none
Периодически падает репликация с одним из DC в лесу RRS feed

  • Общие обсуждения

  • Доброго времени суток! Проблема заключается в следующем. Есть лес (более чем на 26 доменов) в это лесу есть один домен, который в силу самых прискорбных обстоятельств погиб. Его пересоздали, на том же сайте с новым именем и соответственно заново заводили в него оба DC (Win2012R2). И с этого момента начинается веселье.

    Один DC живет в самом филиале и представляет собой полноценный комп. Второй в головном офисе компании и является виртуалкой с проброшенным под нее тоннелем. 

    Первый DC живет, работает и не кашляет, хотя заводился позже второго. На втором же раз в сутки отваливается реплика. dcdiag выдает 3 ошибки

    Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x0000041E
                Время создания: 09/21/2017   09:43:35
                Строка события:
                Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 09/21/2017   09:43:39
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить новые параметры групповой политики для этого пользователя или компьютера. На вкладке "Подробности" можно найти код и описание ошибки. Windows автоматически повторит попытку выполнения этой операции при следующем цикле обновления. Присоединенные к домену компьютеры должны успешно проходить процесс разрешения имени и иметь подключение к контроллеру домена для обнаружения новых объектов групповой политики и их параметров. Когда обработка групповой политики будет выполнена успешно, это событие будет записано в журнал.
             Возникла ошибка. Код события (EventID): 0x00000406
                Время создания: 09/21/2017   09:49:37
                Строка события:
                Ошибка при обработке групповой политики. Windows пыталась получить новые параметры групповой политики для этого пользователя или компьютера. На вкладке "Подробности" можно найти код и описание ошибки. Windows автоматически повторит попытку выполнения этой операции при следующем цикле обновления. Присоединенные к домену компьютеры должны успешно проходить процесс разрешения имени и иметь подключение к контроллеру домена для обнаружения новых объектов групповой политики и их параметров. Когда обработка групповой политики будет выполнена успешно, это событие будет записано в журнал.

    В журнале появляются 3 ошибки: 2 - 1030 и одна -1054. У всех источник GroupPolicy (Microsoft-Windows-GroupPolicy).

    При этом repadmin /syncall и repadmin /showrepl ошибок не показывает, но при проверке репликаций с помощью AD Replication Status Tool появляется ошибка, что не удалось получить информацию о состоянии репликации, хотя в логах реплики есть и реплики эти свежие. 

    По настройкам сети: основным DNSом стоит IP самого контроллера, альтернативным второй DC в этом домене. 

    На обоих подняты роли DNS, соответственно. Серверами пересылки стоят DNSы провайдера и IP корневого контроллера леса. 

    После перезагрузки данного DC ошибка пропадает, но максимум через 2 дня появляется снова. 

    Гуглить пытался. Гуглю уже 3 дня к ряду, ничего, что мне помогло бы или хоть немного полезного не нашел. 

    Если кто сталкивался, подскажите куда копать, что можно сделать.

    Стоит так же отметить, что уже понижали роль проблемного DC и выводили его из домена (заново была создана виртуалка, была заново установлена винда - полностью чистый новый DC), но ситуация начала снова повторяться.
    Так же было обнаружено, что вывод команды dcdiag меняется после ребута. 

    Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x0000001E
                Время создания: 09/21/2017   13:46:26
                Строка события:
                Служба ведения журнала событий обнаружила ошибку (5) в ходе открытия доступа к каналу Microsoft-Windows-Kernel-ShimEngine/Operational для издателя {0BF2FB94-7B60-4B4D-9766-E82F658DF540}. Данная ошибка не влияет на работу канала, но не позволяет издателю публиковать события в канале. Одна из распространенных причин этой ошибки заключается в том, что поставщик использует систему безопасности поставщика трассировки событий Windows, но не предоставил необходимые права для удостоверения службы журнала событий.
             Возникла ошибка. Код события (EventID): 0x0000001E
                Время создания: 09/21/2017   13:46:28
                Строка события:
                Служба ведения журнала событий обнаружила ошибку (5) в ходе открытия доступа к каналу Microsoft-Windows-Kernel-ShimEngine/Operational для издателя {0BF2FB94-7B60-4B4D-9766-E82F658DF540}. Данная ошибка не влияет на работу канала, но не позволяет издателю публиковать события в канале. Одна из распространенных причин этой ошибки заключается в том, что поставщик использует систему безопасности поставщика трассировки событий Windows, но не предоставил необходимые права для удостоверения службы журнала событий.
             Возникло предупреждение. Код события (EventID): 0x00001796
                Время создания: 09/21/2017   13:51:04
                Строка события:
                Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.

