none
На дополнительном DC не синхронизировалась "Серверы условной пересылки" в DNS RRS feed

  • Вопрос

  • Добрый день,

    Был DC1 c 2008 и DC c 2012.

    DC1  - был держатель ролей. 

    Перенес все роли и функционал на DC

    DC1 -понизил и вывел из домена. Вычистил информацию о нем 

    Установил новый DC1 - 2019 - добавил в AD , добавил роль AD DS , засинхронился , получил некоторые ошибки в виде что нету папки NETLOGON (SYSVOL был , создал ручками папку NETLOGON -проблемы решились)

    Начал дальше проверять новый DC1, вижу что DNS все записи и зоны на месте, кроме "Серверы условной пересылки" там нету информации.

    Как решить , спасибо.

    10 декабря 2019 г. 9:20

Ответы

  • 1. Для этого надежнее всего в консоли управления групповой политикой подключиться к каждому КД (в консоли есть возможность выбора КД) и открыть каждую групповую политику в узле Policies - если есть рассогласование версий в базе AD и на SYSVOL, то об этом будет сообщение

    2. "BurFlags = D2/D4 - это магия, которая использовалась для выполнения тех же процедур, но для старой службы синхронизации SYSVOL - FRS (которой в Win2019 уже нет). В статье MS KB она - исключительно для тех, кто слышал про эту магию (а у меня в том обсуждении - для полноты картины), так что не заморачивайтесь, а просто выполняйте процедуры для DFS Replication (DFSR).


    Слава России!


    12 декабря 2019 г. 13:49

Все ответы

  • DNS все записи и зоны на месте, кроме "Серверы условной пересылки" там нету информации.

    Как решить , спасибо.

    создал ручками

    вручную создать. Возможно [у Вас] сервера условных пересылок не реплицируются между DNS.

    по поводу правильного обновления КД с 2008 на 2019 посмотрите эту тему.


    • Изменено Anahaym 10 декабря 2019 г. 10:49 нашёл где включается реплецирование
    10 декабря 2019 г. 9:34
  • Они не засинкались, потому что при создании вы не поставили птицу "Store the conditional forwarder in Active Directory", и поэтому он "живёт" только на одном сервере DNS, где и был создан.
    10 декабря 2019 г. 10:34
  • Добрый день,

    Был DC1 c 2008 и DC c 2012.

    DC1  - был держатель ролей. 

    Перенес все роли и функционал на DC

    DC1 -понизил и вывел из домена. Вычистил информацию о нем 

    Установил новый DC1 - 2019 - добавил в AD , добавил роль AD DS , засинхронился , получил некоторые ошибки в виде что нету папки NETLOGON (SYSVOL был , создал ручками папку NETLOGON -проблемы решились)

    Начал дальше проверять новый DC1, вижу что DNS все записи и зоны на месте, кроме "Серверы условной пересылки" там нету информации.

    Как решить , спасибо.

    Серверы условной пересылки могут, в зависимости от настройки, храниться как в AD, так и локально в конфигурации сервера DNS. Как было настроено у вас - неведомо, но, скорее всего (если не было ошибок репликации AD) - второй вариант, так что создавайте заново и не парьтесь.

    А вот по поводу создания ручками папки NETLOGON - это вы зря сделали. Не исключено, что этим вы "замели под ковер" проблему с репликацией SYSVOL, которая может вылезти в дальнейшем. Во-первых, проверьте, что у вас содержимое SYSVOL - в основном оно лежит в папке Policies, которая на том же уровне, что и папка Scripts, которая расшаривается как NETLOGON, и выглядит как куча папок с именами в виде GUID - у вас на новом КД присутствует.

    Если его там нет, то, как минимум, скопируйте содержимое папки C:\WINDOWS\SYSVOL\domain (или C:\WINDOWS\SYSVOL_DFSR\domain, если когда-то на старом КД выполнялась миграция FRS->DFSR) в папку C:\WINDOWS\SYSVOL\domain на новом КД. А ещё бы после такого случая неплохо было бы произвести полномочную синхронизацию для SYSVOL (процедура зависит от того, используете ли вы FRS или DFSR), чтобы гарантированно не иметь проблем в случае добавления дополнительных КД.


    Слава России!


