAPVersion (2): 3; 2; 
    supportedSASLMechanisms (4): GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5; 

    Есть небольшие странности в Dcdiag

      Testing server: Default-First-Site-Name\PDC-01
         Starting test: Connectivity
               *** Warning: could not confirm the identity of this server in
                  the directory versus the names returned by DNS servers.
                  If there are problems accessing this directory server then
                  you may need to check that this server is correctly registered
                  with DNS
            ......................... PDC-01 passed test Connectivity

    И заваленные тесты в  netdiag

    Kerberos test. . . . . . . . . . . : Failed
        [FATAL] Cannot get ticket cache from Kerberos.
        The error occurred was: (null)

    DNS test . . . . . . . . . . . . . : Failed
        [WARNING] The DNS entries for this DC are not registered correctly on DNS se
    rver '192.168.151.1'. Please wait for 30 minutes for DNS server replication.
        [WARNING] The DNS entries for this DC are not registered correctly on DNS se
    rver '192.168.151.36'. Please wait for 30 minutes for DNS server replication.
        [FATAL] No DNS servers have the DNS records for this DC registered.

    LDAP test. . . . . . . . . . . . . : Failed
        [WARNING] The default SPN registration for 'HOST/pdc-01.negr.ntek.nnov.ru.'
    is missing on DC 'pdc-01.negr.ntek.nnov.ru'.
        [WARNING] The default SPN registration for 'HOST/pdc-01.negr.ntek.nnov.ru.'
    is missing on DC 'data-srv-04.negr.ntek.nnov.ru'.
        [FATAL] The default SPNs are not properly registered on any DCs.

    Я понимаю что есть какие то проблемы в DNS, но локализовать их и исправить не получается.

    Я пробывал netdiag /fix и он говорит:

    DNS test . . . . . . . . . . . . . : Failed
        [FATAL] Failed to fix: DC DNS entry _ldap._tcp.pdc._msdcs.negr.ntek.nnov.ru.
     re-registeration on DNS server '192.168.151.1' failed.
    DNS Error code: 0x0000000E
        [FATAL] Failed to fix: DC DNS entry _ldap._tcp.gc._msdcs.negr.ntek.nnov.ru.
    re-registeration on DNS server '192.168.151.1' failed.
    DNS Error code: 0x0000000E
        [FATAL] Failed to fix: DC DNS entry _ldap._tcp.Default-First-Site-Name._site
    s.gc._msdcs.negr.ntek.nnov.ru. re-registeration on DNS server '192.168.151.1' fa
    iled.
    DNS Error code: 0x0000000E
        [FATAL] Failed to fix: DC DNS entry _gc._tcp.negr.ntek.nnov.ru. re-registera
    tion on DNS server '192.168.151.1' failed.
    DNS Error code: 0x0000000E
        [FATAL] Failed to fix: DC DNS entry _gc._tcp.Default-First-Site-Name._sites.
    negr.ntek.nnov.ru. re-registeration on DNS server '192.168.151.1' failed.
    DNS Error code: 0x0000000E
        [FATAL] Fix Failed: netdiag failed to re-register missing DNS entries for th
    is DC on DNS server '192.168.151.1'.
        [FATAL] No DNS servers have the DNS records for this DC registered.

    Причем ошибок в ДНС нету.

    Пробывал испаравлять записи вручную и просто удалять их - они сами пересоздаются( видимо службой "netlogon". Пожалуйста помогите советом, уже перепробывал все, что гуглилось по всем кодам ошибок. Имхо очень давно этот контроллер домена падал и его восстанавливали, но каким образом не знаю, и возникла какая то разсогласованность.



    • Изменено A.Romashov 19 июня 2017 г. 10:35
    19 июня 2017 г. 10:15

Ответы

  • Я у вас интересное обнаружил, чего нет в том логе добавления DC под Win2012R2 в домен под Win2K3 (нашёлся у меня такой), с которым я сравниваю ваш лог (dcpromoui.log): FQDN вашего DC, считанное из rootDSE заканчивается на точку: rootDSE.dnsHostName <- "data-srv-04.negr.ntek.nnov.ru." При обычной настройке этой точки нет.

    После добавления точки в суфикс DNS (через Свойства системы) в dcdiag воспроизводится предупреждение "**Warning: could not confirm the identity of this server in the directory versus the names returned by DNS servers." Тест dcdiag /test:DNS при этом успешно проходит, как и у вас. Короче, похоже, что это - ваш случай.

    Загляните в свойства системы на вкладку "Имя компьютера" на обоих DC м посмотрите, нет ли у вас там точки в конце поля "Полное имя". Думаю, что есть. Если есть - надо убрать (с этой вкладки: Изменить/Дополнительно/Основной DNS-суффикс). Думаю, что эта операция совершенно безопасна, поскольку она - вполне штатная а т.к. FQDN КД по факту не меняется (вообще-то точка на конце - это изначально был признак того, что имя DNS - FQDN, а не относительное имя), то править объекты FRS/DFSR для КД не потребуется. Но, тем не менее, бержёного бог бережёт: лучше менять суффикс на контроллерах домена по одному, убедившись в промежутке, что репликация между ними работоспособна. 

    А предварительно - обязательно сделать резервную копию: как минимум, состояния системы. На всякий случай: если будете делать копию- образ диска КД, то обязательно сделайте и резервную копию состояния системы, а потом накатите её после восстановления из образа до подключения контроллера домена к сети в нормальном режиме (т.е. не в режиме восстановления служб каталогов).

    PS Проверил добавление дополнительного КД в домен с единственным КД, FQDN которого заканчивается на точку - ваша ошибка полностью воспроизводится. Убирайте точку.


    Слава России!



    • Изменено M.V.V. _ 22 июня 2017 г. 0:28
    • Помечено в качестве ответа A.Romashov 22 июня 2017 г. 6:57
    21 июня 2017 г. 23:45

Все ответы

  • 1 вы на русскоязычном форуме, как правило нативные ангоязычные специалисты тут бывают нечасто

    2 я бы начал с гугления про регистрацию SPN, недавно линки находил без труда.

    Можно так же почитать логи возможно там найдете подсказки что сделать что бы стало хорошо.


