none
Нет репликации между КД, ошибок dcdiag нет RRS feed

  • Вопрос

  • Привет, коллеги!
    Столкнулся я вчера с непонятной проблемой, опишу порядок событий:
    1. Создал я вчера политику, назначил её определённым машинам и юзерам
    2. Пошел смотреть как она выполняется, а выполняется она никак(, т.е. те машины которые подсоединены к SERVER-1(это второй КД), у них при gpupdate вылезают ошибки, что файл политики не найден(указан путь до файла в виде \\домен\SYSVOL\{GUID}\gpt.ini), а те машины который имеют доступ к SERVER-2(основной КД, +все роли), gpupdate без ошибок, но таких машин буквально три юзера и моя.
    3. Первым делом на обоих КД запуск dcdiag, но проблем не выявлено. Перезагруз обоих КД, вылезли ошибки, даже не ошибки, а жалоба на ошибки в репликации за последние 24 часа. Команда repadmin /syncall и repadmin /showrepl также ошибок не выявили.
    4. Причем, если в оснастке "Управление групповой политикой" сменить КД на SERVER-1(второй КД), то политика как бы видна, но при попытке чтения вылезает сообщение "Не удаётся найти указанный файл"
    Дополнительно проверен DNS, ошибок также нет.
    У кого-нибудь есть еще какие-нибудь мысли, я чет уже всё, не знаю что делать.
    Вот мои проверки:

    C:\Windows\system32>dcdiag
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = Server-1
       * Определен лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\SERVER-1
          Запуск проверки: Connectivity
             ......................... SERVER-1 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\SERVER-1
          Запуск проверки: Advertising
             ......................... SERVER-1 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... SERVER-1 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... SERVER-1 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... SERVER-1 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x80000829
                Время создания: 01/15/2014   09:19:35
                Строка события:
                Этот раздел каталога не архивировался по крайней мере указанное коли
    чество дней.
             Возникло предупреждение. Код события (EventID): 0x80000829
                Время создания: 01/15/2014   09:19:35
                Строка события:
                Этот раздел каталога не архивировался по крайней мере указанное коли
    чество дней.
             Возникло предупреждение. Код события (EventID): 0x80000829
                Время создания: 01/15/2014   09:19:35
                Строка события:
                Этот раздел каталога не архивировался по крайней мере указанное коли
    чество дней.
             Возникло предупреждение. Код события (EventID): 0x80000829
                Время создания: 01/15/2014   09:19:35
                Строка события:
                Этот раздел каталога не архивировался по крайней мере указанное коли
    чество дней.
             Возникло предупреждение. Код события (EventID): 0x80000829
                Время создания: 01/15/2014   09:19:35
                Строка события:
                Этот раздел каталога не архивировался по крайней мере указанное коли
    чество дней.
             ......................... SERVER-1 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... SERVER-1 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... SERVER-1 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... SERVER-1 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... SERVER-1 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... SERVER-1 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             ......................... SERVER-1 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... SERVER-1 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... SERVER-1 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x000003FC
                Время создания: 01/15/2014   09:20:34
                Строка события:
                Область 192.168.3.0 уже использована на 82 процентов, свободно IP-ад
    ресов 12.
             Возникло предупреждение. Код события (EventID): 0x00000560
                Время создания: 01/15/2014   09:20:34
                Строка события:
                Диапазон IP-адресов области 192.168.3.0 распределен на 82 %%; доступ
    но IP-адресов: 12.
             ......................... SERVER-1 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... SERVER-1 - пройдена проверка
             VerifyReferences
    
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: base
          Запуск проверки: CheckSDRefDom
             ......................... base - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... base - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: base.*****.ru
          Запуск проверки: LocatorCheck
             ......................... base.*****.ru - пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... base.*****.ru - пройдена проверка
             Intersite
    C:\Windows\system32>ipconfig /all
    
    Настройка протокола IP для Windows
    
       Имя компьютера  . . . . . . . . . : Server-1
       Основной DNS-суффикс  . . . . . . : base.*****.ru
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : base.*****.ru
    
    Ethernet adapter Ethernet:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
       Физический адрес. . . . . . . . . : 00-15-5D-03-6E-06
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.3.11(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.3.13
       DNS-серверы. . . . . . . . . . . : 192.168.3.12
                                           192.168.3.11
                                           127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен
    
    Туннельный адаптер isatap.{3F78D830-BEBD-4B61-8D5C-F57F453CBE89}:
    
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    Туннельный адаптер Teredo Tunneling Pseudo-Interface:
    
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    C:\Windows\system32>repadmin /showrepl
    
    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    Default-First-Site-Name\SERVER-1
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 74327a36-d364-4818-8d2f-372eb4824a12
    DSA - код вызова: fe27f724-71d0-4a05-abbe-9d1230a47903
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-2 через  RPC
            DSA - GUID объекта: 68a8f230-0b00-474b-92e0-5bfa02cf6084
            Последняя попытка @ 2014-01-15 09:32:48 успешна.
    
