none
Не работает контроллер домена Windows Server 2008 R2 RRS feed

  • Вопрос

  • Проблема такая. БЫЛ подыхающий сервер контроллера домена, который создал какой-то криворук ибо внутри бардак.

    Но в домене уже табун учеток и создавать новый - не вариант.

    Поставил на новый сервер Windows Server 2008 R2. Поднял там AD, произошла репликация. Новому серверу были переданы права о чем свидетельствовал вывод команды netdom query fsmo. Начал понижать старый КД и он просто наглухо завис...пришлось дальше убивать в ручную...убил...почистил хвосты на новом КД...перезагрузил...и все...новый КД не стартует. Пересоздал DNS-зоны, к КД можно стало подключаться оснасткой в Диспетчере сервера...но толку, ни автоматизироваться, ни подключиться к домену нельзя...

    Результат dcdiag говорит о том, что нет GC и роль PDC is down.

    Что делать?

    DNS зоны пересмотрел все, вроде верные.

    Directory Server Diagnosis
    
    Performing initial setup:
       Trying to find home server...
       Home Server = OF-MS-MLT-SRV-H
       * Identified AD Forest.
       Done gathering initial info.
    
    Doing initial required tests
    
       Testing server: Default-First-Site-Name\OF-MS-MLT-SRV-H
          Starting test: Connectivity
             ......................... OF-MS-MLT-SRV-H passed test Connectivity
    
    Doing primary tests
    
       Testing server: Default-First-Site-Name\OF-MS-MLT-SRV-H
          Starting test: Advertising
             ......................... OF-MS-MLT-SRV-H passed test Advertising
          Starting test: FrsEvent
             There are warning or error events within the last 24 hours after the
             SYSVOL has been shared.  Failing SYSVOL replication problems may cause
             Group Policy problems.
             ......................... OF-MS-MLT-SRV-H passed test FrsEvent
          Starting test: DFSREvent
             ......................... OF-MS-MLT-SRV-H passed test DFSREvent
          Starting test: SysVolCheck
             ......................... OF-MS-MLT-SRV-H passed test SysVolCheck
          Starting test: KccEvent
             A warning event occurred.  EventID: 0x80000603
                Time Generated: 06/06/2016   14:29:38
                Event String:
                Active Directory Domain Services could not disable the software-base
    d disk write cache on the following hard disk.
             ......................... OF-MS-MLT-SRV-H passed test KccEvent
          Starting test: KnowsOfRoleHolders
             ......................... OF-MS-MLT-SRV-H passed test
             KnowsOfRoleHolders
          Starting test: MachineAccount
             ......................... OF-MS-MLT-SRV-H passed test MachineAccount
          Starting test: NCSecDesc
             ......................... OF-MS-MLT-SRV-H passed test NCSecDesc
          Starting test: NetLogons
             Unable to connect to the NETLOGON share! (\\OF-MS-MLT-SRV-H\netlogon)
             [OF-MS-MLT-SRV-H] An net use or LsaPolicy operation failed with error
             67, The network name cannot be found..
             ......................... OF-MS-MLT-SRV-H failed test NetLogons
          Starting test: ObjectsReplicated
             ......................... OF-MS-MLT-SRV-H passed test
             ObjectsReplicated
          Starting test: Replications
             [Replications Check,OF-MS-MLT-SRV-H] DsReplicaGetInfo(PENDING_OPS,
             NULL) failed, error 0x2105 "Replication access was denied."
             ......................... OF-MS-MLT-SRV-H failed test Replications
          Starting test: RidManager
             ......................... OF-MS-MLT-SRV-H passed test RidManager
          Starting test: Services
                Could not open NTDS Service on OF-MS-MLT-SRV-H, error 0x5
                "Access is denied."
             ......................... OF-MS-MLT-SRV-H failed test Services
          Starting test: SystemLog
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:05:45
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             A warning event occurred.  EventID: 0x000003F6
                Time Generated: 06/06/2016   14:06:57
                Event String:
                Name resolution for the name _msdcs.domain.besoft.ua timed out after
     none of the configured DNS servers responded.
             An error event occurred.  EventID: 0xC000271A
                Time Generated: 06/06/2016   14:28:55
                Event String:
                The server {AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} did not register w
    ith DCOM within the required timeout.
             A warning event occurred.  EventID: 0x80040022
                Time Generated: 06/06/2016   14:29:38
                Event String:
                The driver disabled the write cache on device \Device\Harddisk1\DR1.
    
             A warning event occurred.  EventID: 0x80040022
                Time Generated: 06/06/2016   14:29:38
                Event String:
                The driver disabled the write cache on device \Device\Harddisk1\DR1.
    