    The opinion expressed by me is not an official position of Microsoft


    19 июня 2017 г. 10:23
    Модератор
  • Пробывал, и запись перевел всю. Сперва хотел на Англоязыный сервис  запостить, но потом перевел сюда.

    Про SPN гуглил и проверил все записи на месте.

    setspn -l pdc-01

    Registered ServicePrincipalNames for CN=PDC-01,OU=Domain Controllers,DC=negr,DC=
    ntek,DC=nnov,DC=ru:
        NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/pdc-01.negr.ntek.nnov.ru.
        RServer/PDC-01
        RServer/pdc-01.negr.ntek.nnov.ru
        ldap/pdc-01.negr.ntek.nnov.ru/ForestDnsZones.negr.ntek.nnov.ru
        ldap/pdc-01.negr.ntek.nnov.ru/DomainDnsZones.negr.ntek.nnov.ru
        DNS/pdc-01.negr.ntek.nnov.ru
        GC/pdc-01.negr.ntek.nnov.ru/negr.ntek.nnov.ru
        HOST/pdc-01.negr.ntek.nnov.ru/NEGR
        HOST/PDC-01
        HOST/pdc-01.negr.ntek.nnov.ru
        HOST/pdc-01.negr.ntek.nnov.ru/negr.ntek.nnov.ru
        E3514235-4B06-11D1-AB04-00C04FC2DCD2/5f8fc7f7-31de-422d-8aa5-7d34a3146d5e/negr.ntek.nnov.ru
        ldap/5f8fc7f7-31de-422d-8aa5-7d34a3146d5e._msdcs.negr.ntek.nnov.ru
        ldap/pdc-01.negr.ntek.nnov.ru/NEGR
        ldap/PDC-01
        ldap/pdc-01.negr.ntek.nnov.ru
        ldap/pdc-01.negr.ntek.nnov.ru/negr.ntek.nnov.ru

    В логах тоже ничего. Нормальные репликации и работы. В логе адпрепа только то что написал выше.
    • Изменено A.Romashov 19 июня 2017 г. 11:10
    19 июня 2017 г. 10:39
  • в багдаде все спокойно?

    какие днс на pdc-01 указаны? (ну или айпиконфиг /алл приведите)

    какие винды на контроллерах?

    19 июня 2017 г. 10:57
  • Ну, во-первых, лучше не гуглить, а документацию производителя читать: в ней как раз написано, что контроллер домена Win2012 R2 вполне можно добавлять в домен (и лес), контроллеры которого работают под Win2K3. Так что можете не мучаться, а сразу ставить на сервер Win2012 R2. Он, кстати, при повышении умеет adprep выполнять прямо из мастера конфигурирования AD, без лишних телодвижений с командной строкой. Единчтвенное требование - функциональный уровень домена и леса должен быть Win2K3 Native (для Win2K8 подходил ещё и Win2K Native). У вас с этим нормально.

    Далее, подозрителен мне адрес DNS 192.168.151.1. Это - контроллер домена? Если нет - то что он у вас в настройках серверов DNS делает: он имена из домена AD разрешать умеет? И вообще, покажите сетевые настройки контроллеров домена (ipconfig /all): даже если там всё правильно, то знать их отвечающим полезно.

    Третье. Если у вас два контроллера домена, и если между ними репликация не работает, то добавить Win2012 R2 вы не сможете: обновление схемы не пройдёт, т.к. Schema Master и другие владельцы ролей ролей FSMO не приступают после перезагрузки к выполнению своих обязанностей, пока не произведут синхронизацию с другим контроллером домена (это мера безопасности, включенная по умолчанию). Так что придётся вам с другим контроллером разбираться. Для начала надо посмотреть, что с ним там делается командой dcdiag . Кстати, на PDC-01 предупреждение в тесте Connectivity - это единственное предупреждение/ошибка (ну, кроме теста SysLog - ошибок из журнала событий Система, не имеющих отношения к AD)? Если нет - покажите, пожалуйста, выдачу dcdiag с него тоже (можно - с ключом /skip:SysLog, если в журнале событий Система много не имеющих отношения к делу ошибок).


    Слава России!

    19 июня 2017 г. 11:12
  • первый сервер

    D:\en-adprep\en-adprep>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : pdc-01
       Основной DNS-суффикс  . . . . . . : negr.ntek.nnov.ru.
       Тип узла. . . . . . . . . . . . . : гибридный
       IP-маршрутизация включена . . . . : нет
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : negr.ntek.nnov.ru
                                           ntek.nnov.ru

    Подключение по локальной сети - Ethernet адаптер:

       DNS-суффикс этого подключения . . : negr.ntek.nnov.ru.
       Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 XF серверный адаптер
       Физический адрес. . . . . . . . . : 00-02-B3-B9-43-F9
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.151.1
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.151.13
       DNS-серверы . . . . . . . . . . . : 192.168.151.1
                                           192.168.151.36
       Основной WINS-сервер  . . . . . . : 192.168.151.1
       Дополнительный WINS-сервер. . . . : 192.168.151.36

    второй сервер

    C:\Documents and Settings\administrator>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : data-srv-04
       Основной DNS-суффикс  . . . . . . : negr.ntek.nnov.ru.
       Тип узла. . . . . . . . . . . . . : гибридный
       IP-маршрутизация включена . . . . : нет
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : negr.ntek.nnov.ru
                                           ntek.nnov.ru

    Подключение по локальной сети - Ethernet адаптер:

       DNS-суффикс этого подключения . . : negr.ntek.nnov.ru.
       Описание  . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Физический адрес. . . . . . . . . : B8-AC-6F-98-11-90
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.151.36
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.151.13
                                           192.168.151.250
       DNS-серверы . . . . . . . . . . . : 127.0.0.1
                                           192.168.151.36
       Основной WINS-сервер  . . . . . . : 192.168.151.1
       Дополнительный WINS-сервер. . . . : 192.168.151.36

    на обоих серверах подняты ДНС и Винс. Да умееют оба разрешать. 

