none
Ошибки NETLOGON и GroupPolicy RRS feed

  • Общие обсуждения

  • Добрый день, коллеги!

    Помогите, пожалуйста, побороть проблему на рабочих станциях. Ошибки наблюдаются на рабочих станциях. На серверах, которые так же входят в данный домен проблем не наблюдаю.

    В работе вроде бы всё хорошо, политики применяются, пользователи авторизуются, а в логи станций валятся вот такие ошибки:

    Ошибка 5719 NETLOGON:

    Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN.int по следующей причине:
    Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
    Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.  

    Дополнительные сведения
    Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

    Ошибка 1054 GroupPolicy

    Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.

    С клиентской станции домен резолвится, пингуется по имени, с DNS порядок. Т.е. всё хорошо. В шару КД вхожу и доступ к политикам имею с рабочих станций \\DOMAIN.int\SYSVOL\DOMAIN.int\Policies

    Настройки сетевой карты с рабочей станции:

    C:\Windows\system32>ipconfig /all

    Настройка протокола IP для Windows
       Имя компьютера  . . . . . . . . . : DO-0033
       Основной DNS-суффикс  . . . . . . : DOMAIN.int
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : DOMAIN.int
    Ethernet adapter Подключение по локальной сети:
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Atheros AR8151 PCI-E Gigabit Ethernet Con
    troller (NDIS 6.20)
       Физический адрес. . . . . . . . . : 6C-62-6D-41-73-67
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::e0f3:db33:730d:8f3%11(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.33(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.100.30
       IAID DHCPv6 . . . . . . . . . . . : 241984109
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-16-B8-2A-F6-6C-62-6D-41-73-67
       DNS-серверы. . . . . . . . . . . : 192.168.0.210
                                           192.168.100.30
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{37193D55-C02C-4634-8236-B7D026DF8008}:
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    Где 192.168.0.210 - IP домена, 192.168.100.30 - IP 2го реплицируемого домена.

    Теперь что касается самого КД. Диагностика ошибок не выдаёт:

    >dcdiag

    Диагностика сервера каталогов
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC-DO
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    Выполнение обязательных начальных проверок
       Сервер проверки: DO\DC-DO
          Запуск проверки: Connectivity
             ......................... DC-DO - пройдена проверка Connectivity
    Выполнение основных проверок
       Сервер проверки: DO\DC-DO
          Запуск проверки: Advertising
             ......................... DC-DO - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... DC-DO - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent

             ......................... DC-DO - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC-DO - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... DC-DO - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... DC-DO - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC-DO - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC-DO - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC-DO - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC-DO - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... DC-DO - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC-DO - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... DC-DO - пройдена проверка Services
          Запуск проверки: SystemLog
             ......................... DC-DO - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC-DO - пройдена проверка VerifyReferences

       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
       Выполнение проверок разделов на: DOMANI
          Запуск проверки: CheckSDRefDom
             ......................... DOMAIN - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DOMAIN - пройдена проверка
             CrossRefValidation
       Выполнение проверок предприятия на: DOMAIN.int
          Запуск проверки: LocatorCheck
             ......................... DOMAIN.int - пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... DOMAIN.int - пройдена проверка Intersite

    Тест DNS:

    >dcdiag /test:dns

    Диагностика сервера каталогов
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC-DO
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    Выполнение обязательных начальных проверок
       Сервер проверки: DO\DC-DO
          Запуск проверки: Connectivity
             ......................... DC-DO - пройдена проверка Connectivity
    Выполнение основных проверок
       Сервер проверки: DO\DC-DO
          Запуск проверки: DNS
             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... DC-DO - пройдена проверка DNS
       Выполнение проверок разделов на: ForestDnsZones
       Выполнение проверок разделов на: DomainDnsZones
       Выполнение проверок разделов на: Schema
       Выполнение проверок разделов на: Configuration
       Выполнение проверок разделов на: DOMAIN
       Выполнение проверок предприятия на: DOMAIN.int
          Запуск проверки: DNS
             ......................... DOMAIN.int - пройдена проверка DNS

    Настройка сети на КД:

    >ipconfig /all

    Настройка протокола IP для Windows
       Имя компьютера  . . . . . . . . . : DC-DO
       Основной DNS-суффикс  . . . . . . : DOMAIN.int
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : DOMAIN.int

    Ethernet adapter Подключение по локальной сети 3:
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер магистральной сети виртуальной ма
    шины (Майкрософт) #3
       Физический адрес. . . . . . . . . : 00-15-5D-64-9D-02
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.210(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.0.195
       DNS-серверы. . . . . . . . . . . : 192.168.100.30
                                           192.168.0.210
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{5970C743-2F97-4BDC-9C27-0E62D2901D01}:
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Подскажите в какую сторону дальше рыть?



