none
Добавление второго контроллера домена, после потери и частичного восстановления RRS feed

  • Вопрос

  • Доброго дня!

    Сегодня умерли 2 контроллера домена. Очень странно умерли, но это уже не важно. 1 из них вернули, захватили роли. Но:

    1) на нем у администраторов домена, схемы, предприятия нет прав. Ну т.е. даже настройки сети не могу поправить

    2)ДНС резолвится, пользователи авторизуются, машины в домен добавлять могу.

    3)пытаюсь добавить новый контроллер домена. До этого всё было на 2012r2 соответствующего уровня домена. Поскольку всё равно контроллер добавлять - решено ставить 2016. Сервер установлен, заведен в домен, но при попытке настроить роль AD происходит ошибка на пункте "Дополнительные параметры". Текст ошибки: Ошибка при определении необходимости adprep для целевой среды: Ошибка при проверке: Ошибка при проверке: Не удалось проверить членство указанного пользователя в группах.     Исключение: Отказано в доступе \n Сведения: Test.VerifyADPrepCredential.ADPrep.Win32Exception.-2147467259

    Будьте добры, подскажите куда копать?

    3 февраля 2019 г. 20:59

Ответы

  • 1) Да, пользователей могу создавать любых. Но на это КД прав ни новые ни старые админы любого уровня прав не имеют

    2) Его выкорчевал из схемы, из днс как только понял что его не вернуть

    3) Роли все захвачены. GC? Подскажите что это и как проверить. В логах ошибки за последний час всего 2:

    Ошибка при обработке групповой политики. Не удалось разрешить имя пользователя. Возможные причины: 
    a) Ошибка разрешения имен на текущем контроллере домена. 
    b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).

    и

    Не удалось установить сеанс с компьютера "DAF", так как указанная компьютером учетная запись доверия "DAF$" отсутствует в базе данных безопасности.  

    Действие пользователя  
    Если такое событие произошло впервые для данного компьютера и данной учетной записи, возможно, это временное состояние, не требующее выполнения каких-либо действий в данный момент.  Если это контроллер домена только для чтения, а "DAF$" является действительной учетной записью компьютера "DAF", то "DAF" следует отметить как снабженный кэшем для этой папки при необходимости или в противном случае обеспечить возможность подключения к контроллеру домена при обслуживании запроса (например, контроллера домена, доступного для записи).  В противном случае для устранения ошибки можно предпринять следующие шаги.r  .

    Вторая - это старый комп, который никому не нужен.

    ------------

    Из нового: на просторах течнета нашёл что наличие групп Exchange мешает управлению домена. Т.к. уже готов хоть к бабке идти - удалил у себя все роли Эксча. И тадам - контроллер добавился. Но сначала как-то не до конца. Диспетчер серверов писал что уровень сервера поднят, но сервер не объявляет себя контроллером домена. При этом ДНС отреплицировалось, пользователи и группы в Управлении пользователями АД отображались и создавались. Папок Sysvol и Netlogon не создалось, сетевых шар с такими именами не появилось. Поскольку не спал уже сутки - забил и пошёл спать. Сейчас встал, перезагрузил этот КД и: УРА! Всё заработало. Репликация прошла, папки появились. Днс отдаётся, всё хорошо. Сегодня-завтра буду мониторить - если все хорошо, то передам владельца на новый КД и погашу старый. Затем буду подниматься на 2016 уровень... Всем спасибо...

    UPD Локальные админские права на первый КД тоже вернулись.
    • Изменено Gulida.O 4 февраля 2019 г. 7:40
    • Помечено в качестве ответа Gulida.O 4 февраля 2019 г. 7:40
    4 февраля 2019 г. 7:07

Все ответы

  • UPD1 Установлена 2012 - тоже не дает поднять до контроллера домена. Ошибка "Проверка прав администратора не пройдена. Отказано в доступе". Выполняется под учетной записью администратора схемы и предприятия.