    про сервер 2012 - я пробывал добавить но он начал ругаться на доступность АД на сервере и на то, что включена старые простоколы шифрования. протоколы установил принудительнов в NTLM v2 но не помогло. Кстати, а USN у сереров  в сайте должен быть одинаковый или нет? 44770065 и 44758060 соответственно.

    Уровень домена и леса 2003 - так в ldp написано.

    Вот вывод Dcdiag

    D:\en-adprep\en-adprep>dcdiag /skip:syslog

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\PDC-01
          Starting test: Connectivity
                *** Warning: could not confirm the identity of this server in
                   the directory versus the names returned by DNS servers.
                   If there are problems accessing this directory server then
                   you may need to check that this server is correctly registered
                   with DNS
             ......................... PDC-01 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\PDC-01
          Starting test: Replications
             ......................... PDC-01 passed test Replications
          Starting test: NCSecDesc
             ......................... PDC-01 passed test NCSecDesc
          Starting test: NetLogons
             ......................... PDC-01 passed test NetLogons
          Starting test: Advertising
             ......................... PDC-01 passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... PDC-01 passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... PDC-01 passed test RidManager
          Starting test: MachineAccount
             ......................... PDC-01 passed test MachineAccount
          Starting test: Services
             ......................... PDC-01 passed test Services
          Starting test: ObjectsReplicated
             ......................... PDC-01 passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... PDC-01 passed test frssysvol
          Starting test: frsevent
             ......................... PDC-01 passed test frsevent
          Starting test: kccevent
             ......................... PDC-01 passed test kccevent
          Starting test: systemlog
             ......................... PDC-01 passed test systemlog
          Starting test: VerifyReferences
             ......................... PDC-01 passed test VerifyReferences

       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom

       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom

       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom

       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom

       Running partition tests on : negr
          Starting test: CrossRefValidation
             ......................... negr passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... negr passed test CheckSDRefDom

       Running enterprise tests on : negr.ntek.nnov.ru
          Starting test: Intersite
             ......................... negr.ntek.nnov.ru passed test Intersite
          Starting test: FsmoCheck
             ......................... negr.ntek.nnov.ru passed test FsmoCheck


    • Изменено A.Romashov 19 июня 2017 г. 12:14
    19 июня 2017 г. 11:22
  • на втором КД у вас почему то 2 шлюза, что как бы не але + в ДНС нет первого КД (2 раза указан второй КД)

    The opinion expressed by me is not an official position of Microsoft

    19 июня 2017 г. 11:34
    Модератор
  • Днс поправил, но это уже следствие, тогда переписывал настройки и видимо ошибся. да и плюс в пределах одной сети шлюз не влияет. Но на всякий случай убрал пока. И да, оба сервера 32 разрядные.

    • Изменено A.Romashov 19 июня 2017 г. 11:44
    19 июня 2017 г. 11:43
  • Днс поправил, но это уже следствие, тогда переписывал настройки и видимо ошибся. да и плюс в пределах одной сети шлюз не влияет. Но на всякий случай убрал пока.
    Согласен полностью, но в глаза кинулось. Вам выше M.V.V. писал, ответьте на его вопросы

    The opinion expressed by me is not an official position of Microsoft

    19 июня 2017 г. 11:46
    Модератор
  • да. я выше ответил - щас выделил там жирным.

    по поводу репликаций 

    PDC

    repadmin /showrepl

    repadmin running command /showrepl against server localhost

    Default-First-Site-Name\PDC-01
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: 5f8fc7f7-31de-422d-8aa5-7d34a3146d5e
    DC invocationID: 5f8fc7f7-31de-422d-8aa5-7d34a3146d5e

    ==== INBOUND NEIGHBORS ======================================

    DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\DATA-SRV-04 via RPC
            DC object GUID: 8c69bd8e-e8d0-42fd-b42d-fd9fc938b9d7
            Last attempt @ 2017-06-19 15:16:15 was successful.

    CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\DATA-SRV-04 via RPC
            DC object GUID: 8c69bd8e-e8d0-42fd-b42d-fd9fc938b9d7
            Last attempt @ 2017-06-19 15:07:17 was successful.

    CN=Schema,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\DATA-SRV-04 via RPC
            DC object GUID: 8c69bd8e-e8d0-42fd-b42d-fd9fc938b9d7
            Last attempt @ 2017-06-19 15:07:17 was successful.

    DC=DomainDnsZones,DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\DATA-SRV-04 via RPC
            DC object GUID: 8c69bd8e-e8d0-42fd-b42d-fd9fc938b9d7
            Last attempt @ 2017-06-19 15:11:31 was successful.

    DC=ForestDnsZones,DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\DATA-SRV-04 via RPC
            DC object GUID: 8c69bd8e-e8d0-42fd-b42d-fd9fc938b9d7
            Last attempt @ 2017-06-19 15:07:17 was successful.

    ВТОРОЙ СЕРВЕР

    C:\Documents and Settings\administrator>repadmin /showrepl

    repadmin running command /showrepl against server localhost

    Default-First-Site-Name\DATA-SRV-04
    DC Options: IS_GC
    Site Options: (none)
    DC object GUID: 8c69bd8e-e8d0-42fd-b42d-fd9fc938b9d7
    DC invocationID: 791eee2d-7aa5-4b48-aa39-b4e0e31c4b3c

    ==== INBOUND NEIGHBORS ======================================

    DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\PDC-01 via RPC
            DC object GUID: 5f8fc7f7-31de-422d-8aa5-7d34a3146d5e
            Last attempt @ 2017-06-19 15:16:39 was successful.

    CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\PDC-01 via RPC
            DC object GUID: 5f8fc7f7-31de-422d-8aa5-7d34a3146d5e
            Last attempt @ 2017-06-19 15:09:13 was successful.

    CN=Schema,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\PDC-01 via RPC
            DC object GUID: 5f8fc7f7-31de-422d-8aa5-7d34a3146d5e
            Last attempt @ 2017-06-19 15:09:13 was successful.

    DC=DomainDnsZones,DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\PDC-01 via RPC
            DC object GUID: 5f8fc7f7-31de-422d-8aa5-7d34a3146d5e
            Last attempt @ 2017-06-19 15:11:46 was successful.