    • Изменено DmitryG_ 15 сентября 2016 г. 10:18 правка
    • Изменен тип Anton Sashev Ivanov 22 сентября 2016 г. 7:13
    15 сентября 2016 г. 10:16

Все ответы

  • В приведенной диагностической информации никаких ошибок не обнаруживается.

    В каких условиях возникают ошибки от Netlogon: только при старте рабочей станции или во время её работы тоже?

    Возникают ли ошибки групповой политики при её применении при переодическом обновлении или ручно - по команде gpupdate?

    PS Второй контроллер домена вы проверили - там тоже нет ошибок?


    Слава России!

    15 сентября 2016 г. 10:50
  • Ошибка NETLOGON и GP только после перезагрузки компа.

    Процессе работы ошибок не возникает. При ручном обновлении политики в логи возвращается события об успешном выполнении (gpupdate и gpupdate /force):

    Параметры групповой политики для этого пользователя обработаны успешно. Были обнаружены и применены новые параметры из 4 объектов групповой политики.

    15 сентября 2016 г. 12:01
  • Ну, тогда надо искать причины ошибок сети при запуске. К примеру, недостаточно быстрый старт сетевой подсистемы. Или, если компьютер включен в порт управляемого коммутатора, на котором работает протокол моста (STP), это тоже может привести к задержке 50 сек. от момента старта драйвера (который переключает скорость на 1Гбит/с)  до момента начала прохождения пакетов.

    В первом случае обойти ошибки применения групповой политики можно попробовать с помощью установки политики Computer COnfiguration/Policies/Administartive Templates/System/Logon:
      Always wait for the computer startup and logon

    Во втором - следует отключить ожидание инициализации протокола моста на интерфейсе, к которому подключается компьютер (в Cisco IOS это делает команда spanning-tree portfast в режиме конфигурирования интерфейса).


    Слава России!


    • Изменено M.V.V. _ 15 сентября 2016 г. 14:19
    15 сентября 2016 г. 14:13
  • Как раз в локальной групповой политике проверочного компа выставил ожидание на вход, проблема не решилась.

    Компы подключены к 3м свитчам HP, stp включен. Попробовать выключить и посмотреть что будет?

    15 сентября 2016 г. 16:33
  • Именно.


    Слава России!

    15 сентября 2016 г. 18:49
  • Ок, сегодня попробую и отпишусь
    16 сентября 2016 г. 5:22
  • Отключил STP на свиче, в 7й порт которого приходит сеть станции, на которой ставил эксперимент.

    Порт 7 - 100FDx/MDI, ошибок на данном порту свича нет

    После отключения STP перезагрузил комп.  Прикладываю лог со свича (к слову - HP-2530-48):

    I 09/16/16 09:22:07 00057 stp: Spanning Tree Protocol disabled
    I 09/16/16 09:32:18 00077 ports: port 7 is now off-line
    I 09/16/16 09:32:21 00076 ports: port 7 is now on-line
    I 09/16/16 09:32:31 00077 ports: port 7 is now off-line
    I 09/16/16 09:32:33 00076 ports: port 7 is now on-line

    Ошибки так и остались


    Самое интересное, что заметил, так это - ошибка NETLOGON появляется при запуске системы, а не при авторизации пользователя


    • Изменено DmitryG_ 16 сентября 2016 г. 5:46
    16 сентября 2016 г. 5:41
  • На всякий случай приложу dcdiag /v с обоих доменов.

    Там будет пара ошибок: "Центр распространения ключей" - согласно документации на него предлагают забить, и 2я - "В течение предыдущего 24-часового периода некоторые клиенты пытались выполнить привязки LDAP", которая валится от QNAP NAS, я уже проверял.