             A warning event occurred.  EventID: 0x80040022
                Time Generated: 06/06/2016   14:29:38
                Event String:
                The driver disabled the write cache on device \Device\Harddisk1\DR1.
    
             A warning event occurred.  EventID: 0x000003F6
                Time Generated: 06/06/2016   14:30:18
                Event String:
                Name resolution for the name _ldap._tcp.Default-First-Site-Name._sit
    es.dc._msdcs.domain.besoft.ua timed out after none of the configured DNS servers
     responded.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:30:21
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0xC0001B72
                Time Generated: 06/06/2016   14:30:24
                Event String:
                The following boot-start or system-start driver(s) failed to load:
             A warning event occurred.  EventID: 0x0000000C
                Time Generated: 06/06/2016   14:30:33
                Event String:
                Time Provider NtpClient: This machine is configured to use the domai
    n hierarchy to determine its time source, but it is the AD PDC emulator for the
    domain at the root of the forest, so there is no machine above it in the domain
    hierarchy to use as a time source. It is recommended that you either configure a
     reliable time service in the root domain, or manually configure the AD PDC to s
    ynchronize with an external time source. Otherwise, this machine will function a
    s the authoritative time source in the domain hierarchy. If an external time sou
    rce is not configured or used for this computer, you may choose to disable the N
    tpClient.
             A warning event occurred.  EventID: 0x0000A001
                Time Generated: 06/06/2016   14:30:34
                Event String:
                The Security System could not establish a secured connection with th
    e server ldap/domain.besoft.ua/domain.besoft.ua@DOMAIN.BESOFT.UA. No authenticat
    ion protocol was available.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:30:36
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             A warning event occurred.  EventID: 0x00000090
                Time Generated: 06/06/2016   14:30:49
                Event String:
                The time service has stopped advertising as a good time source.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:30:51
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:31:06
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:31:21
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:31:36
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:31:51
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:32:06
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:32:21
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             A warning event occurred.  EventID: 0x000727AA
                Time Generated: 06/06/2016   14:32:27
                Event String:
                The WinRM service failed to create the following SPNs: WSMAN/OF-MS-M
    LT-SRV-H.domain.besoft.ua; WSMAN/OF-MS-MLT-SRV-H.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:32:36
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0xC00038D6
                Time Generated: 06/06/2016   14:32:51
                Event String:
                The DFS Namespace service could not initialize cross forest trust in
    formation on this domain controller, but it will periodically retry the operatio
    n. The return code is in the record data.
             An error event occurred.  EventID: 0x00000469
                Time Generated: 06/06/2016   14:34:47
                Event String:
                The processing of Group Policy failed because of lack of network con
    nectivity to a domain controller. This may be a transient condition. A success m
    essage would be generated once the machine gets connected to the domain controll
    er and Group Policy has succesfully processed. If you do not see a success messa
    ge for several hours, then contact your administrator.
             An error event occurred.  EventID: 0x00000422
                Time Generated: 06/06/2016   14:36:59
                Event String:
                The processing of Group Policy failed. Windows attempted to read the
     file \\domain.besoft.ua\sysvol\domain.besoft.ua\Policies\{31B2F340-016D-11D2-94
    5F-00C04FB984F9}\gpt.ini from a domain controller and was not successful. Group
    Policy settings may not be applied until this event is resolved. This issue may
    be transient and could be caused by one or more of the following:
             ......................... OF-MS-MLT-SRV-H failed test SystemLog
          Starting test: VerifyReferences
             ......................... OF-MS-MLT-SRV-H passed test VerifyReferences
    
    
       Running partition tests on : ForestDnsZones
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test
             CrossRefValidation
    
       Running partition tests on : DomainDnsZones
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test
             CrossRefValidation
    
       Running partition tests on : Schema
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
    
       Running partition tests on : Configuration
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
    
       Running partition tests on : domain
          Starting test: CheckSDRefDom
             ......................... domain passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... domain passed test CrossRefValidation
    
       Running enterprise tests on : domain.besoft.ua
          Starting test: LocatorCheck
             Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
             A Global Catalog Server could not be located - All GC's are down.
             Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
             A Time Server could not be located.
             The server holding the PDC role is down.
             Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error
             1355
             A Good Time Server could not be located.
             Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
             A KDC could not be located - All the KDCs are down.
             ......................... domain.besoft.ua failed test LocatorCheck
          Starting test: Intersite
             ......................... domain.besoft.ua passed test Intersite
    6 июня 2016 г. 11:43

Ответы

  • Ошибки в тестах FrsEvent и KccEvent - это, скорее всего, следы тёмного прошлого. Посмотрите соответствующие журналы событий - Directory service и File replication service - если аналогичные ошибки там не будут появляться в дальнейшем, то всё нормально.

