none
Репликация двух КД на 2012 серверах RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    перешли на новый домен, в него заведено 2 контроллера, cluster1 и cluster2.

    cluster2 - основной и несет все роли fsmo.

    cluster1 - никак не может синхронизировать sysvol и netlogon, на нем даже не появились эти папки. 

    Покапав форумы, в реестре изменил параметр сисвола и появилась папка sysvol, но и только. Перезагрузки и перезапуски служб ничего не дали. оба сервера пингуются. 

    ниже привожу логи основных команд с cluster1:

    C:\>repadmin /showrepl

    Repadmin: выполнение команды /showrepl контроллере домена localhost с полным до
    тупом
    Default-First-Site-Name\CLUSTER1
    Параметры DSA: IS_GC
    Параметры сайта: (none)
    DSA - GUID объекта: 1d0aafcd-7118-4284-bf08-027ca92c07e5
    DSA - код вызова: 707e7c13-cb03-49c1-a0a1-0f5d52f286e1

    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================

    DC=stokf,DC=ru
        Default-First-Site-Name\CLUSTER2 через  RPC
            DSA - GUID объекта: 68b643f0-df15-496e-82c1-a7620558c9c6
            Последняя попытка @ 2013-08-07 15:49:18 успешна.

    CN=Configuration,DC=stokf,DC=ru
        Default-First-Site-Name\CLUSTER2 через  RPC
            DSA - GUID объекта: 68b643f0-df15-496e-82c1-a7620558c9c6
            Последняя попытка @ 2013-08-07 15:46:25 успешна.

    CN=Schema,CN=Configuration,DC=stokf,DC=ru
        Default-First-Site-Name\CLUSTER2 через  RPC
            DSA - GUID объекта: 68b643f0-df15-496e-82c1-a7620558c9c6
            Последняя попытка @ 2013-08-07 15:46:25 успешна.

    DC=DomainDnsZones,DC=stokf,DC=ru
        Default-First-Site-Name\CLUSTER2 через  RPC
            DSA - GUID объекта: 68b643f0-df15-496e-82c1-a7620558c9c6
            Последняя попытка @ 2013-08-07 15:46:25 успешна.

    DC=ForestDnsZones,DC=stokf,DC=ru
        Default-First-Site-Name\CLUSTER2 через  RPC
            DSA - GUID объекта: 68b643f0-df15-496e-82c1-a7620558c9c6
            Последняя попытка @ 2013-08-07 15:46:25 успешна.
    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
        Доступ к репликации отвергнут.
    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
        Доступ к репликации отвергнут.

    C:\>repadmin /showconn

    Repadmin: выполнение команды /showconn контроллере домена localhost с полным дос
    тупом
    Базовое DN: CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru
    ==== ОБЪЕКТЫ ПОДКЛЮЧЕНИЯ KCC ===========================================
    Подключение --
        Имя подключения: 60ab065f-dbd4-4f3c-bb01-ebc589160438
        DNS-имя сервера: cluster2.stokf.ru
        DN-имя сервера: CN=NTDS Settings,CN=CLUSTER2,CN=Servers,CN=Default-First-Sit
    e-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru
            Источник: Default-First-Site-Name\CLUSTER1
                    Нет ошибок.
            TransportType: внутрисайтовый RPC
            параметры:  isGenerated
            ReplicatesNC: DC=ForestDnsZones,DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
            ReplicatesNC: DC=DomainDnsZones,DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
            ReplicatesNC: CN=Schema,CN=Configuration,DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
            ReplicatesNC: DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
            ReplicatesNC: CN=Configuration,DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
    Подключение --
        Имя подключения: 40dba3d2-020a-497b-9981-2bbe56eabc2c
        DNS-имя сервера: Cluster1.stokf.ru
        DN-имя сервера: CN=NTDS Settings,CN=CLUSTER1,CN=Servers,CN=Default-First-Sit
    e-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru
    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
        Доступ к репликации отвергнут.
    Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
        Доступ к репликации отвергнут.
            Источник: Default-First-Site-Name\CLUSTER2
                    Нет ошибок.
            TransportType: внутрисайтовый RPC
            параметры:  isGenerated
            ReplicatesNC: DC=DomainDnsZones,DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
            ReplicatesNC: CN=Schema,CN=Configuration,DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
            ReplicatesNC: DC=ForestDnsZones,DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
            ReplicatesNC: DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
            ReplicatesNC: CN=Configuration,DC=stokf,DC=ru
            Причина:  RingTopology
                    Добавлена ссылка реплики.
    Найдено 2 подключений.