    Первый КД - DC

    >dcdiag /v
    Диагностика сервера каталогов
    Выполнение начальной настройки:
    Выполняется попытка поиска основного сервера...

       * Проверка, является ли локальный компьютер DC сервером каталогов.
       Основной сервер = DC

       * Подключение к службе каталога на сервере DC.

       * Идентифицирован лес AD.
       Collecting AD specific global data
       * Сбор сведений о сайте.

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded
       Iterating through the sites
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
       Getting ISTG and options for the site
       Looking at base site object: CN=NTDS Site Settings,CN=DO,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
       Getting ISTG and options for the site
       * Выполнение идентификации всех серверов.

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers
       Getting information for the server CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=DC-DO,CN=Servers,CN=DO,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * Идентификация всех перекрестных ссылок NC.

       * Найдено 2 DC (контроллеров домена). Проверка 1 из них.

       Сбор начальных данных завершен.


    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\DC

          Запуск проверки: Connectivity

             * Active Directory LDAP Services Check
             Determining IP4 connectivity
             * Active Directory RPC Services Check
             ......................... DC - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\DC

          Запуск проверки: Advertising

             The DC DC is advertising itself as a DC and having a DS.
             The DC DC is advertising as an LDAP server
             The DC DC is advertising as having a writeable directory
             The DC DC is advertising as a Key Distribution Center
             The DC DC is advertising as a time server
             The DS DC is advertising as a GC.
             ......................... DC - пройдена проверка Advertising

          Проверка пропущена по запросу пользователя: CheckSecurityError

          Проверка пропущена по запросу пользователя: CutoffServers

          Запуск проверки: FrsEvent

             * Проверка журнала событий службы репликации файлов
             Пропустить тест, так как на сервере выполняется репликация DFSR.

             ......................... DC - пройдена проверка FrsEvent

          Запуск проверки: DFSREvent

             The DFS Replication Event Log.
             ......................... DC - пройдена проверка DFSREvent

          Запуск проверки: SysVolCheck

             * Проверка готовности SYSVOL службы репликации файлов
             SYSVOL службы репликации файлов готов
             ......................... DC - пройдена проверка SysVolCheck

          Запуск проверки: KccEvent

             * The KCC Event log test
             Возникло предупреждение. Код события (EventID): 0x80000B47

                Время создания: 09/16/2016   08:49:17

                Строка события:

                В течение предыдущего 24-часового периода некоторые клиенты пытались выполнить привязки LDAP, а именно:

                (1) Привязку SASL (согласование, Kerberos, NTLM или выборка) LDAP без требования подписи (проверки целостности), или

                (2) Простую привязку LDAP, которая была выполнена для подключения с открытым (не зашифрованным SSL/TLS) текстом

                Данный сервер каталога в настоящий момент не настроен на отклонение привязок такого типа. Безопасность сервера можно  существенно повысить, если настроить его на отклонение таких привязок.  Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923.

                Общие сведения о числе этих привязок, полученных за последние 24 часа, приведены ниже.

                Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том,  на каком клиенте она сделана.  Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.

                Число простых привязок, выполненных без SSL/TLS: 0

                Число привязок согласование/Kerberos/NTLM/выборка, выполненных без подписи: 2

             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... DC - пройдена проверка KccEvent

          Запуск проверки: KnowsOfRoleHolders

             Role Schema Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             Role Domain Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             Role PDC Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             Role Rid Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             ......................... DC - пройдена проверка KnowsOfRoleHolders

          Запуск проверки: MachineAccount

             Checking machine account for DC DC on DC DC.
             * SPN found :LDAP/DC.DOMAIN.int/DOMAIN.int
             * SPN found :LDAP/DC.DOMAIN.int
             * SPN found :LDAP/DC
             * SPN found :LDAP/DC.DOMAIN.int/DOMAIN
             * SPN found :LDAP/124efaf3-63f9-4265-91c9-a28f0b47985b._msdcs.DOMAIN.int
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/124efaf3-63f9-4265-91c9-a28f0b47985b/DOMAIN.int
             * SPN found :HOST/DC.DOMAIN.int/DOMAIN.int
             * SPN found :HOST/DC.DOMAIN.int
             * SPN found :HOST/DC
             * SPN found :HOST/DC.DOMAIN.int/DOMAIN
             * SPN found :GC/DC.DOMAIN.int/DOMAIN.int
             ......................... DC - пройдена проверка MachineAccount