    • Изменено M.V.V. _ 10 декабря 2019 г. 10:39
    10 декабря 2019 г. 10:39
  • используется DFS

    в папк SYSVOL нету ни чего на новом DC1

    На старом DC - есть папки, датируются последние 2017 годом.

    Смущает еще то что у нас есть третий DC-inz - находится в другом сайте , у которого папки в sysvol датируются 2019 годом.

    на новом DC1 dcdiag /q выдает следующие ошибки

    C:\Windows\system32>dcdiag /q
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   17:35:53
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   17:40:54
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x0000165B
                Time Generated: 12/10/2019   17:41:36
                Event String: The session setup from computer 'SEMISYNOV_NOTE' failed because the security database does not contain a trust account 'SEMISYNOV_NOTE$' referenced by the specified computer.
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   17:45:55
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   17:50:56
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   17:53:38
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\sysvol\rb.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x000016AD
                Time Generated: 12/10/2019   17:55:45
                Event String: The session setup from the computer SEMISYNOV_NOTE failed to authenticate. The following error occurred:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   17:55:57
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   18:00:57
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   18:05:58
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   18:10:59
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   18:16:00
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   18:21:00
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   18:26:01
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             An error event occurred.  EventID: 0x00000422
                Time Generated: 12/10/2019   18:31:02
                Event String:
                The processing of Group Policy failed. Windows attempted to read the file \\rb.local\SysVol\rb.local\Policies\{992E1A85-E5E4-4C6B-91E4-8A201A2E58F0}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
             ......................... DC1 failed test SystemLog



    • Изменено piligrimmu 11 декабря 2019 г. 3:00
    11 декабря 2019 г. 2:36
  • UPну тему
    11 декабря 2019 г. 7:32
  • Учитывая ваш подход, благодаря которому вы успешно проворонили ошибку репликации SYSVOL, постараюсь давать советы так, чтобы ещё что-нибудь не упустить.

    Проверьте три вещи:

    1. выдача dcdiag /q сделана из командной строки в режиме администратора? Если нет - убедитесь, что не появляются ошибки в других тестах, если выполнить команду из командной строки в режиме администратора

    2. DC-inz - это контроллер того же домена rb.local, что и DC?

    3. На DC в реестре имеется ссылка на старый КД, в месте, упомянутом в этом обсуждении: https://social.technet.microsoft.com/Forums/ru-RU/3b4b9078-2775-4053-97c1-a3eae48aa725/105410961080107310821072?forum=WS8ru

    Если все три проверки положительны, то остановите службу репликации DFS, удалите ссылку на старый КД в реестре, запустите службу и проверьте, не появятся ли папки в SYSVOL. Подождать, может, придется долго - не менее времени периодичности репликации между сайтами (оно настраивается, но не может быть менее 15 минут, по умолчанию - 3 часа).

    Если проверки отрицательны или содержимое SYSVOL не появилось, то надо будет разбираться дальше.


    Слава России!

    11 декабря 2019 г. 11:16
  • 1. Да в режиме Администратора

    2. DC-inz  Да, это контроле того же домена rb.local

    3. На контролере DC1 - в ветке 

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DFSR\Parameters\SysVols\Seeding SysVols\rb.local
    Parent Computer = DC.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTDS\Parameters
    Src Root Domain Srv = DC.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DFSR\Parameters\SysVols\Seeding SysVols\rb.local
    Parent Computer = DC.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTDS\Parameters
    Src Root Domain Srv = DC.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\SysVols\Seeding SysVols\rb.local
    Parent Computer = DC.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    Src Root Domain Srv = DC.rb.local


    На DC

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NTDS\Parameters
    Src Root Domain Srv = DC1.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NTDS\Parameters
    Src Root Domain Srv = DC1.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    Src Root Domain Srv = DC1.rb.local
    

    На DC1-inz (DC-inz)

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NTDS\Parameters
    Src Root Domain Srv = DC1.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\NTDS\Parameters
    Src Root Domain Srv = DC1.rb.local
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters
    Src Root Domain Srv = DC1.rb.local

    Два вопроса:

    На DC1-inz я так понимаю прописано не верное значение должно быть dc.rb.local?

    Один маленький нюанс о котором я писал выше с самого начала, что старый контроллер домена (держатель FSMO ролей) имел имя DC1. После был понижен и выведен из домена. На его место и имя был поднять новый сервер с таким же именем и IP адресом. Критично ли это?