    C:\>dcdiag /test:connectivity

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = Cluster1
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\CLUSTER1
          Запуск проверки: Connectivity
             ......................... CLUSTER1 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\CLUSTER1


       Выполнение проверок разделов на: ForestDnsZones

       Выполнение проверок разделов на: DomainDnsZones

       Выполнение проверок разделов на: Schema

       Выполнение проверок разделов на: Configuration

       Выполнение проверок разделов на: stokf

       Выполнение проверок предприятия на: stokf.ru

    В результате уже не знаю, что капать, чтобы восстановить репликацию и победить этот 

    Ошибка выдачи репликации: 8453 (0x2105):
        Доступ к репликации отвергнут.

    • Перемещено Dmitry Nikitin 8 августа 2013 г. 11:56 2012
    7 августа 2013 г. 11:59
    |

Ответы

  • Question
    Нужно войти
    2
    Нужно войти
    2. Чтобы возобновить репликацию тома, используйте метод WMI ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду: 
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="7D3CD198-8232-11E2-93E7-806E6F6E6963" call ResumeReplication 
     
    Дополнительные сведения см. на сайте http://support.microsoft.com/kb/2663685.

    Ну вы поняли, да? :)

    п.с. у меня пока недоумение по поводу того, что dcdiag молчит про DFS-R'овские ворнинги. В принципе - тему уже можно закрывать, мы нашли что искали :)

    Active Directory? Ask me how.

    • Помечено в качестве ответа Dmitriy Razbornov 8 августа 2013 г. 9:33
    8 августа 2013 г. 9:26
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Итак, закончились бадания. Вкратце расскажу, как было побеждено другим в помощь:
    1. первое, что заметил, подняв 3 КД, было то, что cluster2 и 3 КД прекрасно синхронизировались друг с другом, т.е. папки sysvol синхронизировались как положено.
    В результате было решено, что вся проблема в PDC (cluster2);
    2. передаю роли fsmo с cluster2 на cluster1;
    3. понижаю cluster2 до обычного сервера, и перенастраиваю DNS (с указанием лишь cluster1 и 3КД);
    4. в результате проверяю - всё работает (за исключением того, что на cluster2 была подключена адресная книга, которая при понижении конечно же отвалилась - но это так, отступление);
    5. поднимаю cluster2 до уровня КД. Всё работает.

    Что больше всего меня убивает во всей этой ситуации:
    1. имеется куча статей, материалом, плагинов, утилит и прочего, но ни одно из перечисленных так и не помогло в устранении проблемы, а как всегда решилось методом проб и ошибок;
    2. вместо того, чтобы устранить косяки серверных ОС (аля 2008), microsoft только и делает, что выпускает всё более новые и более сырые ОС, не разобравшись с косяками предыдущих. Это просто убивает. Даже нормального полного мануала до сих пор под 2012 нет. А тут уже новую версию собираются презентовать.
    3. и если в своё время server 2003 считался полноценным качественным серверным корпоративным решением, за работоспособность и качество которого его и полюбили, то в свете текущей политики microsoft у меня только и остается начать всё чаще обращать внимание в сторону других производителей.

    p.s. я прошу модераторов и других участников данного форума не расценивать данный текст как оскорбления в адрес microsoft и рекламу других компаний, а увидеть в нем исключительно предмет здоровой критики от специалиста и постоянного пользователя продуктами и услугами компании, я бы даже сказал лояльного пользователя.

    Последний раз меня так подкашивало, когда выбирали решение корпоративного чата и от цены некогда доступного коммуникатора увидел заоблачные цены линка. но это так, опять же отступление, не касающееся данной темы.

    • Помечено в качестве ответа AndricoRusModerator 20 августа 2013 г. 6:11
    • Изменено rezets 20 августа 2013 г. 6:22
    20 августа 2013 г. 6:04
    |

Все ответы

  • Question
    Нужно войти
    3
    Нужно войти
    Покопав форумы, в реестре изменил параметр сисвола и появилась папка sysvol, но и только.

    Ничего личного, эмоции общего характера: "блин, вам в реестре мёдом что-ли намазано?". НИКОГДА НЕ ТРОГАЙТЕ ЭТОТ КЛЮЧ! один "идиот" когда-то посоветовал - люди радостно ломанулись пробовать... внимательно читайте KB, в которых предлагается его менять - очень узкий круг ОС и конкретные ситуации!

    по делу: много информации дали, но вся ненужная совершенно... dcdiag /q в студию и последние 5 событий из лога FRS/DFS-R с владельца FSMO.

    Active Directory? Ask me how.

    7 августа 2013 г. 13:19
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    C:\Windows\system32>dcdiag /q
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 08/08/2013   08:55:16
                Строка события:
                Драйвер PDFCreator для принтера PDFCreator не опознан. Обратитесь к
    сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 08/08/2013   08:55:17
                Строка события:
                Драйвер PDF Architect Driver для принтера PDF Architect не опознан.
    Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 08/08/2013   08:55:18
                Строка события:
                Драйвер HP LaserJet 400 MFP M425 PCL 6 для принтера NPI91E53B (HP La
    serJet 400 MFP M425dw) не опознан. Обратитесь к сетевому администратору, чтобы о
    н установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 08/08/2013   08:55:18
                Строка события:
                Драйвер Send To Microsoft OneNote 2010 Driver для принтера Отправить
     в OneNote 2010 не опознан. Обратитесь к сетевому администратору, чтобы он устан
    овил нужный драйвер.
             ......................... CLUSTER2 - не пройдена проверка SystemLog

    А вот по поводу логов FRS/DFS-R подскажите среди общих логов не видел.