          Запуск проверки: NCSecDesc

             * Security Permissions check for all NC's on DC DC.
             * Проверка разрешений безопасности для

               DC=ForestDnsZones,DC=DOMAIN,DC=int
                (NDNC,Version 3)
             * Проверка разрешений безопасности для

               DC=DomainDnsZones,DC=DOMAIN,DC=int
                (NDNC,Version 3)
             * Проверка разрешений безопасности для

               CN=Schema,CN=Configuration,DC=DOMAIN,DC=int
                (Schema,Version 3)
             * Проверка разрешений безопасности для

               CN=Configuration,DC=DOMAIN,DC=int
                (Configuration,Version 3)
             * Проверка разрешений безопасности для

               DC=DOMAIN,DC=int
                (Domain,Version 3)
             ......................... DC - пройдена проверка NCSecDesc

          Запуск проверки: NetLogons

             * Network Logons Privileges Check
             Verified share \\DC\netlogon
             Verified share \\DC\sysvol
             ......................... DC - пройдена проверка NetLogons

          Запуск проверки: ObjectsReplicated

             DC is in domain DC=DOMAIN,DC=int
             Checking for CN=DC,OU=Domain Controllers,DC=DOMAIN,DC=int in domain DC=DOMAIN,DC=int on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int in domain CN=Configuration,DC=DOMAIN,DC=int on 1 servers
                Object is up-to-date on all servers.
             ......................... DC - пройдена проверка ObjectsReplicated

          Проверка пропущена по запросу пользователя: OutboundSecureChannels

          Запуск проверки: Replications

             * Replications Check
             * Replication Latency Check
                DC=ForestDnsZones,DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=DomainDnsZones,DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                CN=Schema,CN=Configuration,DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                CN=Configuration,DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
             ......................... DC - пройдена проверка Replications

          Запуск проверки: RidManager

             * Available RID Pool for the Domain is 3100 to 1073741823
             * DC.DOMAIN.int is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 2600 to 3099
             * rIDPreviousAllocationPool is 1100 to 1599
             * rIDNextRID: 1567
             * Warning :There is less than 7% available RIDs in the current pool
             ......................... DC - пройдена проверка RidManager

          Запуск проверки: Services

             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: DFSR
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... DC - пройдена проверка Services

          Запуск проверки: SystemLog

             * The System Event log test
             Возникло предупреждение. Код события (EventID): 0x8000001D

                Время создания: 09/16/2016   08:49:19

                Строка события:

                Центр распространения ключей (KDC) не может найти подходящий сертификат для использования при регистрации смарт-карт или KDC-сертификат не может быть проверен. Регистрация смарт-карт не может работать правильно, если данная проблема не разрешена. Для исправления неполадки либо проверьте существующий сертификат KDC при помощи certutil.exe, либо запросите новый KDC-сертификат.

             Found no errors in "System" Event log in the last 60 minutes.
             ......................... DC - пройдена проверка SystemLog

          Проверка пропущена по запросу пользователя: Topology

          Проверка пропущена по запросу пользователя: VerifyEnterpriseReferences

          Запуск проверки: VerifyReferences

             Ссылка на системный объект (serverReference)

             CN=DC,OU=Domain Controllers,DC=DOMAIN,DC=int и обратная ссылка на

             CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int

             правильны.
             Ссылка на системный объект (serverReferenceBL)

             CN=DC,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=DOMAIN,DC=int

             и обратная ссылка на

             CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int

             правильны.
             Ссылка на системный объект (msDFSR-ComputerReferenceBL)

             CN=DC,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=DOMAIN,DC=int

             и обратная ссылка на CN=DC,OU=Domain Controllers,DC=DOMAIN,DC=int

             правильны.
             ......................... DC - пройдена проверка VerifyReferences

