none
Недоступна оснастка "Домены и доверие" RRS feed

  • Вопрос

  • Добрый день.

    Недавно столкнулся со следующей проблемой - при открытии остнастки "Домены и доверие" после некоторого раздумья ОС я получаю сообщение

    "Изменить сведения о доменах и доверии не удалось, поскольку не удалось связаться с эмулятором основного контроллера домена. Проверьте, что PDC эмулятор и сеть работают нормально."

    После этого остнастка открывается, но создать траст нельзя - не активна кнопка "Создать доверие".

    Такая же картина наблюдается на всех серверах, за исключением самого ad7. Там все без проблем открывается.

    Инфраструктура состоит из одного-единственного домена, который почти год назад, правда, был переименован, 2 DC Win2003R2, один x64, GC, DNS AD int., FSMO все, кроме PDC, второй это ad7, DNS AD int., эмулятор PDC. Оба DC в одном сетевом сегменте, в одном гигабитном свиче с другими серверами.

    Результаты некоторых диагностических действий

    Z:\>dsquery server -hasfsmo pdc
    "CN=AD7,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,D
    C=ru"

    Z:\>dcdiag /fix /v

    Domain Controller Diagnosis

    Performing initial setup:
       * Verifying that the local machine ad7, is a DC.
       * Connecting to directory service on server ad7.
       * Collecting site info.
       * Identifying all servers.
       * Identifying all NC cross-refs.
       * Found 2 DC(s). Testing 1 of them.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\AD7
          Starting test: Connectivity
             * Active Directory LDAP Services Check
             * Active Directory RPC Services Check
             ......................... AD7 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\AD7
          Starting test: Replications
             * Replications Check
             * Replication Latency Check
                CN=Schema,CN=Configuration,DC=dom,DC=ru
                   Latency information for 10 entries in the vector were ignored.
                      10 were retired Invocations.  0 were either: read-only replica
    s and are not verifiably latent, or dc's no longer replicating this nc.  0 had n
    o latency information (Win2K DC).
                CN=Configuration,DC=dom,DC=ru
                   Latency information for 10 entries in the vector were ignored.
                      10 were retired Invocations.  0 were either: read-only replica
    s and are not verifiably latent, or dc's no longer replicating this nc.  0 had n
    o latency information (Win2K DC).
                DC=dom,DC=ru
                   Latency information for 10 entries in the vector were ignored.
                      10 were retired Invocations.  0 were either: read-only replica
    s and are not verifiably latent, or dc's no longer replicating this nc.  0 had n
    o latency information (Win2K DC).
             ......................... AD7 passed test Replications
          Test omitted by user request: Topology
          Test omitted by user request: CutoffServers
          Starting test: NCSecDesc
             * Security Permissions check for all NC's on DC AD7.
             * Security Permissions Check for
               DC=ForestDnsZones,DC=dom,DC=ru
                (NDNC,Version 2)
             * Security Permissions Check for
               DC=DomainDnsZones,DC=dom,DC=ru
                (NDNC,Version 2)
             * Security Permissions Check for
               CN=Schema,CN=Configuration,DC=dom,DC=ru
                (Schema,Version 2)
             * Security Permissions Check for
               CN=Configuration,DC=dom,DC=ru
                (Configuration,Version 2)
             * Security Permissions Check for
               DC=dom,DC=ru
                (Domain,Version 2)
             ......................... AD7 passed test NCSecDesc
          Starting test: NetLogons
             * Network Logons Privileges Check
             Verified share \\AD7\netlogon
             Verified share \\AD7\sysvol
             ......................... AD7 passed test NetLogons
          Starting test: Advertising
             The DC AD7 is advertising itself as a DC and having a DS.
             The DC AD7 is advertising as an LDAP server
             The DC AD7 is advertising as having a writeable directory
             The DC AD7 is advertising as a Key Distribution Center
             The DC AD7 is advertising as a time server
             ......................... AD7 passed test Advertising
          Starting test: KnowsOfRoleHolders
             Role Schema Owner = CN=NTDS Settings,CN=AD6,CN=Servers,CN=Default-First
    -Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
             Role Domain Owner = CN=NTDS Settings,CN=AD6,CN=Servers,CN=Default-First
    -Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
             Role PDC Owner = CN=NTDS Settings,CN=AD7,CN=Servers,CN=Default-First-Si
    te-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
             Role Rid Owner = CN=NTDS Settings,CN=AD6,CN=Servers,CN=Default-First-Si
    te-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=AD6,CN=Servers,C
    N=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dom,DC=ru
             ......................... AD7 passed test KnowsOfRoleHolders
          Starting test: RidManager
             * Available RID Pool for the Domain is 8935 to 1073741823
             * ad6.dom.ru is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 8435 to 8934
             * rIDPreviousAllocationPool is 8435 to 8934
             * rIDNextRID: 8439
             ......................... AD7 passed test RidManager
          Starting test: MachineAccount
             Checking machine account for DC AD7 on DC AD7.
             * SPN found :LDAP/ad7.dom.ru/dom.ru
             * SPN found :LDAP/ad7.dom.ru
             * SPN found :LDAP/AD7
             * SPN found :LDAP/ad7.dom.ru/DOM
             * SPN found :LDAP/6d9a31c1-beab-4a46-a943-2d226b6b5f61._msdcs.dom.ru
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/6d9a31c1-beab-4a46-a9
    43-2d226b6b5f61/dom.ru
             * SPN found :HOST/ad7.dom.ru/dom.ru
             * SPN found :HOST/ad7.dom.ru
             * SPN found :HOST/AD7
             * SPN found :HOST/ad7.dom.ru/DOM
             * SPN found :GC/ad7.dom.ru/dom.ru
             ......................... AD7 passed test MachineAccount
          Starting test: Services
             * Checking Service: Dnscache
             * Checking Service: NtFrs
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: RpcSs
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... AD7 passed test Services
          Test omitted by user request: OutboundSecureChannels
          Starting test: ObjectsReplicated
             AD7 is in domain DC=dom,DC=ru
             Checking for CN=AD7,OU=Domain Controllers,DC=dom,DC=ru in domain DC=dom
    ,DC=ru on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=AD7,CN=Servers,CN=Default-First-Site-N
    ame,CN=Sites,CN=Configuration,DC=dom,DC=ru in domain CN=Configuration,DC=dom,DC=
    ru on 1 servers
                Object is up-to-date on all servers.
             ......................... AD7 passed test ObjectsReplicated
          Starting test: frssysvol
             * The File Replication Service SYSVOL ready test
             File Replication Service's SYSVOL is ready
             ......................... AD7 passed test frssysvol
          Starting test: frsevent
             * The File Replication Service Event log test
             ......................... AD7 passed test frsevent
          Starting test: kccevent
             * The KCC Event log test
             Found no KCC errors in Directory Service Event log in the last 15 minut
    es.
             ......................... AD7 passed test kccevent
          Starting test: systemlog
             * The System Event log test
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/23/2012   09:09:16
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/23/2012   09:09:16
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/23/2012   09:09:17
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/23/2012   09:09:17
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0x00000457
                Time Generated: 04/23/2012   09:09:17
                (Event String could not be retrieved)
             ......................... AD7 failed test systemlog
          Test omitted by user request: VerifyReplicas
          Starting test: VerifyReferences
             The system object reference (serverReference)
             CN=AD7,OU=Domain Controllers,DC=dom,DC=ru and backlink on
             CN=AD7,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,
    DC=dom,DC=ru
             are correct.
             The system object reference (frsComputerReferenceBL)
             CN=AD7,CN=Domain System Volume (SYSVOL share),CN=File Replication Servi
    ce,CN=System,DC=dom,DC=ru
             and backlink on CN=AD7,OU=Domain Controllers,DC=dom,DC=ru are correct.
             The system object reference (serverReferenceBL)
             CN=AD7,CN=Domain System Volume (SYSVOL share),CN=File Replication Servi
    ce,CN=System,DC=dom,DC=ru
             and backlink on
             CN=NTDS Settings,CN=AD7,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
    CN=Configuration,DC=dom,DC=ru
             are correct.
             ......................... AD7 passed test VerifyReferences
          Test omitted by user request: VerifyEnterpriseReferences
          Test omitted by user request: CheckSecurityError