    Ошибка в тесте Netlogons вызвана тем, что у вас нет папки Scripts в SYSVOL (C:\WINDOWS\SYSVOL\domain она же C:\WINDOWS\SYSVOL\sysvol\ domain.besoft.ua) . Создайте её и перезапустите службу Netlogon - должна появиться.

    Что касается содержимого SYSVOL, то нужно было раньше проверять, что оно среплицировалось. А теперь его придётся восстанавливать. Если нет возможности подключить диск со старого сервера и забрать его оттуда (нужно скопировать всё содержимое папки C:\WINDOWS\SYSVOL\domain ), то остаётся средство последней надежды - сброс политик с помощью dcgpofix


    Слава России!

    6 июня 2016 г. 15:04
  • Что-то я совсем запутался: сколько у вас контроллеров домена и как они называются? Я думал, что у вас контроллеров домена два: один - старый, погибший при понижении, второй - новый. А, оказывается, у вас их больше. В связи с этим, огласите весь список, пожалуйста, по возможности - с комментариями, описывающими ОС жизненный путь этих контроллеров.

    Обе проблемы вызваны, скорее всего, тем, что на контроллеры домена не среплицировалось начальное содержимое SYSVOL. Причины - см. журнал событий File Replication Service на исходном и на пострадавших контроллерах домена.

    PS Если эти контроллеры были работоспособны до гибели старого контроллера домена, то на них могло остаться содержимое SYSVOL - в самой папке SYSVOL (%SystemRoot%\SYSVOL\DOMAIN или же в скрытых папках DO_NOT_REMOVE_NtFrs_PreInstall_Directory или NtFrs_PreExisting___See EventLog в этой папке).


    Слава России!

    7 июня 2016 г. 11:41

Все ответы

  • Для начала подключитесь консолью AD Sites and Services к контроллеру домена и проверьте в свойствах его дочернего объекта, что галка Global Catalog включена. Если нет - включите.

    Далее, проверьте регистрацию записей для нового сервера в DNS командой dcdiag /Test:DNS И проверьте на самом контроллере и на клиентах, что в сетевых подключения не настроены лишние серверы DNS (кроме самого контроллера домена).

    Хотя это  и не относится напрямую к вашей проблеме, посмотрите содержимое папки C:\WINDOWS\SYSVOL\sysvol\domain.besoft.ua - есть ли в ней содержимое: папки Policies и Scripts (именно последняя и должна делаться общей папокй под именем NETLOGON, которой у вас нет). Если содержимого нет - скопируйте его с аналогичной папки на старом контроллере домена или из резервной копии.

    И последнее: команды для диагностики (dcdiag и прочие) нужно запускать из командной строки в режиме адимнистратора. Например, в приведённой выше выдаче не видно, нет ли проблем с репликацией AD (то есть, в вашем случае, не остались ли в ней следы старого контроллера домена).

    PS Если захотите ещё раз выкладывать выдачу dcdiag, запускайте эту команду с ключом /skip:SystemLog, чтобы не выкладывать всю ту кучу не имеющих отношения к работе AD ошибок и предупреждений, которые есть в журнале событий System.


    Слава России!

    6 июня 2016 г. 12:33
  • 1. Галочка стоит.

    2. Тест пройден без ошибок.

    3. Папка пустая, бэкапа нет((

    ________________________

    Спустя некоторое время

    ________________________

    Остановил репликацию, включил в реестре установил в реестре параметр D4.

    Запустил...

    Все заработало...

    Но есть вот такой вот срач:

    Directory Server Diagnosis

    Performing initial setup:
       Trying to find home server...
       Home Server = OF-MS-MLT-SRV-H
       * Identified AD Forest.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\OF-MS-MLT-SRV-H
          Starting test: Connectivity
             ......................... OF-MS-MLT-SRV-H passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\OF-MS-MLT-SRV-H
          Starting test: Advertising
             ......................... OF-MS-MLT-SRV-H passed test Advertising
          Starting test: FrsEvent
             There are warning or error events within the last 24 hours after the SYSVOL has been shared.  Failing SYSVOL
             replication problems may cause Group Policy problems.
             ......................... OF-MS-MLT-SRV-H passed test FrsEvent
          Starting test: DFSREvent
             ......................... OF-MS-MLT-SRV-H passed test DFSREvent
          Starting test: SysVolCheck
             ......................... OF-MS-MLT-SRV-H passed test SysVolCheck
          Starting test: KccEvent
             An error event occurred.  EventID: 0xC0000466
                Time Generated: 06/06/2016   16:47:48
                Event String:
                Active Directory Domain Services was unable to establish a connection with the global catalog.
             ......................... OF-MS-MLT-SRV-H failed test KccEvent
          Starting test: KnowsOfRoleHolders
             ......................... OF-MS-MLT-SRV-H passed test KnowsOfRoleHolders
          Starting test: MachineAccount
             ......................... OF-MS-MLT-SRV-H passed test MachineAccount
          Starting test: NCSecDesc
             ......................... OF-MS-MLT-SRV-H passed test NCSecDesc
          Starting test: NetLogons
             Unable to connect to the NETLOGON share! (\\OF-MS-MLT-SRV-H\netlogon)
             [OF-MS-MLT-SRV-H] An net use or LsaPolicy operation failed with error 67, The network name cannot be found..
             ......................... OF-MS-MLT-SRV-H failed test NetLogons
          Starting test: ObjectsReplicated
             ......................... OF-MS-MLT-SRV-H passed test ObjectsReplicated
          Starting test: Replications
             ......................... OF-MS-MLT-SRV-H passed test Replications
          Starting test: RidManager
             ......................... OF-MS-MLT-SRV-H passed test RidManager
          Starting test: Services
             ......................... OF-MS-MLT-SRV-H passed test Services
          Starting test: VerifyReferences
             ......................... OF-MS-MLT-SRV-H passed test VerifyReferences


       Running partition tests on : ForestDnsZones
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation

       Running partition tests on : DomainDnsZones
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation

       Running partition tests on : Schema
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation

       Running partition tests on : Configuration
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation

       Running partition tests on : domain
          Starting test: CheckSDRefDom
             ......................... domain passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... domain passed test CrossRefValidation

       Running enterprise tests on : domain.besoft.ua
          Starting test: LocatorCheck
             ......................... domain.besoft.ua passed test LocatorCheck
          Starting test: Intersite
             ......................... domain.besoft.ua passed test Intersite
    PS C:\Windows\system32>

    • Изменено VladMasters 6 июня 2016 г. 14:05
    6 июня 2016 г. 12:53
  • Ошибки в тестах FrsEvent и KccEvent - это, скорее всего, следы тёмного прошлого. Посмотрите соответствующие журналы событий - Directory service и File replication service - если аналогичные ошибки там не будут появляться в дальнейшем, то всё нормально.

    Ошибка в тесте Netlogons вызвана тем, что у вас нет папки Scripts в SYSVOL (C:\WINDOWS\SYSVOL\domain она же C:\WINDOWS\SYSVOL\sysvol\ domain.besoft.ua) . Создайте её и перезапустите службу Netlogon - должна появиться.

    Что касается содержимого SYSVOL, то нужно было раньше проверять, что оно среплицировалось. А теперь его придётся восстанавливать. Если нет возможности подключить диск со старого сервера и забрать его оттуда (нужно скопировать всё содержимое папки C:\WINDOWS\SYSVOL\domain ), то остаётся средство последней надежды - сброс политик с помощью dcgpofix


    Слава России!

    6 июня 2016 г. 15:04
  • да я политики уже руками с 0 напишу...спасибо за подсказки...
    6 июня 2016 г. 18:08
  • осталось 2 проблемы:

    Unable to connect to the NETLOGON share! (\\OF-NFS-DC-SRV-H\netlogon)
    [OF-NFS-DC-SRV-H] An net use or LsaPolicy operation failed with error 67, The network name cannot be found..

    ____

    Starting test: Advertising
       Warning: DsGetDcName returned information for \\of-dvr-dc-srv-p.domain.besoft.ua, when we were trying to reach
       OF-NFS-DC-SRV-H.
       SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.

  • Что-то я совсем запутался: сколько у вас контроллеров домена и как они называются? Я думал, что у вас контроллеров домена два: один - старый, погибший при понижении, второй - новый. А, оказывается, у вас их больше. В связи с этим, огласите весь список, пожалуйста, по возможности - с комментариями, описывающими ОС жизненный путь этих контроллеров.

    Обе проблемы вызваны, скорее всего, тем, что на контроллеры домена не среплицировалось начальное содержимое SYSVOL. Причины - см. журнал событий File Replication Service на исходном и на пострадавших контроллерах домена.

    PS Если эти контроллеры были работоспособны до гибели старого контроллера домена, то на них могло остаться содержимое SYSVOL - в самой папке SYSVOL (%SystemRoot%\SYSVOL\DOMAIN или же в скрытых папках DO_NOT_REMOVE_NtFrs_PreInstall_Directory или NtFrs_PreExisting___See EventLog в этой папке).


    Слава России!

    7 июня 2016 г. 11:41