    Подскажите, как их отдельно вывести? И по поводу служб: непосредственно служба ntfrs остановлена, а dfs выполняется на обоих серверах.

    p.s. по поводу крутить реестр - сам не любитель соваться туда, делаю только в крайних случаях. В данном варианте это изменение не было критичным, поэтому решил воспользоваться... чесслово, больше не буду )

    8 августа 2013 г. 5:05
    |
  • Question
    Нужно войти
    0
    Нужно войти

    C:\Windows\system32>dcdiag /q
             ......................... CLUSTER2 - не пройдена проверка SystemLog

    А вот по поводу логов FRS/DFS-R подскажите среди общих логов не видел.

    Подскажите, как их отдельно вывести? И по поводу служб: непосредственно служба ntfrs остановлена, а dfs выполняется на обоих серверах.


    А вы dcdiag прокрутили при уже обманутых ключом службах AD DS? Если да - просьба ребутнуть при возможности DC и повторить команду. В вашем случае лог нужен DFS-R (если ntfrs остановлен, то предполагаю - вы уже смигрировали с него). Буквально последние несколько событий - интересует "классика", не встала ли у вас репликация в паузу.

    Active Directory? Ask me how.

    8 августа 2013 г. 9:11
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    dcdiag /q повторил после перезагрузки:

    C:\Windows\system32>dcdiag /q
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 08/08/2013   13:20:03
                Строка события:
                Драйвер PDFCreator для принтера PDFCreator не опознан. Обратитесь к
    сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 08/08/2013   13:20:04
                Строка события:
                Драйвер PDF Architect Driver для принтера PDF Architect не опознан.
    Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 08/08/2013   13:20:05
                Строка события:
                Драйвер HP LaserJet 400 MFP M425 PCL 6 для принтера NPI91E53B (HP La
    serJet 400 MFP M425dw) не опознан. Обратитесь к сетевому администратору, чтобы о
    н установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 08/08/2013   13:20:05
                Строка события:
                Драйвер Send To Microsoft OneNote 2010 Driver для принтера Отправить
     в OneNote 2010 не опознан. Обратитесь к сетевому администратору, чтобы он устан
    овил нужный драйвер.
             ......................... CLUSTER2 - не пройдена проверка SystemLog

    ntfrs и должен был быть остановлен, ведь я же изначально домен чистый поднимал на 2012, а там по умолчанию dfs за репликацию отвечает.

    А вот и ошибка DFSR:

    Служба репликации DFS остановила репликацию на томе C:. Это происходит, если рабата базы данных DFSR JET была завершена с ошибками, а автоматическое восстановление отключено. Чтобы устранить эту проблему, заархивируйте файлы в соответствующих реплицированных папках, а затем возобновите репликацию с помощью метода WMI ResumeReplication. 
     
    Дополнительные сведения: 
    Том: C: 
    GUID: 7D3CD198-8232-11E2-93E7-806E6F6E6963 
     
    Действия для восстановления 
    1. Заархивируйте файлы во всех реплицированных папках на томе. Если не сделать этого, может произойти потеря данных при разрешении конфликтов во время восстановления реплицированных папок. 
    2. Чтобы возобновить репликацию тома, используйте метод WMI ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду: 
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="7D3CD198-8232-11E2-93E7-806E6F6E6963" call ResumeReplication 
     
    Дополнительные сведения см. на сайте http://support.microsoft.com/kb/2663685.



    8 августа 2013 г. 9:24
    |
  • Question
    Нужно войти
    2
    Нужно войти
    2. Чтобы возобновить репликацию тома, используйте метод WMI ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду: 
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="7D3CD198-8232-11E2-93E7-806E6F6E6963" call ResumeReplication 
     
    Дополнительные сведения см. на сайте http://support.microsoft.com/kb/2663685.

    Ну вы поняли, да? :)

    п.с. у меня пока недоумение по поводу того, что dcdiag молчит про DFS-R'овские ворнинги. В принципе - тему уже можно закрывать, мы нашли что искали :)

    Active Directory? Ask me how.

    • Помечено в качестве ответа Dmitriy Razbornov 8 августа 2013 г. 9:33
    8 августа 2013 г. 9:26
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    И ещё вот такая ошибка:

    Ошибка при обработке групповой политики. Попытка чтения файла "\\stokf.ru\sysvol\stokf.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: 
    a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена. 
    b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена). 
    c) Отключен клиент распределенной файловой системы (DFS).

