none
Вывод ролей FSMO с проблемного КД RRS feed

  • Вопрос

  • Добрый день.

    Немного предыстории. Изначально присутствуют 1 лес, 1 домен с 2 сайтами, в каждом из которых было по одному КД (соответственно adsrv01 и adsrv02). Контрллеры на WinServer2003. Уровень домена 2000 (когда-то были КД на Win2000).

    Было принято решение поднять в одном из сайтов ещё один КД, уже на 2008R2 (имя adsrv03), чтобы планомерно перевести домен на нужный уровень. КД был установлен, уровень домена поднят до 2003 уровня. Был произведён перевод ролей FSMO на новый КД.

    Практически с самого начала получилось, что нормальная репликация с новым КД не происходила. До сих пор наблюдаются проблемы в работе. Утилита dcdiag, запущенная локально на КД adsrv03 усердно пишет об огромной куче ошибок, одна из которых

    C:\TOOLS>dcdiag /test:DNS
    
    Domain Controller Diagnosis
    
    Performing initial setup:
      Done gathering initial info.
    
    Doing initial required tests
    
      Testing server: VISITON\ADSRV03
       Starting test: Connectivity
         ......................... ADSRV03 passed test Connectivity
    
    Doing primary tests
    
      Testing server: VISITON\ADSRV03
    
    DNS Tests are running and not hung. Please wait a few minutes...
    
      Running partition tests on : ForestDnsZones
    
      Running partition tests on : DomainDnsZones
    
      Running partition tests on : Schema
    
      Running partition tests on : Configuration
    
      Running partition tests on : visiton
    
      Running enterprise tests on : visiton.local
       Starting test: DNS
       Test results for domain controllers:
    
         DC: adsrv03.visiton.local
         Domain: visiton.local
    
    
          TEST: Records registration (RReg)
            Error: Record registrations cannot be found for all the network adapters
    
         Summary of DNS test results:
    
                          Auth Basc Forw Del Dyn RReg Ext
            ________________________________________________________________
          Domain: visiton.local
            adsrv03           PASS PASS PASS PASS PASS FAIL n/a
    
         ......................... visiton.local failed test DNS

    другая:

       Starting test: MachineAccount
         The account ADSRV03 is not a DC account. It cannot replicate.
         Warning: Attribute userAccountControl of ADSRV03 is: 0x81000 = ( UF_WORKSTATION_TRUST_ACCOUNT | UF_TRUSTED_FOR
    _DELEGATION )
         Typical setting for a DC is 0x82000 = ( UF_SERVER_TRUST_ACCOUNT | UF_TRUSTED_FOR_DELEGATION )
         This may be affecting replication?

    Исходя из проблемности данного КД, очень хочется решить все проблемы. То есть, передать роли FSMO с него на другой сервер, а его самого понизить до рядового.

    Но попытка передать роли, снова ошибка:

    fsmo maintenance: transfer schema master
    ldap_modify_sW error 0x34(52 (Unavailable).
    Ldap extended error message is 000020AF: SvcErr: DSID-0321036B, problem 5002 (UNAVAILABLE), data 4
    
    Win32 error returned is 0x20af(The requested FSMO operation failed. The current FSMO holder could not be contacted.)
    

    Возникает вопрос. Что лучше, может быть проще, может быт удобнее? Тупо выключить проблемный КД и сделать seize ролей на рабочем КД или ... подскажите с чего начать поиски проблем.

    Заранее благодарю.

    Сергей.


    С уважением, Максимов Сергей.
    29 сентября 2010 г. 8:01

Ответы

  • Попробуйте поменять аттрибут userAccountcontrol для УЗ КД на 532480 (это в десятичном виде) как вас просит dcdiag
    • Помечено в качестве ответа Serge Maximov 29 сентября 2010 г. 17:57
    29 сентября 2010 г. 8:32
    Отвечающий
  • Буду Вам признателен, если Вы расскажете, что это и как это сделать. И что такое УЗ? :-)


    С уважением, Максимов Сергей.