    CN=Configuration,DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-2 через  RPC
            DSA - GUID объекта: 68a8f230-0b00-474b-92e0-5bfa02cf6084
            Последняя попытка @ 2014-01-15 08:49:36 успешна.
    
    CN=Schema,CN=Configuration,DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-2 через  RPC
            DSA - GUID объекта: 68a8f230-0b00-474b-92e0-5bfa02cf6084
            Последняя попытка @ 2014-01-15 08:49:36 успешна.
    
    DC=ForestDnsZones,DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-2 через  RPC
            DSA - GUID объекта: 68a8f230-0b00-474b-92e0-5bfa02cf6084
            Последняя попытка @ 2014-01-15 08:59:23 успешна.
    
    DC=DomainDnsZones,DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-2 через  RPC
            DSA - GUID объекта: 68a8f230-0b00-474b-92e0-5bfa02cf6084
            Последняя попытка @ 2014-01-15 09:31:32 успешна.
    
    C:\Windows\system32>dcdiag
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = Server-2
       * Определен лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\SERVER-2
          Запуск проверки: Connectivity
             ......................... SERVER-2 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\SERVER-2
          Запуск проверки: Advertising
             ......................... SERVER-2 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... SERVER-2 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... SERVER-2 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... SERVER-2 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... SERVER-2 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... SERVER-2 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... SERVER-2 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... SERVER-2 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... SERVER-2 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... SERVER-2 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             ......................... SERVER-2 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... SERVER-2 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... SERVER-2 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x000003FC
                Время создания: 01/15/2014   09:09:53
                Строка события:
                Область 192.168.3.0 уже использована на 81 процентов, свободно IP-ад
    ресов 13.
             Возникло предупреждение. Код события (EventID): 0x00000560
                Время создания: 01/15/2014   09:09:53
                Строка события:
                Диапазон IP-адресов области 192.168.3.0 распределен на 81 %%; доступ
    но IP-адресов: 13.
             ......................... SERVER-2 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... SERVER-2 - пройдена проверка
             VerifyReferences
    
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: base
          Запуск проверки: CheckSDRefDom
             ......................... base - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... base - пройдена проверка CrossRefValidation
    
       Выполнение проверок предприятия на: base.*****.ru
          Запуск проверки: LocatorCheck
             ......................... base.*****.ru - пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... base.*****.ru - пройдена проверка
             Intersite
    C:\Windows\system32>ipconfig /all
    
    Настройка протокола IP для Windows
    
       Имя компьютера  . . . . . . . . . : Server-2
       Основной DNS-суффикс  . . . . . . : base.*****.ru
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : base.*****.ru
    
    Ethernet adapter Ethernet:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
       Физический адрес. . . . . . . . . : 00-15-5D-03-6D-03
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.3.12(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.3.13
       DNS-серверы. . . . . . . . . . . : 192.168.3.11
                                           192.168.3.12
                                           127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен
    
    Туннельный адаптер isatap.{4E6DD0CD-9BAC-4C82-96D6-F52FF067F160}:
    
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    Туннельный адаптер Teredo Tunneling Pseudo-Interface:
    
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    C:\Windows\system32>repadmin /showrepl
    
    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
    тупом
    Default-First-Site-Name\SERVER-2
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 68a8f230-0b00-474b-92e0-5bfa02cf6084
    DSA - код вызова: 3f126a0c-ed68-472e-ad70-df986b35ff06
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-1 через  RPC
            DSA - GUID объекта: 74327a36-d364-4818-8d2f-372eb4824a12
            Последняя попытка @ 2014-01-15 09:33:18 успешна.
    
    CN=Configuration,DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-1 через  RPC
            DSA - GUID объекта: 74327a36-d364-4818-8d2f-372eb4824a12
            Последняя попытка @ 2014-01-15 08:53:51 успешна.
    