          Проверка пропущена по запросу пользователя: VerifyReplicas

          Проверка пропущена по запросу пользователя: DNS

          Проверка пропущена по запросу пользователя: DNS

       Выполнение проверок разделов на: ForestDnsZones

          Запуск проверки: CheckSDRefDom

             ......................... ForestDnsZones - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... ForestDnsZones - пройдена проверка

             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones

          Запуск проверки: CheckSDRefDom

             ......................... DomainDnsZones - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... DomainDnsZones - пройдена проверка

             CrossRefValidation

       Выполнение проверок разделов на: Schema

          Запуск проверки: CheckSDRefDom

             ......................... Schema - пройдена проверка CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... Schema - пройдена проверка

             CrossRefValidation

       Выполнение проверок разделов на: Configuration

          Запуск проверки: CheckSDRefDom

             ......................... Configuration - пройдена проверка

             CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... Configuration - пройдена проверка

             CrossRefValidation

       Выполнение проверок разделов на: DOMAIN

          Запуск проверки: CheckSDRefDom

             ......................... DOMAIN - пройдена проверка CheckSDRefDom

          Запуск проверки: CrossRefValidation

             ......................... DOMAIN - пройдена проверка

             CrossRefValidation

       Выполнение проверок предприятия на: DOMAIN.int

          Проверка пропущена по запросу пользователя: DNS

          Проверка пропущена по запросу пользователя: DNS

          Запуск проверки: LocatorCheck

             Имя GC: \\DC.DOMAIN.int

             Locator Flags: 0xe00033fd
             PDC Name: \\DC.DOMAIN.int
             Locator Flags: 0xe00033fd
             Time Server Name: \\DC.DOMAIN.int
             Locator Flags: 0xe00033fd
             Preferred Time Server Name: \\DC.DOMAIN.int
             Locator Flags: 0xe00033fd
             KDC Name: \\DC.DOMAIN.int
             Locator Flags: 0xe00033fd
             ......................... DOMAIN.int - пройдена проверка

             LocatorCheck

          Запуск проверки: Intersite

             Сайт Default-First-Site-Name пропущен, он находится вне диапазона,

             определенного аргументами командной строки.
             Сайт DO пропущен, он находится вне диапазона, определенного

             аргументами командной строки.
             ......................... DOMAIN.int - пройдена проверка Intersite