    DC=ForestDnsZones,DC=negr,DC=ntek,DC=nnov,DC=ru
        Default-First-Site-Name\PDC-01 via RPC
            DC object GUID: 5f8fc7f7-31de-422d-8aa5-7d34a3146d5e
            Last attempt @ 2017-06-19 15:09:13 was successful.

    • Изменено A.Romashov 19 июня 2017 г. 12:22
    19 июня 2017 г. 12:15
  • да. я выше ответил - щас выделил там жирным.

    посмотрите так же dcdiag на втором КД

    The opinion expressed by me is not an official position of Microsoft

    19 июня 2017 г. 12:20
    Модератор
  • Смотрел - абсолютно аналогичен.

    C:\Documents and Settings\administrator>dcdiag

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DATA-SRV-04
          Starting test: Connectivity
                *** Warning: could not confirm the identity of this server in
                   the directory versus the names returned by DNS servers.
                   If there are problems accessing this directory server then
                   you may need to check that this server is correctly registered
                   with DNS
             ......................... DATA-SRV-04 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DATA-SRV-04
          Starting test: Replications
             ......................... DATA-SRV-04 passed test Replications
          Starting test: NCSecDesc
             ......................... DATA-SRV-04 passed test NCSecDesc
          Starting test: NetLogons
             ......................... DATA-SRV-04 passed test NetLogons
          Starting test: Advertising
             ......................... DATA-SRV-04 passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... DATA-SRV-04 passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... DATA-SRV-04 passed test RidManager
          Starting test: MachineAccount
             ......................... DATA-SRV-04 passed test MachineAccount
          Starting test: Services
             ......................... DATA-SRV-04 passed test Services
          Starting test: ObjectsReplicated
             ......................... DATA-SRV-04 passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... DATA-SRV-04 passed test frssysvol
          Starting test: frsevent
             ......................... DATA-SRV-04 passed test frsevent
          Starting test: kccevent
            ......................... DATA-SRV-04 passed test kccevent

         Starting test: VerifyReferences
             ......................... DATA-SRV-04 passed test VerifyReferences

       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidatio

          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom

       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidatio

          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom

       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom

       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom

       Running partition tests on : negr
          Starting test: CrossRefValidation
             ......................... negr passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... negr passed test CheckSDRefDom

       Running enterprise tests on : negr.ntek.nnov.ru
          Starting test: Intersite
             ......................... negr.ntek.nnov.ru passed test Intersite
          Starting test: FsmoCheck
             ......................... negr.ntek.nnov.ru passed test FsmoCheck

    Причем ругается что не может идентифицировать и все-таки соединяется. Может быть какая либо несогласованность в ДНС и АД?
    • Изменено A.Romashov 19 июня 2017 г. 12:28
    19 июня 2017 г. 12:26
  • По поводу прямого вгона 2012r2, сейчас попробывал снова вот ошибки:

    1)На контроллерах домена под управлением Windows Server 2012 R2 по умолчанию применяется параметр безопасности "Разрешать алгоритмы шифрования, совместимые с Windows NT 4.0", который не позволяет использовать менее надежные алгоритмы шифрования при установке соединений по защищенным каналам.

    Дополнительные сведения об этом параметре см. в статье 942564 базы знаний (http://go.microsoft.com/fwlink/?LinkId=104751).

    2)Сбой проверки предварительных требований для повышения уровня контроллера домена. При указании исходного контроллера домена необходимо использовать его полное DNS-имя узла.

    3)Сбой проверки исходящей репликации. Ошибка при чтении параметров NTDS на контроллере домена pdc-01.negr.ntek.nnov.ru. источника репликации. Данные контроллера домена не найдены для указанного контроллера домена Active Directory.

    4)Не выполнено одно или несколько предварительных требований. Исправьте ошибки и щелкните "Повторить проверку предварительных требований"

    Вот сценарий:

    Import-Module ADDSDeployment
    Install-ADDSDomainController `
    -NoGlobalCatalog:$false `
    -CreateDnsDelegation:$true `
    -CriticalReplicationOnly:$false `
    -DatabasePath "C:\Windows\NTDS" `
    -DomainName "negr.ntek.nnov.ru" `
    -InstallDns:$true `
    -LogPath "C:\Windows\NTDS" `
    -NoRebootOnCompletion:$false `
    -ReplicationSourceDC "pdc-01.negr.ntek.nnov.ru" `
    -SiteName "Default-First-Site-Name" `
    -SysvolPath "C:\Windows\SYSVOL" `
    -Force:$true

    • Изменено A.Romashov 19 июня 2017 г. 13:15
    19 июня 2017 г. 13:11
  • Ога, там таймзоны кривые, но это точно не влияет.

    IPconfig ниже привел.

    Винды Server 2003 sp2

    • Предложено в качестве ответа Svolotch 19 июня 2017 г. 13:30
    • Отменено предложение в качестве ответа Svolotch 19 июня 2017 г. 13:30
    19 июня 2017 г. 13:14
  • Ога, там таймзоны кривые, но это точно не влияет.

    IPconfig ниже привел.

    Винды Server 2003 sp2

    >>Винды Server 2003 sp2
    Это вы про контроллеры домена?

    >>Пробывал перенести роли хояина на

    кстати вы именно переносили мастера или перехватывали?


    • Изменено Svolotch 19 июня 2017 г. 13:36
    19 июня 2017 г. 13:31
  • Именно. 32 разрядные. на обоих.

    Да, переносил нежно мастерами из оснасток. Но при переносе ролей на второй сервер первый видел что хозяин второй,а второй выдавал ошибку и то что он работает в автономном режиме.

    • Изменено A.Romashov 19 июня 2017 г. 13:52
    19 июня 2017 г. 13:35
  • Что-то нехорошее, похоже, с DNS.

    Интересно было бы поглядеть выдачу dcdiag /test:DNS /v с обоих контроллеров домена.


    Слава России!