    CN=Schema,CN=Configuration,DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-1 через  RPC
            DSA - GUID объекта: 74327a36-d364-4818-8d2f-372eb4824a12
            Последняя попытка @ 2014-01-15 08:53:51 успешна.
    
    DC=ForestDnsZones,DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-1 через  RPC
            DSA - GUID объекта: 74327a36-d364-4818-8d2f-372eb4824a12
            Последняя попытка @ 2014-01-15 08:59:08 успешна.
    
    DC=DomainDnsZones,DC=base,DC=*****,DC=ru
        Default-First-Site-Name\SERVER-1 через  RPC
            DSA - GUID объекта: 74327a36-d364-4818-8d2f-372eb4824a12
            Последняя попытка @ 2014-01-15 09:31:17 успешна.

    А это данные моей машины

    C:\Users\Aleksei-bird>gpupdate
    Обновление политики...
    
    Не удалось успешно обновить политику пользователя. Обнаружены следующие ошибки:
    
    Ошибка при обработке групповой политики. Попытка чтения файла "\\base.****
    *.ru\SysVol\base.*****.ru\Policies\{0726E23E-7F30-4D26-B2F1-ABCC0CE78093
    }\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не
    могут быть применены, пока не будет исправлена эта ситуация. Это может быть врем
    енным явлением, его возможные причины:
    a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контролле
    ру домена.
    b) Запаздывание репликации Active Directory (созданный на другом контроллере дом
    ена файл еще не реплицирован на текущий контроллер домена).
    c) Отключен клиент распределенной файловой системы (DFS).
    Обновление политики для компьютера успешно завершено.
    
    Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H
     GPReport.html из командной строки для просмотра сведений о результатах группово
    й политики.
    
    C:\Users\Aleksei-bird>nslookup base
    ╤хЁтхЁ:  UnKnown
    Address:  192.168.3.11
    
    ╚ь :     base.*****.ru
    Addresses:  192.168.3.12
              192.168.3.11
    
    
    C:\Users\Aleksei-bird>nslookup base.*****.ru
    ╤хЁтхЁ:  UnKnown
    Address:  192.168.3.11
    
    ╚ь :     base.*****.ru
    Addresses:  192.168.3.12
              192.168.3.11
    
    
    C:\Users\Aleksei-bird>ipconfig /all
    
    Настройка протокола IP для Windows
    
       Имя компьютера  . . . . . . . . . : Admin-PK
       Основной DNS-суффикс  . . . . . . : base.*****.ru
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : base.*****.ru
    
    Ethernet adapter Подключение по локальной сети:
    
       DNS-суффикс подключения . . . . . : base.*****.ru
       Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Физический адрес. . . . . . . . . : 8C-89-A5-D9-E5-13
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.3.116(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 10 января 2014 г. 14:36:36
       Срок аренды истекает. . . . . . . . . . : 15 января 2014 г. 17:07:58
       Основной шлюз. . . . . . . . . : 192.168.3.13
       DHCP-сервер. . . . . . . . . . . : 192.168.3.11
       DNS-серверы. . . . . . . . . . . : 192.168.3.11
       NetBios через TCP/IP. . . . . . . . : Включен
    
    Туннельный адаптер Подключение по локальной сети* 4:
    
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    
    Туннельный адаптер isatap.base.*****.ru:
    
       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . : base.*****.ru
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
    Жду совета! Спасибо!


    15 января 2014 г. 5:38

Ответы

Все ответы

  • дайте свежие dcdiag /q после перезагрузки... полный не нужен... потом посмотрите - нет ли событий с номером 2213 в журналах DFS Replication на контроллерах...

    Active Directory? Ask me how.

    15 января 2014 г. 6:53
    Модератор
  • Вот свежие, после перезагрузки. Событие с номером 2213 за последний месяц не найдено.

    C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... SERVER-1 - не пройдена проверка DFSREvent
    
    C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... SERVER-2 - не пройдена проверка DFSREvent
             Возникла ошибка. Код события (EventID): 0x00002720
                Время создания: 01/15/2014   13:08:55
                Строка события:
                Параметры разрешений для конкретного приложения не дают разрешения Л
    окально Запуск для приложения COM-сервера с CLSID
             ......................... SERVER-2 - не пройдена проверка SystemLog

    Кстати, на прошлой неделе распространил клиент SCCM2012 R2 по серверам, в том числе и на КД. Сейчас стала вылезать ошибка, может это как-то влияет на работу КД?

    Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID 
    {05D1D5D8-18D1-4B83-85ED-A0F99D53C885}
     и APPID 
    {AD65A69D-3831-40D7-9629-9B0B50A93843}
     пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
    Судя по консоли SCCM2012 R2, клиент работает норм и отзывается, тогда почему полезла данная ошибка?

    15 января 2014 г. 9:27
  • Вот свежие, после перезагрузки. Событие с номером 2213 за последний месяц не найдено.

    C:\Windows\system32>dcdiag /q
             За последние 24 часа после предоставления SYSVOL в общий доступ
             зафиксированы предупреждения или сообщения  об ошибках.  Сбои при
             репликации SYSVOL могут стать причиной проблем групповой политики.
             ......................... SERVER-1 - не пройдена проверка DFSREvent

    C:\Windows\system32>dcdiag /q За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. ......................... SERVER-2 - не пройдена проверка DFSREvent

    давайте тогда уже руками смотрите - что за предупреждения/ошибки на обоих серверах... именно в журнале DFS-R

    Active Directory? Ask me how.

    15 января 2014 г. 9:32
    Модератор
  • Даю список событий за последние 12 часов. Ошибки, видимо, связаны недоступностью другого КД при перезагрузке этого другого КД.

    Время 13:05:41
    Служба репликации DFS останавливает подключение к партнеру SERVER-2  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение. 
     
    Дополнительные сведения: 
    Ошибка: 9033 (Запрос был отменен завершением работы) 
    Идентификатор подключения: 425AF90E-98BA-41E9-8E6E-D2E5361921D0 
    Идентификатор группы репликации: 0C0CBC8D-2478-4BE0-8C33-32FD46462CA1
    
    Время 13:06:05
    Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером SERVER-2.base.*****.ru. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения совместного доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена. 
      
    Дополнительные сведения:  
    Имя реплицированной папки: SYSVOL Share 
    Идентификатор реплицированной папки: 05CAF2F3-12DE-4D2D-A607-472A759B4C35 
    Имя группы репликации: Domain System Volume 
    Идентификатор группы репликации: 425AF90E-98BA-41E9-8E6E-D2E5361921D0 
    Код участника: 2098DFDF-B1F4-4352-90DB-1822E12D09CB 
    Только для чтения: 0
    
    Время 13:06:05
    Служба репликации DFS обнаружила ошибку в подключении к партнеру SERVER-2 для группы репликации Domain System Volume. 
     
    DNS-адрес партнера: SERVER-2.base.*****.ru 
     
    Доступные дополнительные сведения: 
    WINS-адрес партнера: SERVER-2 
    IP-адрес партнера: 192.168.3.12 
      
    Служба периодически будет пытаться установить подключение. 
     
    Дополнительные сведения: 
    Ошибка: 1726 (Сбой при удаленном вызове процедуры.) 
    Идентификатор подключения: 425AF90E-98BA-41E9-8E6E-D2E5361921D0 
    Идентификатор группы репликации: 0C0CBC8D-2478-4BE0-8C33-32FD46462CA1
    
    Время 13:07:05
    Служба репликации DFS успешно установила входящее подключение  с партнером SERVER-2 для группы репликации Domain System Volume. 
     
    Дополнительные сведения: 
    Адрес использованного подключения: SERVER-2.base.avtodor-uvao.ru 
    Идентификатор подключения: 425AF90E-98BA-41E9-8E6E-D2E5361921D0 
    Идентификатор группы репликации: 0C0CBC8D-2478-4BE0-8C33-32FD46462CA1
    
    Время 13:17:07
    Служба репликации DFS успешно настроила файлы журнала отладки. 
     
    Дополнительные сведения: 
    Путь к файлу журнала отладки: C:\Windows\debug
    
    Время 13:17:36
    Служба репликации DFS успешно зарегистрировала поставщика WMI.
    
    Время 13:17:39
    Служба репликации DFS успешно связалась с контроллером домена Server-1.base.*****.ru для получения сведений о конфигурации.
    
    Время 13:17:40
    Служба репликации DFS успешно настроила прослушиватель RPC на принятие запросов на репликацию. 
     
    Дополнительные сведения: 
    Порт: 0

    Второй сервер, он же хозяин схемы и прочих ролей домена:

    Время 13:16:18
    Служба репликации DFS останавливает подключение к партнеру SERVER-1  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение. 
     
    Дополнительные сведения: 
    Ошибка: 9033 (Запрос был отменен завершением работы) 
    Идентификатор подключения: 2AEB6D1A-2711-4CAA-9079-5131BE7F32FC 
    Идентификатор группы репликации: 0C0CBC8D-2478-4BE0-8C33-32FD46462CA1
    
    Время 13:16:42
    Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером SERVER-1.base.*****.ru. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения совместного доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена. 
      