    8 августа 2013 г. 9:59
    |
  • Question
    Нужно войти
    0
    Нужно войти

    И ещё вот такая ошибка:

    Ошибка при обработке групповой политики. Попытка чтения файла "\\stokf.ru\sysvol\stokf.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini"
    попробуйте через час для верности: когда нормализуется состояние SysVol на всех DC...

    Active Directory? Ask me how.

    8 августа 2013 г. 10:10
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    эта ошибка постоянная, ничего её не убивает, ни время, ни перезагрузки.

    Как думаете, может остановить dfs, скопировать туда файлы вручную из сисвола рабочего сервера и снова запустить?

    Кстати, StopReplicationOnAutoRecovery у меня со значение 1.
    • Изменено rezets 8 августа 2013 г. 10:42
    8 августа 2013 г. 10:27
    |
  • Question
    Нужно войти
    0
    Нужно войти

    эта ошибка постоянная, ничего её не убивает, ни время, ни перезагрузки.

    Как думаете, может остановить dfs, скопировать туда файлы вручную из сисвола рабочего сервера и снова запустить?

    с DFS так делать не нужно :) а реально эта политика есть, актуальна и нужна? реально отсутствуют файлы на другом DC?

    Active Directory? Ask me how.

    8 августа 2013 г. 10:28
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    вот потому как знаю работу DFS, до сих пор не решился так сделать )))

    Политика нужна, актуально. На рабочем Cluster2 все файлы присутствуют и работают.

    Я конечно сейчас могу опустить cluster1 до обычного сервера и снова поднять, но чует моё сердце, что ошибка никуда не денется.

    Жду предложения по устранению текущего косяка синхронизации.

    8 августа 2013 г. 10:55
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Политика нужна, актуально. На рабочем Cluster2 все файлы присутствуют и работают.

    тогда Authoritative Restore сделать в DFS-R - авторитетным назначаете Cluster2, остальных - неавторитетными. Пересоберёт реплику - нальёт новый набор.

    Active Directory? Ask me how.


    • Изменено AndricoRusModerator 8 августа 2013 г. 11:17 поправил ссылку
    8 августа 2013 г. 10:58
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    битая ссылка ((

    Если вы это имели ввиду (http://technet.microsoft.com/en-us/library/cc732211(v=ws.10).aspx), то подскажите на примере какие команды где запустить, а то как-то стремно

    • Изменено rezets 8 августа 2013 г. 11:15
    8 августа 2013 г. 11:13
    |
  • Question
    Нужно войти
    0
    Нужно войти
    битая ссылка (
    исправил

    Active Directory? Ask me how.

    8 августа 2013 г. 11:17
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    подскажите, как понять в моем случае (like "D2" for FRS) или лайк D4?
    8 августа 2013 г. 11:27
    |
  • Question
    Нужно войти
    0
    Нужно войти
    подскажите, как понять в моем случае (like "D2" for FRS) или лайк D4?
    Тот член репликации на котором верный набор данных - D4, тот, которому надо слить этот набор - D2.

    Active Directory? Ask me how.

    8 августа 2013 г. 11:29
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    итак, как я понял эту статью, так ничего не получилось.

    Вот, как я понял и что я делал:

    1. на cluster1 запустил adsiedit и поменял msDFSR-Enable на false;

    2. запустил на нем же repadmin /syncal;

    3. запустил DFSRDIAG POLLAD.

    4. не увидел Event ID 4114;

    5. перевел msDFSR-Enable в true;

    6. запустил на нем же repadmin /syncal;

    7. запустил DFSRDIAG POLLAD.8. не увидел Event ID 4614 and 4604.

    Со второй частью было аналогично.

    Что делаю не так?

    И ещё, не подскажите, меня все таки волнует, что это за флаги такие и стоит ли лесть смотреть или того хуже проверять их в реестре? D2 and D4 data values for the Burflag
    • Изменено rezets 8 августа 2013 г. 12:30
    8 августа 2013 г. 12:27
    |
  • Question
    Нужно войти
    1
    Нужно войти
    И ещё, не подскажите, меня все таки волнует, что это за флаги такие и стоит ли лесть смотреть или того хуже проверять их в реестре? D2 and D4 data values for the Burflag
    Нет - поскольку у вас не NTFRS. По остальному завтра.

    Active Directory? Ask me how.