    Учетная запись : )

    в консоли AD users and conputers(adsrv03) включите в меню view галку advansed - затем в OU "domain controllers" найдите учетку adsrv03 и в свойствах, на вкладке "attribute editor" найдите аттрибут userAccountcontrol и занесите туда значение 532480

    Забекапьте перед этим AD на всех КД

    Просто это самая очевидная ошибка - начнем с ее устранения

    • Помечено в качестве ответа Serge Maximov 29 сентября 2010 г. 17:57
    29 сентября 2010 г. 8:53
    Отвечающий
  • Реально. Попытка создать человека из Франкенштейна - не приведёт к хорошему: машины восстанут и придёт терминатор. (Сорри за оффтоп, но борьба длится уже несколько недель, просто устал :-))
    С уважением, Максимов Сергей.

    По моему мнению, надо попытаться понизить его штатно - не получится, тогда да форматирование и чистка AD, seize ролей http://support.microsoft.com/kb/216498/ru, хотя, впрочем как хотите

    Можно попытаться исправить аттрибут утилитой adexplorer http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

     

    И repadmin /showrepl - со всех КД

    • Помечено в качестве ответа Serge Maximov 29 сентября 2010 г. 17:58
    29 сентября 2010 г. 12:48
    Отвечающий

Все ответы

  • SYSVOL на новом КД инициализировался?

    Проходит новый КД тест advertising из dcdiag?

    29 сентября 2010 г. 8:21
    Отвечающий
  • SYSVOL на новом КД инициализировался?

    Проходит новый КД тест advertising из dcdiag?


    Тест проходит:

    C:\TOOLS>dcdiag /test:Advertising
    
    Domain Controller Diagnosis
    
    Performing initial setup:
      Done gathering initial info.
    
    Doing initial required tests
    
      Testing server: VISITON\ADSRV03
       Starting test: Connectivity
         ......................... ADSRV03 passed test Connectivity
    
    Doing primary tests
    
      Testing server: VISITON\ADSRV03
       Starting test: Advertising
         ......................... ADSRV03 passed test Advertising
    
      Running partition tests on : ForestDnsZones
    
      Running partition tests on : DomainDnsZones
    
      Running partition tests on : Schema
    
      Running partition tests on : Configuration
    
      Running partition tests on : visiton
    
      Running enterprise tests on : visiton.local
    

    А вот по поводу "Инициализации SYSVOL", что Вы имеете ввиду? Шара такая на сервере конечно же есть.


    С уважением, Максимов Сергей.
    29 сентября 2010 г. 8:28
  • Попробуйте поменять аттрибут userAccountcontrol для УЗ КД на 532480 (это в десятичном виде) как вас просит dcdiag
    • Помечено в качестве ответа Serge Maximov 29 сентября 2010 г. 17:57
    29 сентября 2010 г. 8:32
    Отвечающий
  • Буду Вам признателен, если Вы расскажете, что это и как это сделать. И что такое УЗ? :-)


    С уважением, Максимов Сергей.
    29 сентября 2010 г. 8:47
  • Буду Вам признателен, если Вы расскажете, что это и как это сделать. И что такое УЗ? :-)


    С уважением, Максимов Сергей.

    Учетная запись : )

    в консоли AD users and conputers(adsrv03) включите в меню view галку advansed - затем в OU "domain controllers" найдите учетку adsrv03 и в свойствах, на вкладке "attribute editor" найдите аттрибут userAccountcontrol и занесите туда значение 532480

    Забекапьте перед этим AD на всех КД

    Просто это самая очевидная ошибка - начнем с ее устранения

    • Помечено в качестве ответа Serge Maximov 29 сентября 2010 г. 17:57
    29 сентября 2010 г. 8:53
    Отвечающий
  • Вы меня извините, конечно, но я не нашёл требуемой вкладки по тому пути, что Вы указали...
    С уважением, Максимов Сергей.
    29 сентября 2010 г. 11:34
  • Вы меня извините, конечно, но я не нашёл требуемой вкладки по тому пути, что Вы указали...
    С уважением, Максимов Сергей.