    19 июня 2017 г. 22:01
  • Первый сервер

    D:\en-adprep\en-adprep>dcdiag /test:DNS /v

    Domain Controller Diagnosis

    Performing initial setup:
       * Verifying that the local machine pdc-01, is a DC.
       * Connecting to directory service on server pdc-01.
       * Collecting site info.
       * Identifying all servers.
       * Identifying all NC cross-refs.
       * Found 2 DC(s). Testing 1 of them.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\PDC-01
          Starting test: Connectivity
             * Active Directory LDAP Services Check
                *** Warning: could not confirm the identity of this server in
                   the directory versus the names returned by DNS servers.
                   If there are problems accessing this directory server then
                   you may need to check that this server is correctly registered
                   with DNS
             * Active Directory RPC Services Check
             ......................... PDC-01 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\PDC-01
          Test omitted by user request: Replications
          Test omitted by user request: Topology
          Test omitted by user request: CutoffServers
          Test omitted by user request: NCSecDesc
          Test omitted by user request: NetLogons
          Test omitted by user request: Advertising
          Test omitted by user request: KnowsOfRoleHolders
          Test omitted by user request: RidManager
          Test omitted by user request: MachineAccount
          Test omitted by user request: Services
          Test omitted by user request: OutboundSecureChannels
          Test omitted by user request: ObjectsReplicated
          Test omitted by user request: frssysvol
          Test omitted by user request: frsevent
          Test omitted by user request: kccevent
          Test omitted by user request: systemlog
          Test omitted by user request: VerifyReplicas
          Test omitted by user request: VerifyReferences
          Test omitted by user request: VerifyEnterpriseReferences
          Test omitted by user request: CheckSecurityError

    DNS Tests are running and not hung. Please wait a few minutes...

       Running partition tests on : ForestDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : DomainDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : Schema
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : Configuration
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : negr
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running enterprise tests on : negr.ntek.nnov.ru
          Test omitted by user request: Intersite
          Test omitted by user request: FsmoCheck
          Starting test: DNS
             Test results for domain controllers:

                DC: pdc-01.negr.ntek.nnov.ru
                Domain: negr.ntek.nnov.ru


                   TEST: Authentication (Auth)
                      Authentication test: Successfully completed

                   TEST: Basic (Basc)
                       Microsoft(R) Windows(R) Server 2003, Standard Edition (Servic
    e Pack level: 2.0) is supported
                      NETLOGON service is running
                      kdc service is running
                      DNSCACHE service is running
                      DNS service is running
                      DC is a DNS server
                      Network adapters information:
                      Adapter [00000001] Intel(R) PRO/1000 XF серверный адаптер:
                         MAC address is 00:02:B3:B9:43:F9
                         IP address is static
                         IP address: 192.168.151.1
                         DNS servers:
                            192.168.151.1 (pdc-01.negr.ntek.nnov.ru.) [Valid]
                            192.168.151.36 (data-srv-04.negr.ntek.nnov.ru.) [Valid]
                      The A record for this DC was found
                      The SOA record for the Active Directory zone was found
                      The Active Directory zone on this DC/DNS server was found (pri
    mary)
                      Root zone on this DC/DNS server was not found

                   TEST: Forwarders/Root hints (Forw)
                      Recursion is enabled
                      Forwarders Information:
                         10.4.152.21 (<name unavailable>) [Valid]
                         10.4.152.22 (<name unavailable>) [Valid]
                         91.144.184.1 (<name unavailable>) [Valid]
                         91.144.186.1 (<name unavailable>) [Valid]

                   TEST: Delegations (Del)
                      Delegation information for the zone: negr.ntek.nnov.ru.
                         Delegated domain name: _msdcs.negr.ntek.nnov.ru.
                            DNS server: data-srv-04.negr.ntek.nnov.ru. IP:192.168.15
    1.36 [Valid]
                            DNS server: pdc-01.negr.ntek.nnov.ru. IP:192.168.151.1 [
    Valid]

                   TEST: Dynamic update (Dyn)
                      Warning: Dynamic update is enabled on the zone but not secure
    negr.ntek.nnov.ru.
                      Test record _dcdiag_test_record added successfully in zone neg
    r.ntek.nnov.ru.
                      Test record _dcdiag_test_record deleted successfully in zone n
    egr.ntek.nnov.ru.

                   TEST: Records registration (RReg)
                      Network Adapter [00000001] Intel(R) PRO/1000 XF серверный адап
    тер:
                         Matching A record found at DNS server 192.168.151.1:
                         pdc-01.negr.ntek.nnov.ru

                         Matching CNAME record found at DNS server 192.168.151.1:
                         5f8fc7f7-31de-422d-8aa5-7d34a3146d5e._msdcs.negr.ntek.nnov.
    ru

                         Matching DC SRV record found at DNS server 192.168.151.1:
                         _ldap._tcp.dc._msdcs.negr.ntek.nnov.ru

                         Matching GC SRV record found at DNS server 192.168.151.1:
                         _ldap._tcp.gc._msdcs.negr.ntek.nnov.ru

                         Matching PDC SRV record found at DNS server 192.168.151.1:
                         _ldap._tcp.pdc._msdcs.negr.ntek.nnov.ru

                         Matching A record found at DNS server 192.168.151.36:
                         pdc-01.negr.ntek.nnov.ru

                         Matching CNAME record found at DNS server 192.168.151.36:
                         5f8fc7f7-31de-422d-8aa5-7d34a3146d5e._msdcs.negr.ntek.nnov.
    ru

                         Matching DC SRV record found at DNS server 192.168.151.36:
                         _ldap._tcp.dc._msdcs.negr.ntek.nnov.ru

                         Matching GC SRV record found at DNS server 192.168.151.36:
                         _ldap._tcp.gc._msdcs.negr.ntek.nnov.ru

                         Matching PDC SRV record found at DNS server 192.168.151.36:

                         _ldap._tcp.pdc._msdcs.negr.ntek.nnov.ru


             Summary of test results for DNS servers used by the above domain contro
    llers:

                DNS server: 10.4.152.21 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server

                DNS server: 10.4.152.22 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server

                DNS server: 192.168.151.1 (pdc-01.negr.ntek.nnov.ru.)
                   All tests passed on this DNS server
                   This is a valid DNS server
                   Name resolution is funtional. _ldap._tcp SRV record for the fores
    t root domain is registered
                   Delegation to the domain _msdcs.negr.ntek.nnov.ru. is operational