    8 августа 2013 г. 14:11
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Завтра наступило, а советов всё нет и нет...
    9 августа 2013 г. 6:52
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Вот результаты ещё одной команды gpotool cluster2 /verbose:

    Domain: stokf.ru
    Validating DCs...
    CLUSTER1.stokf.ru: is down, cannot see SYSVOL
    DC CLUSTER1.stokf.ru is down, removing from DC list
    Available DCs:
    cluster2.stokf.ru
    Searching for policies...
    Found 2 policies
    ============================================================
    Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
    Friendly name: Default Domain Policy
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: cluster2.stokf.ru
    Friendly name: Default Domain Policy
    Created: 31.05.2013 10:53:20
    Changed: 21.07.2013 5:30:21
    DS version:     8(user) 9(machine)
    Sysvol version: 8(user) 9(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B66650-4972-11D1-A7CA
    -0000F87571E3}]
    Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A
    28C-00C04FB94F17}{D02B1F72-3407-48AE-BA88-E8213C6761F1}][{827D319E-6EAC-11D2-A4E
    A-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-
    00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
    Functionality version: 2
    ------------------------------------------------------------
    ============================================================
    Policy {6AC1786C-016F-11D2-945F-00C04fB984F9}
    Friendly name: Default Domain Controllers Policy
    Policy OK
    Details:
    ------------------------------------------------------------
    DC: cluster2.stokf.ru
    Friendly name: Default Domain Controllers Policy
    Created: 31.05.2013 10:53:20
    Changed: 20.06.2013 6:27:32
    DS version:     0(user) 5(machine)
    Sysvol version: 0(user) 5(machine)
    Flags: 0 (user side enabled; machine side enabled)
    User extensions: not found
    Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A
    0D0-00A0C90F574B}]
    Functionality version: 2
    ------------------------------------------------------------
    ============================================================

    Policies OK

    9 августа 2013 г. 9:36
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Вот и вся помощь? Не густо...

    12 августа 2013 г. 7:57
    |
  • Question
    Нужно войти
    2
    Нужно войти

    Вот и вся помощь? Не густо...

    давайте немного disclaimer'ов: вам никто ничего не должен - здесь точно такие же люди, как и вы. Мы не получаем здесь какой-либо доход, мы не работаем на вендора и у нас есть более важные рабочие и личные задачи. Получится выделить время - обязательно отпишу, пока не получается - рефлексировать не нужно. Хотите решить проблему с гарантией результата за минимальный срок - дорога в консалтинг, я также этим занимаюсь - это совершенно иной уровень затрат, но здесь реклама неприемлема. Поэтому в порядке очереди.

    Active Directory? Ask me how.


    12 августа 2013 г. 8:03
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Всё предельно понятно.

    Кто подскажет, как правильно настроить ip v6 протокол на домен контроллерах.

    По умолчанию у них стоит получать настройки автоматически, но для DC это не совсем правильно. Но на сколько это критично, и если критично, то как их лучше настроить?

    • Изменено rezets 13 августа 2013 г. 5:41
    12 августа 2013 г. 9:36
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Итак, удалил роли DNS и DC с cluster1. 
    Поднял эти роли на виртуальной машине vmwsus (для быстрых тестов). 
    Но теперь на vmwsus валятся такие ошибки: 
    6016 DFSR: 
    Службе репликации DFS не удалось обновить конфигурацию в доменных службах Active Directory. Служба периодически будет пытаться повторить эту операцию. 

    Дополнительные сведения: 
    Категория объекта: msDFSR-LocalSettings 
    DN объекта: CN=DFSR-LocalSettings,CN=VMWSUS,OU=Domain Controllers,DC=stokf,DC=ru 
    Ошибка: 2 (Не удается найти указанный файл.) 
    Контроллер домена: cluster2.stokf.ru 
    Цикл опроса: 60 
    4614 DFSR 
    Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером cluster2.stokf.ru. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения совместного доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена. 

    Дополнительные сведения: 
    Имя реплицированной папки: SYSVOL Share 
    Идентификатор реплицированной папки: AE78CBB0-A9EA-493A-9C8E-E59E0638C533 
    Имя группы репликации: Domain System Volume 
    Идентификатор группы репликации: 50249E56-DA2F-460A-A75B-1B9AC9F002C3 
    Код участника: 3AA3CE1A-8DC6-4F18-8172-A1DD08D91AA7 
    Только для чтения: 0 

    И вот ещё такие: 
    1131 Microsoft-Windows-ActiveDirectory_DomainService
    В ходе проверки согласованности знаний возникла ошибка при добавлении объекта подключения со следующего исходного сервера службы каталогов на следующий конечный сервер службы каталогов. 

    Исходный сервер службы каталогов: 
    CN=NTDS Settings,CN=CLUSTER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru 
    Конечный сервер службы каталогов: 
    CN=NTDS Settings,CN=VMWSUS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru 

    Дополнительные данные 
    Точка создания внутреннего кода: 
    f0a025d 
    и 1435 Microsoft-Windows-ActiveDirectory_DomainService 
    В ходе проверки согласованности знаний при выполнении операции доменные службы Active Directory столкнулись с непредвиденной ошибкой. 