    Под этой учеткой есть ошибки при запуске DCDIAG 

       ......................... DC1 - пройдена проверка NCSecDesc
    Запуск проверки: NetLogons
       [TR-DC1] В учетных данных пользователя отсутствует разрешение на выполнение данной операции.
       Учетная запись, используемая для этой проверки, должна иметь права на вход в сеть

         ......................... DC1 - пройдена проверка RidManager
      Запуск проверки: Services
            Не удалось открыть службу NTDS в TR-DC1, ошибка 0x5 "Отказано в доступе."
         ......................... DC1 - не пройдена проверка Services
      Запуск проверки: SystemLog
         Возникла ошибка. Код события (EventID): 0x0000041D
            Время создания: 02/04/2019   02:28:41
            Строка события:
            Ошибка при обработке групповой политики. Не удалось разрешить имя пользователя. Возможные причины:
         ......................... DC1 - не пройдена проверка SystemLog

    И в то же время, если запустить DCDIAG от имени DSRMAdmin (которого я разрешил временно НЕ в безопасном режиме) - проверка проходит. Выходит - слетели права доменные... Как их вернуть?

    4 февраля 2019 г. 1:29
  • 1. Есть возможность создать нового администратора домена?

    2. Если второй КД восстановить так и не удалось, то нужно везде удалить его "следы".

    3. Проверьте что вы захватили все роли FSMO + GC, и что в логах нет критических ошибок, а так как они скорее всего есть, то поделитесь с нами.

    4 февраля 2019 г. 5:49
  • 1) Да, пользователей могу создавать любых. Но на это КД прав ни новые ни старые админы любого уровня прав не имеют

    2) Его выкорчевал из схемы, из днс как только понял что его не вернуть

    3) Роли все захвачены. GC? Подскажите что это и как проверить. В логах ошибки за последний час всего 2:

    Ошибка при обработке групповой политики. Не удалось разрешить имя пользователя. Возможные причины: 
    a) Ошибка разрешения имен на текущем контроллере домена. 
    b) Запаздывание репликации Active Directory (созданная на другом контроллере домена учетная запись еще не реплицирована на текущий контроллер домена).

    и

    Не удалось установить сеанс с компьютера "DAF", так как указанная компьютером учетная запись доверия "DAF$" отсутствует в базе данных безопасности.  

    Действие пользователя  
    Если такое событие произошло впервые для данного компьютера и данной учетной записи, возможно, это временное состояние, не требующее выполнения каких-либо действий в данный момент.  Если это контроллер домена только для чтения, а "DAF$" является действительной учетной записью компьютера "DAF", то "DAF" следует отметить как снабженный кэшем для этой папки при необходимости или в противном случае обеспечить возможность подключения к контроллеру домена при обслуживании запроса (например, контроллера домена, доступного для записи).  В противном случае для устранения ошибки можно предпринять следующие шаги.r  .

    Вторая - это старый комп, который никому не нужен.

    ------------

    Из нового: на просторах течнета нашёл что наличие групп Exchange мешает управлению домена. Т.к. уже готов хоть к бабке идти - удалил у себя все роли Эксча. И тадам - контроллер добавился. Но сначала как-то не до конца. Диспетчер серверов писал что уровень сервера поднят, но сервер не объявляет себя контроллером домена. При этом ДНС отреплицировалось, пользователи и группы в Управлении пользователями АД отображались и создавались. Папок Sysvol и Netlogon не создалось, сетевых шар с такими именами не появилось. Поскольку не спал уже сутки - забил и пошёл спать. Сейчас встал, перезагрузил этот КД и: УРА! Всё заработало. Репликация прошла, папки появились. Днс отдаётся, всё хорошо. Сегодня-завтра буду мониторить - если все хорошо, то передам владельца на новый КД и погашу старый. Затем буду подниматься на 2016 уровень... Всем спасибо...

    UPD Локальные админские права на первый КД тоже вернулись.
    • Изменено Gulida.O 4 февраля 2019 г. 7:40
    • Помечено в качестве ответа Gulida.O 4 февраля 2019 г. 7:40
    4 февраля 2019 г. 7:07