    • Изменено piligrimmu 11 декабря 2019 г. 17:36
    11 декабря 2019 г. 17:16
  • На DC остановите службу репликации DFS, в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\SysVols\Seeding SysVols\rb.local поменяйте параметр "Parent Computer" на DC-inz.rb.local, и запустите службу. Аналогично можете поменять HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Src Root Domain Srv, хотя это совершенно необязательно он относится к начальному заполнению БД AD, которое уже произошло. После чего дождитесь появления среплицированного содержимого SYSVOL (сколько ждать - смю предыдущий ответ).

    Ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 и HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002 не трогайте (это - часть поддержки последней удачной конфигурации в реестре, для работы они не используются).

    На DC-inz можете ничего не трогать: эти установки нужны для начальной синхронизации, а раз она у него давным-давно успешно выполнилась, то это значение больше не используется. Если хотите, можете даже удалить параметр Src Root Domain Srv под ключом HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters, остальные ключи не трогайте (это - часть поддержки последней удачной конфигурации в реестре, для работы они не используются).


    Слава России!

    11 декабря 2019 г. 20:10
  • проблема в том что на DC нету такой ветки как 

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\SysVols\Seeding SysVols\rb.local

    есть 

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters\SysVols\

    Т.е. мне надо ручками дописать?


    • Изменено piligrimmu 11 декабря 2019 г. 20:59
    11 декабря 2019 г. 20:58
  • Не ожидал, что вы (зачем-то) привели содержимое реестра с уже пониженного DC1, который больше не контроллер домена (я правильно понимаю?).

    Руками дописывать не надо. Потому что непонятно, сработает или нет (с немалой вероятностью - не сработает.)

    Надо поступить более просто: провести полномочную синхронизацию репликации DFS (DFSR) на DC-inz, как источнике правильного содержимого SYSVOL для репликации, и неполномочную - на единственном оставшемся кроме него (я правильно понимаю?) контроллере DC. Процедура, как это проводить описана в этом обсуждении. Примечание: вместо команды dfsrdiag (она входит в состав компонента средств администрирования DFS, который на КД может быть и не установлен) с параметром pollad можно просто перезапускать службу репликации DFS. 


    Слава России!

    11 декабря 2019 г. 21:59
  • Нет, DC1 - это контроллер домена , но уже новый на 2019.

    Раньше тоже был DC1 контролер домена но на 2008 windowos.

    И данные приведены с DC1 который сейчас является контроллером домена.

    DC - это основной держатель ролей. Раньше держателем ролей был DC1 (2008).


    • Изменено piligrimmu 12 декабря 2019 г. 2:42
    12 декабря 2019 г. 2:39
  • Да, я порядком запутался в старых и новых DC1. Но, тем не менее, схема решения проблемы остается той же: полномочная синхронизация на выбранном КД - источнике правильного содержимого SYSVOL и неполномочная - на всех остальных в домене. Т.е., в дополнение к написанному выше, на DC1 нужно тоже провести неполномочную синхронизацию.

    Слава России!

    12 декабря 2019 г. 13:04
  • Понял ,

    Еще два вопроса:

    1 Как понять какой КД имеет правильное содержимое SYSVOL  у кого даты свежее тот и правильный?

    2. Про полномочную синхронизацию пока полностью не вчитывался , но там идет речь про D4 и D2 - можно немного разьяснить в двух словах?

    Спасибо.

    12 декабря 2019 г. 13:30
  • 1. Для этого надежнее всего в консоли управления групповой политикой подключиться к каждому КД (в консоли есть возможность выбора КД) и открыть каждую групповую политику в узле Policies - если есть рассогласование версий в базе AD и на SYSVOL, то об этом будет сообщение

    2. "BurFlags = D2/D4 - это магия, которая использовалась для выполнения тех же процедур, но для старой службы синхронизации SYSVOL - FRS (которой в Win2019 уже нет). В статье MS KB она - исключительно для тех, кто слышал про эту магию (а у меня в том обсуждении - для полноты картины), так что не заморачивайтесь, а просто выполняйте процедуры для DFS Replication (DFSR).


    Слава России!


    12 декабря 2019 г. 13:49