    Тип операции: 
    KccAddEntry 
    Различаемое имя объекта: 
    CN=7959a563-2d03-4093-9563-fae102cd657f,CN=NTDS Settings,CN=VMWSUS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru 

    Попытка выполнения операции будет предпринята в ходе следующей проверки. 

    Дополнительные данные 
    Значение ошибки: 
    5 0000200E: SvcErr: DSID-020C014B, problem 5001 (BUSY), data -1102 

    Внутренний ID: 
    f020352

    13 августа 2013 г. 7:21
    |
  • Question
    Нужно войти
    0
    Нужно войти

    стоит получать настройки автоматически, но для DC это не совсем правильно

    Не критично. BPA ругаться будет, но его проверки достаточно тупо написаны... если вы не используете IPv6 в организации - просто оставьте автомат...

    возвращаясь к DFS-R - текущее состояние логов на cluster2?

    Active Directory? Ask me how.

    13 августа 2013 г. 7:53
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Расскажу лучше, до чего докопал и что сейчас:

    1. убил все прочие Dc, остался лишь cluster2. И закралась у меня мысль, а не сам ли cluster2 глючит, ибо подключаю я чистые серваки в виде второго КД и начинаются ошибки.

    2. как только остался cluster2 в гордом одиночестве, запустил на клиентской машине gpupdate /force (а затем ещё для подтверждения перезагрузил комп), но скрипт групповой политики, подключающий сетевой диск, не отработал - печалька подтвердилась.

    Теперь копаю, что именно не работает, в логах cluster2 чисто. что посоветуете?

    14 августа 2013 г. 7:55
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Если речь идет о Scripts-StartUP то они при gpupdate /force не отрабатывают, только при LogON
    14 августа 2013 г. 7:59
    |
  • Question
    Нужно войти
    0
    Нужно войти

    1. убил все прочие Dc, остался лишь cluster2

    Если в логах cluster2 чисто, а dcdiag ошибок не даёт и netlogon/sysvol есть, то можно судить только об одном - на cluster2 была неактуальная копия sysvol. Но поскольку вы уже вывели остальных - актуализировать можно лишь с бэкапа, если он был. Если не был, то удаляйте соответствующую GPC (GPT то её уже нет в SysVol'е) - используйте штатные скрипты для поиска, описание по ссылке. Соответственно придётся создавать новый GPO и вспоминать что там должно было быть настроено.

    п.с. для справки: GPO = GPC (контейнер политики в AD) + GPT (шаблон политики в SysVol).

    Active Directory? Ask me how.

    14 августа 2013 г. 8:04
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    В результатах применения групповой политики следующая причина в отказе применения политики:

    Причина отказа: Отключенная ссылка

    Куда копать?

    14 августа 2013 г. 12:22
    |
  • Question
    Нужно войти
    0
    Нужно войти
    А на самой политике галка Link Enabled стоит?

    • Изменено SemenovA 14 августа 2013 г. 12:35 орворафя
    14 августа 2013 г. 12:25
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Стоит.

    Итак, до чего докапал: после манипуляций с политиками, они все же заработали. 

    В результате есть 2 политики DDP и DDCP. Обе выполняются.

    Есть пара вопросов, на которые я так для себя ещё не ответил:

    1. На сколько правильно добавлять второй КД при таком сообщении (https://www.monosnap.com/image/kasyHjiAYUNTyDWDlonxwfrcy/)? И после установки второго КД как более корректно настроить делегирование DNS зон и серверы имен?

    2. детский вопрос: заново пришлось создавать обратную зону, как автоматически её заполнить?

    15 августа 2013 г. 5:11
    |
  • Question
    Нужно войти
    0
    Нужно войти

    В общем после повторного добавления второго КД (cluster1) на нем же начинают сыпаться ошибки, вот последние из них:

    1. 2213 DFSR

       

    Служба репликации DFS остановила репликацию на томе C:. Это происходит, если рабата базы данных DFSR JET была завершена с ошибками, а автоматическое восстановление отключено. Чтобы устранить эту проблему, заархивируйте файлы в соответствующих реплицированных папках, а затем возобновите репликацию с помощью метода WMI ResumeReplication. 

    Дополнительные сведения: 
    Том: C: 
    GUID: 24F6F795-775E-11E2-93E7-806E6F6E6963 

    Действия для восстановления 
    1. Заархивируйте файлы во всех реплицированных папках на томе. Если не сделать этого, может произойти потеря данных при разрешении конфликтов во время восстановления реплицированных папок. 
    2. Чтобы возобновить репликацию тома, используйте метод WMI ResumeReplication класса DfsrVolumeConfig. Например, в командной строке с повышенными привилегиями введите следующую команду: 
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="24F6F795-775E-11E2-93E7-806E6F6E6963" call ResumeReplication 

    Дополнительные сведения см. на сайте http://support.microsoft.com/kb/2663685.

    2. 