    Консоль версии WS 2008?

    Вот так она выглядит http://byfiles.storage.live.com/y1ptgL8zS7nkxvPBlQ_sFgz4N6Uprei9BHwyjRPhF_u2_kK3RvzjKjYZI8B4aYkZC2Z

    Ну или отредактируйте этот аттрибут из консоли adsiedit.msc

    И заодно покажите вывод команды

    repadmin /showrepl

    со всех 3 КД

    29 сентября 2010 г. 11:42
    Отвечающий
  • Консоль, конечно же, от 2008r2 сервера. Но редактор атрибутов я так и не нашёл.

    Но. Попутно, при ковыряниях, выяснилось, что консоль mmc склонна к непредвиденному завершению работы, сам КД, считая себя и КД и владельцем FSMO ролей (кстати. так считают и прочие КД) в административном центре рисует вот так: http://clip2net.com/clip/m54720/1285761909-clip-39kb.png, не работает оснастка adsiedit.msc, не отрабатывает роль wbadmin, итдитп.

    Что-то я лично склоняюсь к мнению, что проще всего будет убить этот сервер с признаками компьютерных ДЦП, олигофрении и энцефалопатии и поставить новый. Попутно подобрав потом FSMO роли.

    Реально. Попытка создать человека из Франкенштейна - не приведёт к хорошему: машины восстанут и придёт терминатор. (Сорри за оффтоп, но борьба длится уже несколько недель, просто устал :-))


    С уважением, Максимов Сергей.
    29 сентября 2010 г. 12:34
  • Реально. Попытка создать человека из Франкенштейна - не приведёт к хорошему: машины восстанут и придёт терминатор. (Сорри за оффтоп, но борьба длится уже несколько недель, просто устал :-))
    С уважением, Максимов Сергей.

    По моему мнению, надо попытаться понизить его штатно - не получится, тогда да форматирование и чистка AD, seize ролей http://support.microsoft.com/kb/216498/ru, хотя, впрочем как хотите

    Можно попытаться исправить аттрибут утилитой adexplorer http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

     

    И repadmin /showrepl - со всех КД

    • Помечено в качестве ответа Serge Maximov 29 сентября 2010 г. 17:58
    29 сентября 2010 г. 12:48
    Отвечающий
  • Эпопею продолжу вечером, ещё один день, может быть, ничего не решит, но проблемы с работой в сети возникают постоянно.

    Кстати, попутно пока пилотно поставил ещё один контроллер adsrv04, как и старые сервера, на W2k3 платформе.

    А пока логи.

    Adsrv01

    repadmin running command /showrepl against server localhost
    
    
    
    VISITON\ADSRV01
    
    DC Options: IS_GC 
    
    Site Options: (none)
    
    DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
    DC invocationID: 76f66b45-d49a-4f6c-9f46-95ec5c8d809c
    
    
    
    ==== INBOUND NEIGHBORS ======================================
    
    
    
    DC=visiton,DC=local
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
      XKB\ADSRV02 via RPC
    
        DC object GUID: 4a4df839-7c25-467b-9adb-18261bf4a1e5
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
      VISITON\ADSRV04 via RPC
    
        DC object GUID: 43a1bdf8-40e8-4254-8f51-2121f2b7f468
    
        Last attempt @ 2010-09-29 17:47:54 was successful.
    
