Есть сеть, в которой 2 контроллера домена. Primary DC и Secondary DC. Оба на Win 2008 R2
Возникла необходимость PDC перезагрузить. Насколько я понимаю(и так и было, пока контроллеры были на Win2003), должно произойти так: SDC на время забирает к себе "обязанности" PDC, затем загружается первый DC, реплицируется
со вторым, забирает обязанности обратно. При этом не должно возникать никаких ошибок итд.
Сейчас же картина следующая: Перезагружаем PDC. В логах винды на нем после загрузки появляются события:
1.
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 27.03.2014 18:34:59
Код события: 2088
Категория задачи:DS RPC-клиент
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: DNHW4.Amigo.local
Описание:
Доменные службы Active Directory не могут использовать DNS для разрешения указанного ниже IP-адреса исходного контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютеров
и их паролей, доменные службы Active Directory были успешно реплицированы с помощью NetBIOS или полного доменного имени исходного контроллера домена.
Неправильная настройка DNS может влиять на другие важные операции на рядовых компьютерах, контроллерах домена или серверах приложений в лесу этих доменных служб Active Directory, включая проверку подлинности при входе или
доступ к сетевым ресурсам.
Следует как можно скорее исправить ошибку настройки DNS, чтобы этот контроллер домена мог выполнять разрешение IP-адреса исходного контроллера домена с помощью DNS.
Имя альтернативного сервера:
DNHW5
Ошибочное имя узла DNS:
f6a758bf-c33a-4afc-863d-d7097cfd56d5._msdcs.Amigo.local
Примечание: по умолчанию не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным
1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Действие пользователя:
1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного
контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в сети, введя команду "net view \\<имя исходного DC>" или "ping <имя исходного DC>".
3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы
DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns
dcdiag /test:dns
4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
dcdiag /test:dns
5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449
Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.
2.
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 27.03.2014 18:35:53
Код события: 2092
Категория задачи:Репликация
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: DNHW4.Amigo.local
Описание:
Этот сервер является владельцем следующей роли FSMO, но не считает назначение правильным. Для раздела, содержащего FSMO, этот сервер не выполнил успешной репликации ни с одним из партнеров репликации с момента перезапуска
этого сервера. Ошибки репликации мешают выполнению проверки для этой роли.
Операции, требующие обращения хозяина операции FSMO, не смогут выполняться, пока это состояние не будет исправлено.
Роль FSMO: DC=Amigo,DC=local
Действие пользователя:
1. Начальная синхронизация является самой первой репликацией, выполняемой системой при запуске. Ошибка при выполнении начальной синхронизации может быть причиной того, что роль FSMO не может быть проверена. Описание этого процесса
содержится в статье базы знаний 305476.
2. У этого сервера есть один или несколько партнеров репликации, и репликация завершается ошибкой для всех этих партнеров. Используйте команду "repadmin /showrepl" для отображения ошибок репликации. Исправьте возможную ошибку.
Например, это могут быть проблемы связи IP, разрешения DNS-имен, проверки подлинности, которые мешают успешному выполнению репликации.
3. В том редком случае, когда известно, что все партнеры репликации были неработоспособны, возможно из-за выполнения обслуживания или восстановления после ошибки, можно принудительно выполнить проверку роли. Это можно сделать с
помощью утилиты NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-сайте http://support.microsoft.com.
Могут быть затронуты следующие операции:
Схема: нельзя будет изменять схему для этого леса.
Именование доменов: нельзя будет добавлять или удалять домены из этого леса.
PDC: нельзя будет выполнять операции, исполняемые основным контроллером домена, например, обновление групповой политики и сброс паролей для учетных записей, не принадлежащих доменным службам Active Directory.
RID: нельзя будет выделять новые SID для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности.
Инфраструктура: междоменные ссылки на имена, например, членство в универсальных группах, не будут правильно обновляться, если конечный объект будет перемещен или переименован.
Затем проходит не более 5 минут и появляется событие номер 3, после появления которого все работает. Вот оно:
Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 27.03.2014 18:41:12
Код события: 1394
Категория задачи:Управление службой
Уровень: Сведения
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: DNHW4.Amigo.local
Описание:
Все проблемы, мешавшие обновлению базы данных доменных служб Active Directory, были устранены. Успешно выполняются обновления базы данных Active Directory. Служба NetLogon перезапущена.
Вопрос, собственно, таков: это вообще нормально? Если нет, то как побороть?
PS. Только что нашел ошибку еще и от DNS сервера, которая появляется тоже после загрузки:
DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут
быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера
для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.