    Второй КД - DC-DO

    >dcdiag /v

    Диагностика сервера каталогов
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       * Проверка, является ли локальный компьютер DC-DO сервером каталогов.
       Основной сервер = DC-DO
       * Подключение к службе каталога на сервере DC-DO.
       * Идентифицирован лес AD.
       Collecting AD specific global data
       * Сбор сведений о сайте.
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=DOMAIN,DC=in
    t,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded
       Iterating through the sites
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name
    ,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
       Getting ISTG and options for the site
       Looking at base site object: CN=NTDS Site Settings,CN=DO,CN=Sites,CN=Configur
    ation,DC=DOMAIN,DC=int
       Getting ISTG and options for the site
       * Выполнение идентификации всех серверов.
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=DOMAIN,DC=in
    t,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers
       Getting information for the server CN=NTDS Settings,CN=DC,CN=Servers,CN=Defau
    lt-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       Getting information for the server CN=NTDS Settings,CN=DC-DO,CN=Servers,CN=DO
    ,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * Идентификация всех перекрестных ссылок NC.
       * Найдено 2 DC (контроллеров домена). Проверка 1 из них.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок
       Сервер проверки: DO\DC-DO
          Запуск проверки: Connectivity
             * Active Directory LDAP Services Check
             Determining IP4 connectivity
             * Active Directory RPC Services Check
             ......................... DC-DO - пройдена проверка Connectivity
    Выполнение основных проверок
       Сервер проверки: DO\DC-DO
          Запуск проверки: Advertising
             The DC DC-DO is advertising itself as a DC and having a DS.
             The DC DC-DO is advertising as an LDAP server
             The DC DC-DO is advertising as having a writeable directory
             The DC DC-DO is advertising as a Key Distribution Center
             The DC DC-DO is advertising as a time server
             The DS DC-DO is advertising as a GC.
             ......................... DC-DO - пройдена проверка Advertising
          Проверка пропущена по запросу пользователя: CheckSecurityError
          Проверка пропущена по запросу пользователя: CutoffServers
          Запуск проверки: FrsEvent
             * Проверка журнала событий службы репликации файлов
             Пропустить тест, так как на сервере выполняется репликация DFSR.
             ......................... DC-DO - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             The DFS Replication Event Log.
             ......................... DC-DO - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             * Проверка готовности SYSVOL службы репликации файлов
             SYSVOL службы репликации файлов готов
             ......................... DC-DO - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             * The KCC Event log test
             Found no KCC errors in "Directory Service" Event log in the last 15 min
    utes.
             ......................... DC-DO - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             Role Schema Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-
    Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             Role Domain Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-
    Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             Role PDC Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Sit
    e-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             Role Rid Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Sit
    e-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=DC,CN=Servers,CN
    =Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             ......................... DC-DO - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             Checking machine account for DC DC-DO on DC DC-DO.
             * SPN found :LDAP/DC-DO.DOMAIN.int/DOMAIN.int
             * SPN found :LDAP/DC-DO.DOMAIN.int
             * SPN found :LDAP/DC-DO
             * SPN found :LDAP/DC-DO.DOMAIN.int/DOMAIN
             * SPN found :LDAP/6b93587b-7855-4edc-9011-26feb08a88a5._msdcs.DOMAIN.
    int
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/6b93587b-7855-4edc-90
    11-26feb08a88a5/DOMAIN.int
             * SPN found :HOST/DC-DO.DOMAIN.int/DOMAIN.int
             * SPN found :HOST/DC-DO.DOMAIN.int
             * SPN found :HOST/DC-DO
             * SPN found :HOST/DC-DO.DOMAIN.int/DOMAIN
             * SPN found :GC/DC-DO.DOMAIN.int/DOMAIN.int
             ......................... DC-DO - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             * Security Permissions check for all NC's on DC DC-DO.
             * Проверка разрешений безопасности для
               DC=ForestDnsZones,DC=DOMAIN,DC=int
                (NDNC,Version 3)
             * Проверка разрешений безопасности для
               DC=DomainDnsZones,DC=DOMAIN,DC=int
                (NDNC,Version 3)
             * Проверка разрешений безопасности для
               CN=Schema,CN=Configuration,DC=DOMAIN,DC=int
                (Schema,Version 3)
             * Проверка разрешений безопасности для
               CN=Configuration,DC=DOMAIN,DC=int
                (Configuration,Version 3)
             * Проверка разрешений безопасности для
               DC=DOMAIN,DC=int
                (Domain,Version 3)
             ......................... DC-DO - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             * Network Logons Privileges Check
             Verified share \\DC-DO\netlogon
             Verified share \\DC-DO\sysvol
             ......................... DC-DO - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             DC-DO is in domain DC=DOMAIN,DC=int