    
    
    CN=Configuration,DC=visiton,DC=local
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
      VISITON\ADSRV04 via RPC
    
        DC object GUID: 43a1bdf8-40e8-4254-8f51-2121f2b7f468
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
      XKB\ADSRV02 via RPC
    
        DC object GUID: 4a4df839-7c25-467b-9adb-18261bf4a1e5
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
    
    
    CN=Schema,CN=Configuration,DC=visiton,DC=local
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
      VISITON\ADSRV04 via RPC
    
        DC object GUID: 43a1bdf8-40e8-4254-8f51-2121f2b7f468
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
      XKB\ADSRV02 via RPC
    
        DC object GUID: 4a4df839-7c25-467b-9adb-18261bf4a1e5
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
    
    
    DC=DomainDnsZones,DC=visiton,DC=local
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
      XKB\ADSRV02 via RPC
    
        DC object GUID: 4a4df839-7c25-467b-9adb-18261bf4a1e5
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
    
    
    DC=ForestDnsZones,DC=visiton,DC=local
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
      XKB\ADSRV02 via RPC
    
        DC object GUID: 4a4df839-7c25-467b-9adb-18261bf4a1e5
    
        Last attempt @ 2010-09-29 16:52:02 was successful.
    
    
    
    Source: VISITON\ADSRV03
    
    ******* 2 CONSECUTIVE FAILURES since 2010-09-29 17:27:27
    
    Last error: 1722 (0x6ba):
    
          Сервер RPC ­не доступен.
    
    
    
    
    

    Adsrv02

    repadmin running command /showrepl against server localhost
    
    
    
    XKB\ADSRV02
    
    DC Options: IS_GC 
    
    Site Options: (none)
    
    DC object GUID: 4a4df839-7c25-467b-9adb-18261bf4a1e5
    
    DC invocationID: ec0ff137-86b8-4722-9e15-e8739963d013
    
    
    
    ==== INBOUND NEIGHBORS ======================================
    
    
    
    DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 16:58:29 was successful.
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 17:44:31 failed, result 1722 (0x6ba):
    
          Can't retrieve message string 1722 (0x6ba), error 1815.
    
        2 consecutive failure(s).
    
        Last success @ 2010-09-29 17:13:29.
    
    
    
    CN=Configuration,DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 16:58:28 was successful.
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 17:43:49 failed, result 1722 (0x6ba):
    
          Can't retrieve message string 1722 (0x6ba), error 1815.
    
        2 consecutive failure(s).
    
        Last success @ 2010-09-29 17:13:28.
    
    
    
    CN=Schema,CN=Configuration,DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 16:58:28 was successful.
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 17:44:10 failed, result 1722 (0x6ba):
    
          Can't retrieve message string 1722 (0x6ba), error 1815.
    
        2 consecutive failure(s).
    
        Last success @ 2010-09-29 17:13:28.
    
    
    
    DC=DomainDnsZones,DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 16:58:29 was successful.
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 17:43:49 failed, result 1256 (0x4e8):
    
          Can't retrieve message string 1256 (0x4e8), error 1815.
    
        2 consecutive failure(s).
    
        Last success @ 2010-09-29 17:13:29.
    
    
    
    DC=ForestDnsZones,DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 16:58:29 was successful.
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 17:43:49 failed, result 1256 (0x4e8):
    
          Can't retrieve message string 1256 (0x4e8), error 1815.
    
        2 consecutive failure(s).
    
        Last success @ 2010-09-29 17:13:29.
    
    
    
    Source: VISITON\ADSRV03
    
    ******* 2 CONSECUTIVE FAILURES since 2010-09-29 17:13:29
    
    Last error: 1256 (0x4e8):
    
          Can't retrieve message string 1256 (0x4e8), error 1815.
    
    
    
    
    

    Adsrv04

    repadmin running command /showrepl against server localhost
    
    
    
    VISITON\ADSRV04
    
    DC Options: IS_GC 
    
    Site Options: (none)
    
    DC object GUID: 43a1bdf8-40e8-4254-8f51-2121f2b7f468
    
    DC invocationID: f89a9fd8-6a8c-4009-84f5-fb175fb38e5d
    
    
    
    ==== INBOUND NEIGHBORS ======================================
    
    
    
    DC=visiton,DC=local
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 16:58:21 was successful.
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 17:56:17 was successful.
    
    
    
    CN=Configuration,DC=visiton,DC=local
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 16:58:21 was successful.
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 16:58:21 was successful.
    