                DNS server: 192.168.151.36 (data-srv-04.negr.ntek.nnov.ru.)
                   All tests passed on this DNS server
                   This is a valid DNS server
                   Name resolution is funtional. _ldap._tcp SRV record for the fores
    t root domain is registered
                   Delegation to the domain _msdcs.negr.ntek.nnov.ru. is operational


                DNS server: 91.144.184.1 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server

                DNS server: 91.144.186.1 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server

             Summary of DNS test results:

                                                Auth Basc Forw Del  Dyn  RReg Ext
                   ________________________________________________________________
                Domain: negr.ntek.nnov.ru
                   pdc-01                       PASS PASS PASS PASS WARN PASS n/a

             ......................... negr.ntek.nnov.ru passed test DNS

    Второй сервер

    C:\Documents and Settings\administrator>dcdiag /test:dns /v

    Domain Controller Diagnosis

    Performing initial setup:
       * Verifying that the local machine data-srv-04, is a DC.
       * Connecting to directory service on server data-srv-04.
       * Collecting site info.
       * Identifying all servers.
       * Identifying all NC cross-refs.
       * Found 2 DC(s). Testing 1 of them.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DATA-SRV-04
          Starting test: Connectivity
             * Active Directory LDAP Services Check
                *** Warning: could not confirm the identity of this server in
                   the directory versus the names returned by DNS servers.
                   If there are problems accessing this directory server then
                   you may need to check that this server is correctly registered
                   with DNS
             * Active Directory RPC Services Check
             ......................... DATA-SRV-04 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DATA-SRV-04
          Test omitted by user request: Replications
          Test omitted by user request: Topology
          Test omitted by user request: CutoffServers
          Test omitted by user request: NCSecDesc
          Test omitted by user request: NetLogons
          Test omitted by user request: Advertising
          Test omitted by user request: KnowsOfRoleHolders
          Test omitted by user request: RidManager
          Test omitted by user request: MachineAccount
          Test omitted by user request: Services
          Test omitted by user request: OutboundSecureChannels
          Test omitted by user request: ObjectsReplicated
          Test omitted by user request: frssysvol
          Test omitted by user request: frsevent
          Test omitted by user request: kccevent
          Test omitted by user request: systemlog
          Test omitted by user request: VerifyReplicas
          Test omitted by user request: VerifyReferences
          Test omitted by user request: VerifyEnterpriseReferences
          Test omitted by user request: CheckSecurityError

    DNS Tests are running and not hung. Please wait a few minutes...

       Running partition tests on : ForestDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : DomainDnsZones
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : Schema
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : Configuration
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running partition tests on : negr
          Test omitted by user request: CrossRefValidation
          Test omitted by user request: CheckSDRefDom

       Running enterprise tests on : negr.ntek.nnov.ru
          Test omitted by user request: Intersite
          Test omitted by user request: FsmoCheck
          Starting test: DNS
             Test results for domain controllers:

                DC: data-srv-04.negr.ntek.nnov.ru
                Domain: negr.ntek.nnov.ru


                   TEST: Authentication (Auth)
                      Authentication test: Successfully completed

                   TEST: Basic (Basc)
                       Microsoft(R) Windows(R) Server 2003, Standard Edition (Servic
    e Pack level: 2.0) is supported
                      NETLOGON service is running
                      kdc service is running
                      DNSCACHE service is running
                      DNS service is running
                      DC is a DNS server
                      Network adapters information:
                      Adapter [00000001] Broadcom NetXtreme Gigabit Ethernet:
                         MAC address is B8:AC:6F:98:11:90
                         IP address is static
                         IP address: 192.168.151.36
                         DNS servers:
                            127.0.0.1 (data-srv-04.negr.ntek.nnov.ru.) [Valid]
                            192.168.151.1 (pdc-01.negr.ntek.nnov.ru.) [Valid]
                      The A record for this DC was found
                      The SOA record for the Active Directory zone was found
                      The Active Directory zone on this DC/DNS server was found (pri
    mary)
                      Root zone on this DC/DNS server was not found

                   TEST: Forwarders/Root hints (Forw)
                      Recursion is enabled
                      Forwarders Information:
                         10.4.152.21 (<name unavailable>) [Valid]
                         10.4.152.22 (<name unavailable>) [Valid]
                         192.168.151.1 (pdc-01.negr.ntek.nnov.ru.) [Valid]
                         8.8.4.4 (<name unavailable>) [Valid]
                         8.8.8.8 (<name unavailable>) [Valid]

                   TEST: Delegations (Del)
                      Delegation information for the zone: negr.ntek.nnov.ru.
                         Delegated domain name: _msdcs.negr.ntek.nnov.ru.
                            DNS server: data-srv-04.negr.ntek.nnov.ru. IP:192.168.15
    1.36 [Valid]
                            DNS server: pdc-01.negr.ntek.nnov.ru. IP:192.168.151.1 [
    Valid]

                   TEST: Dynamic update (Dyn)
                      Warning: Dynamic update is enabled on the zone but not secure
    negr.ntek.nnov.ru.
                      Test record _dcdiag_test_record added successfully in zone neg
    r.ntek.nnov.ru.
                      Test record _dcdiag_test_record deleted successfully in zone n
    egr.ntek.nnov.ru.