       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom

       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation

          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom

       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom

       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom

       Running partition tests on : dom
          Starting test: CrossRefValidation
             ......................... dom passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... dom passed test CheckSDRefDom

       Running enterprise tests on : dom.ru
          Starting test: Intersite
             Skipping site Default-First-Site-Name, this site is outside the scope
             provided by the command line arguments provided.
             ......................... dom.ru passed test Intersite
          Starting test: FsmoCheck
             GC Name: \\ad6.dom.ru
             Locator Flags: 0xe00001fc
             PDC Name: \\ad7.dom.ru
             Locator Flags: 0xe00003f9
             Time Server Name: \\ad7.dom.ru
             Locator Flags: 0xe00003f9
             Preferred Time Server Name: \\ad7.dom.ru
             Locator Flags: 0xe00003f9
             KDC Name: \\ad7.dom.ru
             Locator Flags: 0xe00003f9
             ......................... dom.ru passed test FsmoCheck
          Test omitted by user request: DNS
          Test omitted by user request: DNS

    Ошибки systemlog скорее всего, связаны с событием с кодом 1111 - не установлены драйверы принтера пользователя, устанавливающего удаленную сессию. Я сомневаюсь, что из-за этого могут быть проблемы с PDC.

    NETDIAG

    ....................................