    CLUSTER1 4013 Предупреждение Microsoft-Windows-DNS-Server-Service DNS Server 15.08.2013 9:31:26

    DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.

    3. 

    CLUSTER1 1400 Предупреждение ADWS Веб-службы Active Directory 15.08.2013 9:31:20
     

    Веб-службам Active Directory не удалось найти сертификат сервера с указанным именем. Сертификат необходим для использования подключений SSL/TLS. Чтобы использовать подключения SSL/TLS, убедитесь, что на компьютере установлен действительный сертификат проверки подлинности сервера, выданный доверенным центром сертификации.

     Имя сертификата: Cluster1.stokf.ru

    4. 

    CLUSTER1 2886 Предупреждение Microsoft-Windows-ActiveDirectory_DomainService Directory Service

    15.08.2013 9:31:08
       

    Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок SASL (согласование,  Kerberos, NTLM или выборка), которые не запрашивают подписи (проверки целостности) и простых привязок LDAP, которые  выполняются для подключения LDAP с открытым (не зашифрованным SSL/TLS) текстом.  Даже если никто из клиентов такие привязки не использует, настройка сервера на их отклонение улучшит безопасность этого сервера. 

    В данный момент некоторые клиенты могут рассчитывать на неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS и могут перестать работать, если будет сделано такое изменение конфигурации.  Чтобы помочь выявить клиенты, у которых появляются такие привязки, данный  сервер каталогов один раз каждые 24 часа будет регистрировать итоговое событие, указывающее, сколько таких привязок  произошло.  Рекомендуется настроить такие клиенты так, чтобы они не использовали эти привязки.  Как только соответствующие события перестанут регистрироваться  в течение достаточно продолжительного периода, рекомендуется настроить сервер на отклонение таких привязок. 

    Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923. 

    Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том,  на каком клиенте она сделана.  Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше.

    5. 

    CLUSTER1 6016 Предупреждение DFSR Репликация DFS 15.08.2013 9:18:37
     

    Службе репликации DFS не удалось обновить конфигурацию в доменных службах Active Directory. Служба периодически будет пытаться повторить эту операцию. 

    Дополнительные сведения: 
    Категория объекта: msDFSR-LocalSettings 
    DN объекта: CN=DFSR-LocalSettings,CN=CLUSTER1,OU=Domain Controllers,DC=stokf,DC=ru 
    Ошибка: 2 (Не удается найти указанный файл.) 
    Контроллер домена: cluster2.stokf.ru 
    Цикл опроса: 60

    Ещё есть 

    CLUSTER1 1435 Предупреждение Microsoft-Windows-ActiveDirectory_DomainService Directory Service 15.08.2013 9:17:57
    CLUSTER1 1131 Ошибка Microsoft-Windows-ActiveDirectory_DomainService Directory Service 15.08.2013 9:17:57
    CLUSTER1 1400 Предупреждение ADWS Веб-службы Active Directory 15.08.2013 9:13:38

    C чего начинать капать?


    • Изменено rezets 15 августа 2013 г. 6:24
    15 августа 2013 г. 6:23
    |
  • Question
    Нужно войти
    0
    Нужно войти
    На сколько правильно добавлять второй КД при таком сообщении (https://www.monosnap.com/image/kasyHjiAYUNTyDWDlonxwfrcy/)?
    Спокойно и без паники добавлять. В родительской DNS-зоне найдите соответствующую дочернюю и в её свойствах пропишите дополнительные адреса.
    заново пришлось создавать обратную зону, как автоматически её заполнить?
    Включить динамические обновления на этой зоне и более об этом не думать.

    Active Directory? Ask me how.

    15 августа 2013 г. 7:53
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="24F6F795-775E-11E2-93E7-806E6F6E6963" call ResumeReplication

    Active Directory? Ask me how.

    15 августа 2013 г. 8:01
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Эту команду уже запускал, на cluster1 появляется следующее:

    Метод успешно вызван.
    Параметры вывода:
    instance of __PARAMETERS
    {
            ReturnValue = 0;
    };

    C:\Windows\system32>

    Если же запускаю на cluster2, сообщает что отсутствуют экземпляры.

    Кстати, мне кажется, что надо начинать с ошибок на cluster2. Вот какие там ошибки:

    1.

    CLUSTER2 1925 Предупреждение Microsoft-Windows-ActiveDirectory_DomainService Directory Service 15.08.2013 9:07:51
         

    Попытка установки связи репликации для следующего раздела каталога, доступного для изменения, завершилась ошибкой. 

    Раздел каталога: 
    CN=Configuration,DC=stokf,DC=ru 
    Исходный сервер каталогов: 
    CN=NTDS Settings,CN=CLUSTER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stokf,DC=ru 
    Адрес исходного сервера каталогов: 
    ffcfb5f4-5857-4872-8d2d-d1b884d4d2ce._msdcs.stokf.ru 
    Межсайтовый транспорт (если существует): 


    До устранения этой ошибки выполнение репликации между данным и исходным серверами службы каталогов будет невозможно.  