                   TEST: Records registration (RReg)
                      Network Adapter [00000001] Broadcom NetXtreme Gigabit Ethernet
    :
                         Matching A record found at DNS server 192.168.151.36:
                         data-srv-04.negr.ntek.nnov.ru

                         Matching CNAME record found at DNS server 192.168.151.36:
                         8c69bd8e-e8d0-42fd-b42d-fd9fc938b9d7._msdcs.negr.ntek.nnov.
    ru

                         Matching DC SRV record found at DNS server 192.168.151.36:
                         _ldap._tcp.dc._msdcs.negr.ntek.nnov.ru

                         Matching GC SRV record found at DNS server 192.168.151.36:
                         _ldap._tcp.gc._msdcs.negr.ntek.nnov.ru


             Summary of test results for DNS servers used by the above domain contro
    llers:

                DNS server: 10.4.152.21 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server

                DNS server: 10.4.152.22 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server

                DNS server: 192.168.151.1 (pdc-01.negr.ntek.nnov.ru.)
                   All tests passed on this DNS server
                   This is a valid DNS server
                   Name resolution is funtional. _ldap._tcp SRV record for the fores
    t root domain is registered
                   Delegation to the domain _msdcs.negr.ntek.nnov.ru. is operational


                DNS server: 192.168.151.36 (data-srv-04.negr.ntek.nnov.ru.)
                   All tests passed on this DNS server
                   This is a valid DNS server
                   Name resolution is funtional. _ldap._tcp SRV record for the fores
    t root domain is registered
                   Delegation to the domain _msdcs.negr.ntek.nnov.ru. is operational


                DNS server: 8.8.4.4 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server

                DNS server: 8.8.8.8 (<name unavailable>)
                   All tests passed on this DNS server
                   This is a valid DNS server

             Summary of DNS test results:

                                                Auth Basc Forw Del  Dyn  RReg Ext
                   ________________________________________________________________
                Domain: negr.ntek.nnov.ru
                   data-srv-04                  PASS PASS PASS PASS WARN PASS n/a

             ......................... negr.ntek.nnov.ru passed test DNS

    Получается что ДНС работает корректно? ну кроме несекурного динамического обновления? Где покопать в АД может, на предмет кривых записей о контроллерах домена? Есть подозрение, что до меня с доменом было нехорошее. Да, зоны в АД хранятся и я  проверял Netlogon корректно регистрируется на обоих серверах.

    Напрягает вот эта штука:

                *** Warning: could not confirm the identity of this server in
                   the directory versus the names returned by DNS servers.
                   If there are problems accessing this directory server then
                   you may need to check that this server is correctly registered
                   with DNS

    Если КД нормально регистрируются в днс, то откуда может возникнуть несовпадение? Откуда dcdiag берет данные для теста?

    20 июня 2017 г. 3:55
    •    _ldap._tcp.data-srv-04.negr.ntek.nnov.ru
         ----------------------------------------
         Имя не существует.
    •    _ldap._tcp.pdc-01.negr.ntek.nnov.ru
         ----------------------------------------
         Имя не существует.
    •  _ldap._tcp.default-first-site-name._sites.pdc-01.negr.ntek.nnov.ru
       ----------------------------------------
       Имя не существует.
    •  _ldap._tcp.default-first-site-name._sites.data-srv-04.negr.ntek.nnov.ru
       ----------------------------------------
       Имя не существует.

    Вот такие записи не  находит displaydns на сервере который добавляется в АД по новой (с 2012r2) кажется почти нарыл. откуда они берутся при формировании netlogon.dns?

    21 июня 2017 г. 12:03
  • Какие серверы DNS настроены на Win2012R2, нет ли там посторонних (кроме 192.168.151.1 и 192.168.151.36)?

    Подробно сравните (в консоли DNS, например) содержимое зон _msdcs.negr.ntek.nnov.ru на обоих существующих контроллерах домена. А то по тестам создаётся впечатление, что оно - разное.

    И, кстати, как у вас настроено место хранения зон negr.ntek.nnov.ru и _msdcs.negr.ntek.nnov.ru: в AD или в файлах? Если в AD - включите как-нибудь при случае безопасное динамическое обновление. А вот если в файлах... Тут даже думать страшно, нужна подробная информация - где у вас первичные и где вторичные зоны. И собака зарыта тогда где-то там.


    Слава России!


    • Изменено M.V.V. _ 21 июня 2017 г. 14:21
    21 июня 2017 г. 14:19
  • Про контроллер на 2012

    Настройка протокола IP для Windows
       Имя компьютера  . . . . . . . . . : dc01
       Основной DNS-суффикс  . . . . . . : negr.ntek.nnov.ru.
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : negr.ntek.nnov.ru
                                           ntek.nnov.ru
    Ethernet adapter vEthernet (Intel(R) I350 Gigabit Network Connection #2 - Virtua
    l Switch):
       DNS-суффикс подключения . . . . . : negr.ntek.nnov.ru
       Описание. . . . . . . . . . . . . : Адаптер Ethernet для виртуальной сети Hyp
    er-V #2
       Физический адрес. . . . . . . . . : AC-1F-6B-00-68-64
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.151.6(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.151.13
       DNS-серверы. . . . . . . . . . . : 192.168.151.36
                                           192.168.151.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Такое поведение присутствует и на нулевом тестовом сервере с 2003r2, тоже пробывал вогнать его как bdc. Специально для тестов выпилил все упоминания wins c dc01(2012r2). Отключил на всякий случай ipv6. никакой разницы. создал для вышеуказанных зон _ldap._tcp.default-first-site-name._sites.pdc-01.negr.ntek.nnov.ru и аналогичных домены с srv записями на ldap - ничего не меняется. в неизвестных появилось еще isatap.negr.ntek.nnov.ru и wpad. Зачем он их запрашивает при добавлении в домен не представляю

    Зоны находятся в AD, обновление динамическое и безопасное и не безопасное. Сейчас переключил все обновление в безопасное и перепроверил глазами все записи в зоне _msdcs. - они идентичны. завтра подожду обновления и перепроверю.

    Завтра попробую снять слепок трафика общения сервера с домен контроллерами и поглядеть что происходит хотя бы в днс.

    21 июня 2017 г. 17:30
  • Есть ещё такой файл C:\WINDOWS\Debug\dcpromo.log - это лог операций по вводу в домен, там может быть что-то интересное.

    И ещё. Вы там спрашивали про файл netlogon.dns: он формируется службой Netlogon ("Сетевой вход в систему"). Записи, которые там создаются, регулируются политикой Конфигурация компьютера\[Политики\]Административные шаблоны\Система\Сетевой вход в систему\DNS-записи локатора контроллера DNS. В частности, Параметр "DNS-записи контроллера домена, не регистрируемые контроллерами доменов" позволяет запретить динамическую регистрацию определённых типов записей (в редакторе политики в пояснении к параметру всё подробно расписано). Посмотрите, не применяется ли у вас эта политика. А также проверьте локальную политику на КД (она там есть, да) через gpedit.msc


    Слава России!