        Computer Name: AD7
        DNS Host Name: ad7.dom.ru
        System info : Microsoft Windows Server 2003 R2 (Build 3790)
        Processor : x86 Family 15 Model 4 Stepping 10, GenuineIntel
        List of installed hotfixes :
            KB2570791
            Q147222


    Netcard queries test . . . . . . . : Passed
        GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
        [WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
        GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



    Per interface results:

        Adapter : Подключение по локальной сети

            Netcard queries test . . . : Passed

            Host Name. . . . . . . . . : ad7
            IP Address . . . . . . . . : 172.16.1.19
            Subnet Mask. . . . . . . . : 255.255.255.0
            Default Gateway. . . . . . : 172.16.1.152
            Dns Servers. . . . . . . . : 172.16.1.19
                                         172.16.1.18


            AutoConfiguration results. . . . . . : Passed

            Default gateway test . . . : Passed

            NetBT name test. . . . . . : Passed
            [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

            WINS service test. . . . . : Skipped
                There are no WINS servers configured for this interface.


    Global results:


    Domain membership test . . . . . . : Passed


    NetBT transports test. . . . . . . : Passed
        List of NetBt transports currently configured:
            NetBT_Tcpip_{D61DA5B1-73BB-4D5D-8FB8-86921676D362}
        1 NetBt transport currently configured.


    Autonet address test . . . . . . . : Passed


    IP loopback ping test. . . . . . . : Passed


    Default gateway test . . . . . . . : Passed


    NetBT name test. . . . . . . . . . : Passed
        [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


    Winsock test . . . . . . . . . . . : Passed


    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '172.16.1.19' and other DCs also have some of the names registered.


    Redir and Browser test . . . . . . : Passed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{D61DA5B1-73BB-4D5D-8FB8-86921676D362}
        The redir is bound to 1 NetBt transport.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{D61DA5B1-73BB-4D5D-8FB8-86921676D362}
        The browser is bound to 1 NetBt transport.


    DC discovery test. . . . . . . . . : Passed


    DC list test . . . . . . . . . . . : Passed


    Trust relationship test. . . . . . : Skipped


    Kerberos test. . . . . . . . . . . : Passed


    LDAP test. . . . . . . . . . . . . : Passed


    Bindings test. . . . . . . . . . . : Passed


    WAN configuration test . . . . . . : Skipped
        No active remote access connections.


    Modem diagnostics test . . . . . . : Passed

    IP Security test . . . . . . . . . : Skipped

        Note: run "netsh ipsec dynamic show /?" for more detailed information


    The command completed successfully

    Скорее всего, доменная структура предприятия никогда не будет изменена, тем не менее, хотелось бы разобраться в причинах недоступности оснастки и предотварить возможный выход из строя эмулятора PDC. Не могу сказать, работала ли остнастка вообще, последний раз ею пользовался без малого год назад, когда переименовывали домен. Если кто-то сталкивался с подобной проблемой - буду рад услышать ваше мнение. Готов предоставить дополнительную информацию.

    Спасибо.



    • Изменено Matagi 23 апреля 2012 г. 6:08
    23 апреля 2012 г. 5:53

Все ответы

  • При помощи NTDS убедитесь, что не осталось записей о старых серверах. Алгоритм тут: http://support.microsoft.com/kb/216498/ru?p=1 до, собствено, зачистки метаданных. Если старые записи найдутся (а подозреваю, что так оно и будет), удалите их и принудительно отреплицируйте оба контроллера.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    24 апреля 2012 г. 12:07
    Модератор
  • Просмотрел, записей о старых контроллерах домена нет. В процессе переименования домена 2 DC были понижены dcpromo без ошибок и демонтированы. При помощи данной статьи был удален 1 или 2 DC, которые когда то очень давно были неудачно понижены в роли, но удаление выполнялось еще до переименования.

    25 апреля 2012 г. 10:51
  • 1) проверьте файл hosts и зоны DNS на предмет посторонних записей

    2) в крайнем случае, захватите роль эмулятора PDC основным контроллером и протестируйте.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    25 апреля 2012 г. 13:50
    Модератор
  • Сделаю, но по техническим причинам чуть позже. Не закрывайте пока тему.

    26 апреля 2012 г. 4:06
  • Протестировал. Остнастка теперь доступна. Захватывал при помощи ADUC.

    Планирую перенести роль обратно, непонятно в чем причина сбоя...
    • Изменено Matagi 3 мая 2012 г. 11:19
  • Вернул обратно - снова недоступна.

    Файлы hosts лишних записей не содержат...


    • Изменено Matagi 4 мая 2012 г. 11:16
  • Установите на проблемный сервер другую сетевую карту - возможно, идет конфликт с драйверами либо управляющим ПО. Встречались подобные ситуации.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    Модератор
  • Я попробую но по техническим причинам не в ближайшее время. Сервер 2004 г. IBM 8488...