             Checking for CN=DC-DO,OU=Domain Controllers,DC=DOMAIN,DC=int in domai
    n DC=DOMAIN,DC=int on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=DC-DO,CN=Servers,CN=DO,CN=Sites,CN=Con
    figuration,DC=DOMAIN,DC=int in domain CN=Configuration,DC=DOMAIN,DC=int on 1
     servers
                Object is up-to-date on all servers.
             ......................... DC-DO - пройдена проверка ObjectsReplicated
          Проверка пропущена по запросу пользователя: OutboundSecureChannels
          Запуск проверки: Replications
             * Replications Check
             * Replication Latency Check
                DC=ForestDnsZones,DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas
     and are not verifiably latent, or dc's no longer replicating this nc.  0 had no
     latency information (Win2K DC).
                DC=DomainDnsZones,DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas
     and are not verifiably latent, or dc's no longer replicating this nc.  0 had no
     latency information (Win2K DC).
                CN=Schema,CN=Configuration,DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas
     and are not verifiably latent, or dc's no longer replicating this nc.  0 had no
     latency information (Win2K DC).
                CN=Configuration,DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas
     and are not verifiably latent, or dc's no longer replicating this nc.  0 had no
     latency information (Win2K DC).
                DC=DOMAIN,DC=int
                   Latency information for 1 entries in the vector were ignored.
                      1 were retired Invocations.  0 were either: read-only replicas
     and are not verifiably latent, or dc's no longer replicating this nc.  0 had no
     latency information (Win2K DC).
             ......................... DC-DO - пройдена проверка Replications
          Запуск проверки: RidManager
             * Available RID Pool for the Domain is 3100 to 1073741823
             * DC.DOMAIN.int is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 2100 to 2599
             * rIDPreviousAllocationPool is 2100 to 2599
             * rIDNextRID: 2197
             ......................... DC-DO - пройдена проверка RidManager
          Запуск проверки: Services
             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: DFSR
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... DC-DO - пройдена проверка Services
          Запуск проверки: SystemLog
             * The System Event log test
             Возникло предупреждение. Код события (EventID): 0x8000001D
                Время создания: 09/16/2016   08:04:20
                Строка события:
                Центр распространения ключей (KDC) не может найти подходящий сертифи
    кат для использования при регистрации смарт-карт или KDC-сертификат не может быт
    ь проверен. Регистрация смарт-карт не может работать правильно, если данная проб
    лема не разрешена. Для исправления неполадки либо проверьте существующий сертифи
    кат KDC при помощи certutil.exe, либо запросите новый KDC-сертификат.
             Found no errors in "System" Event log in the last 60 minutes.
             ......................... DC-DO - пройдена проверка SystemLog
          Проверка пропущена по запросу пользователя: Topology
          Проверка пропущена по запросу пользователя: VerifyEnterpriseReferences
          Запуск проверки: VerifyReferences
             Ссылка на системный объект (serverReference)
             CN=DC-DO,OU=Domain Controllers,DC=DOMAIN,DC=int и обратная ссылка на
             CN=DC-DO,CN=Servers,CN=DO,CN=Sites,CN=Configuration,DC=DOMAIN,DC=int
             правильны.
             Ссылка на системный объект (serverReferenceBL)
             CN=DC-DO,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=
    System,DC=DOMAIN,DC=int
             и обратная ссылка на
             CN=NTDS Settings,CN=DC-DO,CN=Servers,CN=DO,CN=Sites,CN=Configuration,DC
    =DOMAIN,DC=int
             правильны.
             Ссылка на системный объект (msDFSR-ComputerReferenceBL)
             CN=DC-DO,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=
    System,DC=DOMAIN,DC=int
             и обратная ссылка на CN=DC-DO,OU=Domain Controllers,DC=DOMAIN,DC=int
             правильны.
             ......................... DC-DO - пройдена проверка VerifyReferences
          Проверка пропущена по запросу пользователя: VerifyReplicas
          Проверка пропущена по запросу пользователя: DNS
          Проверка пропущена по запросу пользователя: DNS
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
       Выполнение проверок разделов на: DOMAIN
          Запуск проверки: CheckSDRefDom
             ......................... DOMAIN - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DOMAIN - пройдена проверка
             CrossRefValidation
       Выполнение проверок предприятия на: DOMAIN.int
          Проверка пропущена по запросу пользователя: DNS
          Проверка пропущена по запросу пользователя: DNS
          Запуск проверки: LocatorCheck
             Имя GC: \\DC-DO.DOMAIN.int
             Locator Flags: 0xe00031fc
             PDC Name: \\DC.DOMAIN.int
             Locator Flags: 0xe000337d
             Time Server Name: \\DC-DO.DOMAIN.int
             Locator Flags: 0xe00031fc
             Preferred Time Server Name: \\DC.DOMAIN.int
             Locator Flags: 0xe000337d
             KDC Name: \\DC-DO.DOMAIN.int
             Locator Flags: 0xe00031fc
             ......................... DOMAIN.int - пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             Сайт Default-First-Site-Name пропущен, он находится вне диапазона,
             определенного аргументами командной строки.
             Сайт DO пропущен, он находится вне диапазона, определенного
             аргументами командной строки.
             ......................... DOMAIN.int - пройдена проверка Intersite

    dcdiag /q ни на одном из доменов ошибок не выдаёт


    16 сентября 2016 г. 6:00
  • Больше никто опытом поделиться не может? Не встречались с такой штукой?
    19 сентября 2016 г. 5:02