             ......................... IZMORKADC-SEC - не пройдена проверка
             SystemLog


    • Изменено DarthDavos 21 сентября 2017 г. 7:15 новые данные
    21 сентября 2017 г. 5:56

Все ответы

  • Нужно для начала посмотреть, что показывает тест DNS (dcdiag /test:DNS) во время возникновения ошибки.

    Имеет также смысл попробовать зайти с него на общую папку SYSVOL домена в это же время.

    И имеет смысл целиком посмотреть хотя бы одно из событий с кодом 1030 на предмет кода ошибки и прочей дополнительной информации.


    Слава России!

    21 сентября 2017 г. 11:25
  • Проблему судя по всему удалось решить. Решение оказалось Слишком тривиальным. Установил все обновления на ОС. Всем спасибо, тему можно закрывать.
    25 сентября 2017 г. 0:52
  • Обновление системы дало передышку в 3 дня. Проблема сохраняется.

    C:\Windows\system32>dcdiag /test:dns

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = izmorkadc-sec
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: SiteIjm\IZMORKADC-SEC
          Запуск проверки: Connectivity
             ......................... IZMORKADC-SEC - пройдена проверка
             Connectivity

    Выполнение основных проверок

       Сервер проверки: SiteIjm\IZMORKADC-SEC

          Запуск проверки: DNS

             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... IZMORKADC-SEC - пройдена проверка DNS

       Выполнение проверок разделов на: DomainDnsZones

       Выполнение проверок разделов на: izhmorka

       Выполнение проверок разделов на: ForestDnsZones

       Выполнение проверок разделов на: Schema

       Выполнение проверок разделов на: Configuration

       Выполнение проверок предприятия на: kek.kemnet.ru
          Запуск проверки: DNS
             Отчет о результатах проверки DNS-серверов, используемых приведенными
             выше контроллерами домена:

                DNS-сервер: 62.78.95.245 (<name unavailable>)
                   1 - проверка на данном DNS-сервере не пройдена
                   Name resolution is not functional. _ldap._tcp.kek.kemnet.ru. fail
    ed on the DNS server 62.78.95.245

                DNS-сервер: 77.88.8.8 (<name unavailable>)
                   1 - проверка на данном DNS-сервере не пройдена
                   Name resolution is not functional. _ldap._tcp.kek.kemnet.ru. fail
    ed on the DNS server 77.88.8.8

                DNS-сервер: 8.8.8.8 (<name unavailable>)
                   1 - проверка на данном DNS-сервере не пройдена
                   Name resolution is not functional. _ldap._tcp.kek.kemnet.ru. fail
    ed on the DNS server 8.8.8.8

             ......................... kek.kemnet.ru - пройдена проверка DNS

    Вот вывод команды dcdiag /test:dns

    Не совсем понятно, почему он ломится на ДНСы провайдера и гугл с яндексом. Вернее понятно, что они указаны у него в серверах пересылки и видимо именно поэтому он туда лезет, но почему он не проверяет ДНСы леса? Ведь именно они важны для реплики, а не ДНС провайдера.

    На сетевой карте у DC ДНСами указан он сам и второй контроллер (приоритетный и альтернативный соответственно)
    • Изменено DarthDavos 26 сентября 2017 г. 7:56
    26 сентября 2017 г. 7:54
  • Ломиться он туда может, если у него две сетевые карты, и на второй настроены внешние DNS. Если так, то их надо оттуда убрать. Аналогично - у клиентов.


    Слава России!

    26 сентября 2017 г. 9:30
  • Как раз в том-то и дело, что сетевая карта на нем одна.
    27 сентября 2017 г. 1:18