    • Изменено M.V.V. _ 21 июня 2017 г. 19:17
    21 июня 2017 г. 19:16
  • вот пример файла.

    https://drive.google.com/open?id=0B9MQNJW1PL8GbThlX3h4QW1IdVU

     isWin8Dc <- "no"
          Enter CLdapOperationRead::Execute
    ldap_search("CN=Partitions,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru", 1, "(ncName=DC=negr,DC=ntek,DC=nnov,DC=ru)", "dnsRoot;netbiosName")
    _lastLdapError_ <- "0"
    domainCR[1].guid <- "D0845CE8-922F-4AFD-AA54-62B68BB2DD2E"
    domainCR[1] <- "CN=NEGR,CN=Partitions,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru"
    domainCR[1].parentDN <- "CN=Partitions,CN=Configuration,DC=negr,DC=ntek,DC=nnov,DC=ru"
    domainCR[1].dnsRoot <- "negr.ntek.nnov.ru"
    domainCR[1].netbiosName <- "NEGR"
    domainDnsName <- "negr.ntek.nnov.ru"
    Enter CLdapOperationRead::Execute
    ldap_search("<SID=0105000000000005150000002A2857DF4326C6904FEABCF13B020000>", 0, "objectClass=*", "")
    _lastLdapError_ <- "10"
    Search failed: REFERRAL, ignoring.
    Enter CLdapOperationRead::Execute
    ldap_search("<SID=0105000000000005150000002A2857DF4326C6904FEABCF13C020000>", 0, "objectClass=*", "")
    _lastLdapError_ <- "10"
    Search failed: REFERRAL, ignoring.
    Enter CLdapOperationIf::Execute
    Enter CLdapExpressionAnd::Compute
    Enter CLdapExpressionPresent::Compute pattern=allowPRPGroup
                          ==> false
    ==> false
    Condition == false
    groupsPresent <- "no"
    Enter CLdapOperationDisconnect::Execute
    the dc name is not fully qualified DNS host name
    performed state 24, next state 37
    Error: При указании исходного контроллера домена необходимо использовать его полное DNS-имя узла.
    Enter State::GetHadNonCriticalFailures
    bHadNonCriticalFailures = false

    Тут есть странные ссылки на сид которого нет в моем домене(

    SID=0105000000000005150000002A2857DF4326C6904FEABCF13C020000

    SID=0105000000000005150000002A2857DF4326C6904FEABCF13B020000

    ). Не понятно откуда он читает этот сид. Прошерстил АД на предмет такого сида в любом объекте - нету. Судя по предыдущим чтениям он читает что то из negr - partitions где лежат NTDS settings от репликации?

    В политиках про "Netlogon" Все в положении не задано и никаких игноров не настроено.



    • Изменено A.Romashov 21 июня 2017 г. 21:36
    21 июня 2017 г. 21:11
  • SID эти не при чём - это SID групп репликации паролей для RODC. И проверку их программа повышения закончила. Сбой произошёл на следующей проверке. Пытаюсь понять, на какой именно.

    А пока суд да дело - проверьте по поводу кода ошибки 68 (это LDAP_ALREADY_EXISTS), с которым произошёл возврат из программы: нет ли у вас в OU Domain Controllers, случаем, другого объекта с именем DC01?


    Слава России!



    • Изменено M.V.V. _ 21 июня 2017 г. 22:26
    21 июня 2017 г. 22:19
  • Я у вас интересное обнаружил, чего нет в том логе добавления DC под Win2012R2 в домен под Win2K3 (нашёлся у меня такой), с которым я сравниваю ваш лог (dcpromoui.log): FQDN вашего DC, считанное из rootDSE заканчивается на точку: rootDSE.dnsHostName <- "data-srv-04.negr.ntek.nnov.ru." При обычной настройке этой точки нет.

    После добавления точки в суфикс DNS (через Свойства системы) в dcdiag воспроизводится предупреждение "**Warning: could not confirm the identity of this server in the directory versus the names returned by DNS servers." Тест dcdiag /test:DNS при этом успешно проходит, как и у вас. Короче, похоже, что это - ваш случай.

    Загляните в свойства системы на вкладку "Имя компьютера" на обоих DC м посмотрите, нет ли у вас там точки в конце поля "Полное имя". Думаю, что есть. Если есть - надо убрать (с этой вкладки: Изменить/Дополнительно/Основной DNS-суффикс). Думаю, что эта операция совершенно безопасна, поскольку она - вполне штатная а т.к. FQDN КД по факту не меняется (вообще-то точка на конце - это изначально был признак того, что имя DNS - FQDN, а не относительное имя), то править объекты FRS/DFSR для КД не потребуется. Но, тем не менее, бержёного бог бережёт: лучше менять суффикс на контроллерах домена по одному, убедившись в промежутке, что репликация между ними работоспособна. 

    А предварительно - обязательно сделать резервную копию: как минимум, состояния системы. На всякий случай: если будете делать копию- образ диска КД, то обязательно сделайте и резервную копию состояния системы, а потом накатите её после восстановления из образа до подключения контроллера домена к сети в нормальном режиме (т.е. не в режиме восстановления служб каталогов).

    PS Проверил добавление дополнительного КД в домен с единственным КД, FQDN которого заканчивается на точку - ваша ошибка полностью воспроизводится. Убирайте точку.


    Слава России!



    • Изменено M.V.V. _ 22 июня 2017 г. 0:28
    • Помечено в качестве ответа A.Romashov 22 июня 2017 г. 6:57
    21 июня 2017 г. 23:45
  • В OU Domain Controllers не было других ДК. В именах домен контролерах и суффиксах тоже точек не было. Зато fqdn с точкой нашелся в свойствах DNS-клиента в DNS-суффиксе в default group policy. Спасибо огромное за помощь! Видимо когда добавляли FQDN у предыдущего админа дрогнула рука.

    Сейчас мучаю добавление доменконтроллера на 2012r2.

    22 июня 2017 г. 7:20