    
    
    CN=Schema,CN=Configuration,DC=visiton,DC=local
    
      VISITON\ADSRV03 via RPC
    
        DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
        Last attempt @ 2010-09-29 16:58:21 was successful.
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 16:58:21 was successful.
    
    
    
    
    

    И совсем проблемный Adsrv03

    
    repadmin running command /showrepl against server localhost
    
    
    
    VISITON\ADSRV03
    
    DC Options: IS_GC 
    
    Site Options: (none)
    
    DC object GUID: 089d66b1-e1e9-4d02-9cfe-ad838a8e484a
    
    DC invocationID: e54218dc-2820-472d-ad23-347b8397fdc3
    
    
    
    ==== INBOUND NEIGHBORS ======================================
    
    
    
    DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 17:58:51 failed, result 8453 (0x2105):
    
          Can't retrieve message string 8453 (0x2105), error 15100.
    
        37707 consecutive failure(s).
    
        Last success @ 2010-09-02 12:35:05.
    
    
    
    CN=Configuration,DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 17:56:01 failed, result 8453 (0x2105):
    
          Can't retrieve message string 8453 (0x2105), error 15105.
    
        991 consecutive failure(s).
    
        Last success @ 2010-09-02 11:45:14.
    
    
    
    CN=Schema,CN=Configuration,DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 17:56:05 failed, result 8453 (0x2105):
    
          Can't retrieve message string 8453 (0x2105), error 15105.
    
        820 consecutive failure(s).
    
        Last success @ 2010-09-02 11:45:14.
    
    
    
    DC=DomainDnsZones,DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 17:56:15 failed, result 8453 (0x2105):
    
          Can't retrieve message string 8453 (0x2105), error 15105.
    
        824 consecutive failure(s).
    
        Last success @ 2010-09-02 11:45:14.
    
    
    
    DC=ForestDnsZones,DC=visiton,DC=local
    
      VISITON\ADSRV01 via RPC
    
        DC object GUID: 47f66a51-2da2-4738-ae39-6a7154a79959
    
        Last attempt @ 2010-09-29 17:56:20 failed, result 8453 (0x2105):
    
          Can't retrieve message string 8453 (0x2105), error 15105.
    
        817 consecutive failure(s).
    
        Last success @ 2010-09-02 11:45:14.
    
    
    
    Naming Context: DC=ForestDnsZones,DC=visiton,DC=local
    
    Source: XKB\ADSRV02
    
    ******* WARNING: KCC could not add this REPLICA LINK due to error.
    
    
    
    Naming Context: DC=visiton,DC=local
    
    Source: XKB\ADSRV02
    
    ******* WARNING: KCC could not add this REPLICA LINK due to error.
    
    
    
    Naming Context: CN=Configuration,DC=visiton,DC=local
    
    Source: XKB\ADSRV02
    
    ******* WARNING: KCC could not add this REPLICA LINK due to error.
    
    
    
    Naming Context: DC=DomainDnsZones,DC=visiton,DC=local
    
    Source: XKB\ADSRV02
    
    ******* WARNING: KCC could not add this REPLICA LINK due to error.
    
    
    
    
    

    Если есть какие мысли, высказывайте, а предложенные вами решения с adexplorer я попробую вечером, и тоже отпишусь.


    С уважением, Максимов Сергей.
    29 сентября 2010 г. 14:01
  • Хех. В общем могу констатировать, что способ, предложенный Иваном, то есть исправление значения userAccountcontrol на тот, что предлагал dcdiag, вылечил почти все болезни.

    По крайней мере репликация случилась и заработала корректно. Пока ещё есть некоторые другие проблемы, но.. это уже другая тема, думаю.

    Ивану огромный респект и плюс к репутации :-)

     

    ПС. Скажем так. Излечение КД от болезней избавило от необходимости вывода FSMO ролей с сервера, не смотря на изначальное название темы.


    С уважением, Максимов Сергей.
    29 сентября 2010 г. 17:56