    Дополнительные сведения:  
    Имя реплицированной папки: SYSVOL Share 
    Идентификатор реплицированной папки: 05CAF2F3-12DE-4D2D-A607-472A759B4C35 
    Имя группы репликации: Domain System Volume 
    Идентификатор группы репликации: 2AEB6D1A-2711-4CAA-9079-5131BE7F32FC 
    Код участника: DA281D55-C79A-4221-B3D7-0C5AED2EC129 
    Только для чтения: 0
    
    Время 13:16:42
    Служба репликации DFS обнаружила ошибку в подключении к партнеру SERVER-1 для группы репликации Domain System Volume. 
     
    DNS-адрес партнера: SERVER-1.base.*****.ru 
     
    Доступные дополнительные сведения: 
    WINS-адрес партнера: SERVER-1 
    IP-адрес партнера: 192.168.3.11 
      
    Служба периодически будет пытаться установить подключение. 
     
    Дополнительные сведения: 
    Ошибка: 1726 (Сбой при удаленном вызове процедуры.) 
    Идентификатор подключения: 2AEB6D1A-2711-4CAA-9079-5131BE7F32FC 
    Идентификатор группы репликации: 0C0CBC8D-2478-4BE0-8C33-32FD46462CA1
    
    Время 13:17:42
    Служба репликации DFS успешно установила входящее подключение  с партнером SERVER-1 для группы репликации Domain System Volume. 
     
    Дополнительные сведения: 
    Адрес использованного подключения: SERVER-1.base.*****.ru 
    Идентификатор подключения: 2AEB6D1A-2711-4CAA-9079-5131BE7F32FC 
    Идентификатор группы репликации: 0C0CBC8D-2478-4BE0-8C33-32FD46462CA1
    Вообщем ошибки данные происходят, когда другой КД перезагружался. Последние сообщения в журнале говорят о работоспособности домена, но синхронизация политик не происходит. Причем, если скопировать недостающую политику, напрямую на сервер КД, где она отсутствует, то политика отрабатывается нормально, только кричит на недостающие права на папку, но после нажатия ОК, видимо, автоматом поправляются права и больше вопрос по данной политике не возникает. Но это так, эксперименты, которые показывают, что где-то косяк, причем сам КД не понимает это(((



    15 января 2014 г. 10:28
  • Вообщем ошибки данные происходят, когда другой КД перезагружался. Последние сообщения в журнале говорят о работоспособности домена, но синхронизация политик не происходит. Причем, если скопировать недостающую политику, напрямую на сервер КД, где она отсутствует, то политика отрабатывается нормально, только кричит на недостающие права на папку, но после нажатия ОК, видимо, автоматом поправляются права и больше вопрос по данной политике не возникает. Но это так, эксперименты, которые показывают, что где-то косяк, причем сам КД не понимает это(((
    в принципе ничто не мешает провести "D2" (по аналогии с FRS) для сервера, на который у вас репликация не проходит... только для этого сначала сравните SysVol'ы и поймите какой из них стоит оставить...

    Active Directory? Ask me how.

    15 января 2014 г. 10:42
    Модератор
  • ОК, сейчас попробую. Только есть вопросы:

    1. под фразой "2. Force Active Directory replication throughout the domain." какая команда подразумевается? Это отсюда http://support.microsoft.com/kb/2218556/ru

    2. Это получается надо снести все политики с одного КД и после синхронизировать с работающим КД и запустить DFS?


    15 января 2014 г. 11:51
  • ОК, сейчас попробую. Только есть вопросы:

    1. под фразой "2. Force Active Directory replication throughout the domain." какая команда подразумевается? Это отсюда http://support.microsoft.com/kb/2218556/ru

    2. Это получается надо снести все политики с одного КД и после синхронизировать с работающим КД и запустить DFS?


    1. repadmin /syncall /A /e /S и repadmin /syncall /A /e обычно в сумме делают избыточно всё :)

    2. сам сделает - руками сносить не нужно ничего... просто перевытянет SysVol с другого КД, который будет объявлен авторитетным.


    Active Directory? Ask me how.

    15 января 2014 г. 11:57
    Модератор
  • 1. Выполнил указанные команды, а кол-во политик не изменилось

    2. А что значит "который будет объявлен авторитетным" и кто это объявит?

