none
Неправильно восстановил виртуальную машину с контроллером домена RRS feed

  • Вопрос

  • Давно было создана виртуалка 2-го поколения с AD. Когда-то все навернулось и конфиг был утерян. Виртуалка была пересоздана и ей был подсунут старый жесткий диск. ИД оборудования сменилось. Поколение изменил на 1-е, так как на 2-м не запустилось. Вероятно, в связи с этим возникают какие-то не очевидные проблемы.

    Ошибки такие в логах:

    ____________________

    Служба времени перестала объявлять себя как источник времени.

    Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/server00.domain.local, WSMAN/server00 (Была получена ошибка "1335")

    _______________________

    Самое стремное:

    NTP-клиент поставщика времени: этот компьютер настроен на использование доменной иерархии для определения своего источника времени, но при этом он является эмулятором основного контроллера домена Active Directory для домена в корне леса, поэтому в доменной иерархии не существует компьютера, расположенного выше, который можно использовать как источник времени. Рекомендуется настроить надежную службу времени в корневом домене или вручную настроить основной контроллер домена Active Directory для синхронизации с внешним источником времени. В противном случае этот компьютер будет выступать в роли заслуживающего доверия источника времени в доменной иерархии. Если внешний источник времени не настроен или не используется для этого компьютера, можно отключить NTP-клиент.

    _____________________

    Microsoft Windows Server обнаружено, что в настоящее время между клиентами и этим сервером используется проверка подлинности NTLM. Это событие возникает один раз при каждой загрузке, когда клиент первый раз использует NTLM с этим сервером.
     
    NTLM представляет собой менее надежный механизм проверки подлинности. Проверьте следующее:
     
          Какие приложения используют проверку подлинности NTLM?
          Имеются ли какие-либо проблемы с конфигурацией, препятствующие использованию более строгой проверки подлинности, такой как Kerberos?
          Если необходима поддержка NTLM, настроена ли усиленная защита?

    _______________

    Еще две странности, при нормальном выключении винды она создает события о непредвиденном завершении заботы, будто ее с питания выключили. Еще постоянно пишет о том, что был восстановлен какой-то куст в реестре.

    При всем этом, все работает и проблем нет, однако, хочется все сделать нормально.

    На этой машине только AD, Шара и акронис который ее бэкапит.

    Кстати, почему-то как только я пытаюсь акронисом забэкапить шару с одной вхдшки на другую, она исчезает и система ее не видит до перезагрузки, это ну просто что вообще такое?

    Спасибо.

    13 ноября 2015 г. 10:02

Ответы

  • рекомендация автору вопроса

    Попробуйте создать виртуалку 2го поколения, по всем канонам поднять на ней 2й кд

    Дождаться репликации

    Смигрить роли fsmo и выключить 1ю виртуалку (не удалить а именно выключить) и понаблюдать за тем как себя будут чувствовать машины и пользователи...


    The opinion expressed by me is not an official position of Microsoft


    18 ноября 2015 г. 8:38
    Модератор

Все ответы

  • Думаю разумным было бы создать еще один контроллер домена и перенести все туда.
    13 ноября 2015 г. 10:18
  • Думаю разумным было бы создать еще один контроллер домена и перенести все туда.

    1 кд это всегда грустно, минимально необходимым является 2 при чем желательно что бы 1 из них был железный...

    The opinion expressed by me is not an official position of Microsoft


    • Изменено Vector BCOModerator 13 ноября 2015 г. 13:38 поправлено "к" на "кд"
    13 ноября 2015 г. 10:34
    Модератор
  • dcdiag пробовали?

    The opinion expressed by me is not an official position of Microsoft

    13 ноября 2015 г. 10:35
    Модератор
  • Да, почти все пройдено, кроме DFSR event, там что то про репликацию sys vol, но мне некуда реплицировать
    13 ноября 2015 г. 13:25
  •  при чем желательно что бы 1 из них был железный...


    The opinion expressed by me is not an official position of Microsoft


    А почему именно так?? Просто я не очень понимаю что такого в виртуализированном контроллере? Поделитесь пожалуйста мыслями.
    17 ноября 2015 г. 20:50
  • А почему именно так?? Просто я не очень понимаю что такого в виртуализированном контроллере? Поделитесь пожалуйста мыслями.

    Это накладывается некоторыми особенностями виртуализации, например синхронизация времени с хостом

    Имеем хост виртуализации который может збойнуть (например села батарейка и на выходных выключили свет) после сбоя получаем значение часов например 12:00 1.01.2001, как следствие виртуальные машины через средства интеграции могут получить значение времени от хоста при старте (как правило это можно отключить) и далее получаем рассинхрон доверительных отношений между всеми хостами...

    по этому нужно иметь как минимум 2 кд (которые физически находятся на разных железках)

    Так же есть проблемы при возврате в чекпоинты, это может привести к выдаче одинаковых SID разным объектам...

    Некоторые (многие) вопросы снимаются в виртуалках 2го поколения, но правила про 2 кд это не отменяет


    The opinion expressed by me is not an official position of Microsoft

    17 ноября 2015 г. 21:27
    Модератор
  • Эм... На сколько я понимаю, на контроллерах домена синхрониацию часов надо выключать ОДНОЗНАЧНО. На это есть причина и она не сколько в том, что он может взять время не то.. А по причине того, что если время будет правится извне, то он перестанет себя объявлять как источник точного времени со всеми вытекающими....

    По поводу одинаковых SID возможно, хотя не слышал о такой проблеме. Но мне кажется что только совсем полоумному придет в голову делать снепшоты на контроллере домена ))) Это на столько тонкая материя, что .. Уж вроде вон Exchange и то нельзя снепшотить. 

    У меня есть одна причина, по которой я бы имел железный - Время старта у него быстрее чем у виртуалки, по этому всякие службы, зависящие от него будут себя чувствовать лучше, тот же Exchange.

    НО КОНЕЧНО, я с вами абсолютно согласен, что лучше всего делать два контроллера домена на разных хостах. У меня в дочерней конторе 39 человек, и там  у меня и то два контроллера. Один правда совсем с чахлыми характеристиками, но если что .. ))

    18 ноября 2015 г. 5:26
  • рекомендация автору вопроса

    Попробуйте создать виртуалку 2го поколения, по всем канонам поднять на ней 2й кд

    Дождаться репликации

    Смигрить роли fsmo и выключить 1ю виртуалку (не удалить а именно выключить) и понаблюдать за тем как себя будут чувствовать машины и пользователи...


    The opinion expressed by me is not an official position of Microsoft


    18 ноября 2015 г. 8:38
    Модератор