    После седьмого пункта появляется только событие 4614, а 4604 нету. Вижу дальнейшие действия только в поднятии еще одного КД, переноса туда всех ролей и удаление проблемных КД, уже и так долго выявляю проблему, а решения может и не быть(((. Кстати, на Server-1 поднят центр сертификации, как лучше поступить с ним: перенести-то его можно? Или заново ставить, но тогда сертификаты надо перевыпускать?

    15 января 2014 г. 12:39
  • просто перевытянет SysVol с другого КД, который будет объявлен авторитетным.
    How to perform an authoritative synchronization of DFSR-replicated SYSVOL (like "D4" for FRS) - в той же статье на MS. Плюс это.

    Active Directory? Ask me how.

    15 января 2014 г. 12:47
    Модератор
  • Передал все роли на Server-1, понизил Server-2 до обычного сервера. После, на другой машине, с другим именем(server-dc-2), но с тем же IP поднял другой КД. Так вот на этом сервере даже папки NETLOGON и SYSVOL даже не расшарились, при заходе на \\server-dc-2, вообще пусто((((. Dcdiag показал, что сервер-1 жалуется на журнал репликации, типа за последние 24 часа были некие проблемы.Server-dc-2 жалуется на невозможность найти(Внимание: DsGetDcName вернул сведения для \\Server-1.*****.ru при попытке получения доступа к SERVER-DC-2 СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ) сервер-1, хотя этот сервер-1 пингуется и по DNS имени и по имени которое используется контроллерами доменов(забыл как зовётся), а также жалуется на невозможность подключения к папке NETLOGON( Не удается подключиться к общему ресурсу NETLOGON. (\\SERVER-DC-2\netlogon) [SERVER-DC-2] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя.) . В итоге понизил новый КД до рядового сервера и на сегодняшний день у меня всего один КД это Server-1, прошли сутки после удаление других КД и dcdiag не выявляет никаких проблем, в журналах также всё норм. Вопрос такой: как проверить работоспособность КД, если он один в домене. И почему новый КД встал с такими проблемами? Я понимаю, что вопросы немного общие(гадание на кофейной гуще)), но всё таки я думаю надо убедиться что все службы и все параметры в одном единственном КД верны, а то получается все проблемы переносятся на новый КД.
    19 января 2014 г. 13:49
  • Так вот на этом сервере даже папки NETLOGON и SYSVOL даже не расшарились, при заходе на \\server-dc-2, вообще пусто(
    Контроллер не станет полноценным до тех пор пока не получит полную реплику SysVol. Поэтому путь траблшутинга лежит через изучение журналов FRS/DFS-R (в зависимости от механизма, который используется). Все методы описал выше - смотрите внимательно журналы. Можно сколь угодно раз поднимать новые КД, но пока уже существующие не хотят реплицировать SysVol никуда - это эффекта не принесёт.

    Active Directory? Ask me how.

    19 января 2014 г. 17:08
    Модератор
  • Т.е. то что не расшарились папки SYSVOl и NETLOGON в данной ситуации это норм? И, как я понимаю, пока не будет идти репликация, то не будет расшаренных папок?

    Хорошо, пробегусь заново по указанным методам. Но вы мне можете сказать отчего такие траблы возникают, ведь с доменом не производились никакие манипуляции, разве что, где-то в ноября пару раз зависал сервер, на котором, в тот момент, крутились оба КД. Хммм... видимо из-за этих "зависонов" отключилась репликация....

    19 января 2014 г. 19:56
  • Т.е. то что не расшарились папки SYSVOl и NETLOGON в данной ситуации это норм? И, как я понимаю, пока не будет идти репликация, то не будет расшаренных папок?

    Пока не заработает репликация SysVol - службы AD DS не получат сигнал SysVolReady и не завершают инициализацию. Сделаете репликацию SysVol - всё станет хорошо.

    Active Directory? Ask me how.

    20 января 2014 г. 4:17
    Модератор
  • Спасибо за помощь, репликация пошла))) Просто надо было подождать чуть-чуть, минуты три, и наконец появилось долгожданное событие за номеров 4604:)))
    20 января 2014 г. 11:00
  • Спасибо за помощь, репликация пошла))) Просто надо было подождать чуть-чуть, минуты три, и наконец появилось долгожданное событие за номеров 4604:)))
    вот теперь можете развёртывать доп. контроллеры

    Active Directory? Ask me how.

    20 января 2014 г. 11:01
    Модератор