    Действие пользователя 
    Проверьте доступность исходного сервера службы каталогов и работоспособность сетевого подключения. 

    Дополнительные данные 
    Значение ошибки: 
    5 Отказано в доступе.

    2. 

    CLUSTER2 5014 Предупреждение DFSR Репликация DFS 15.08.2013 9:28:41
     

    Служба репликации DFS останавливает подключение к партнеру CLUSTER1  группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение. 

    Дополнительные сведения: 
    Ошибка: 9033 (Запрос был отменен завершением работы) 
    Идентификатор подключения: 74B9BA55-0FB5-4B7F-A91F-917462707035 
    Идентификатор группы репликации: 50249E56-DA2F-460A-A75B-1B9AC9F002C3

    3. 

    CLUSTER2 5008 Ошибка DFSR Репликация DFS 15.08.2013 9:29:35
    Службе репликации DFS не удалось установить подключение к партнеру CLUSTER1 по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере. 
     
    DNS-адрес партнера: CLUSTER1.stokf.ru 
     
    Доступные дополнительные сведения: 
    WINS-адрес партнера: CLUSTER1 
    IP-адрес партнера: 192.168.3.2 
     
    Служба периодически будет пытаться установить подключение. 
     
    Дополнительные сведения: 
    Ошибка: 1722 (Сервер RPC недоступен.) 
    Идентификатор подключения: 74B9BA55-0FB5-4B7F-A91F-917462707035 
    Идентификатор группы репликации: 50249E56-DA2F-460A-A75B-1B9AC9F002C3


    15 августа 2013 г. 11:37
    |
  • Question
    Нужно войти
    0
    Нужно войти

    В общем выведено, что не в cluster1 дело, а именно в cluster2, поскольку при подключении нового чистого сервера в виде КД, ошибки dfs и пр. такие же.

    Что предложите? Как выявить проблему на cluster2?

    Может перенести роли fsmo на cluster1?

    Ещё очень важный момент: фактически репликация AD проходит хорошо - любые изменения в политиках, пользователях и машинах сразу проходят и на других КД, причем изменения с любого КД. Как я понимаю, проблема фокусируется исключительно на некорректной работе DFS.

    У кого какие мнения?

    • Изменено rezets 19 августа 2013 г. 9:47
    19 августа 2013 г. 9:25
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Уважаемый AndricoRus,

    Цель форума поделиться знаниями, которыми смогут воспользоваться и другие участники, именно поэтому, Ваш последний пост, был удален.

    Спасибо за понимание.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    19 августа 2013 г. 10:08
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Уважаемый AndricoRus,

    Цель форума поделиться знаниями, которыми смогут воспользоваться и другие участники, именно поэтому, Ваш последний пост, был удален

    И когда это я не делился знаниями после решения проблем? пока что тема напоминает бестолковый флуд потому как добиться структурированной выдачи информации не получается...

    Active Directory? Ask me how.

    19 августа 2013 г. 10:12
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    Итак, закончились бадания. Вкратце расскажу, как было побеждено другим в помощь:
    1. первое, что заметил, подняв 3 КД, было то, что cluster2 и 3 КД прекрасно синхронизировались друг с другом, т.е. папки sysvol синхронизировались как положено.
    В результате было решено, что вся проблема в PDC (cluster2);
    2. передаю роли fsmo с cluster2 на cluster1;
    3. понижаю cluster2 до обычного сервера, и перенастраиваю DNS (с указанием лишь cluster1 и 3КД);
    4. в результате проверяю - всё работает (за исключением того, что на cluster2 была подключена адресная книга, которая при понижении конечно же отвалилась - но это так, отступление);
    5. поднимаю cluster2 до уровня КД. Всё работает.

    Что больше всего меня убивает во всей этой ситуации:
    1. имеется куча статей, материалом, плагинов, утилит и прочего, но ни одно из перечисленных так и не помогло в устранении проблемы, а как всегда решилось методом проб и ошибок;
    2. вместо того, чтобы устранить косяки серверных ОС (аля 2008), microsoft только и делает, что выпускает всё более новые и более сырые ОС, не разобравшись с косяками предыдущих. Это просто убивает. Даже нормального полного мануала до сих пор под 2012 нет. А тут уже новую версию собираются презентовать.
    3. и если в своё время server 2003 считался полноценным качественным серверным корпоративным решением, за работоспособность и качество которого его и полюбили, то в свете текущей политики microsoft у меня только и остается начать всё чаще обращать внимание в сторону других производителей.

    p.s. я прошу модераторов и других участников данного форума не расценивать данный текст как оскорбления в адрес microsoft и рекламу других компаний, а увидеть в нем исключительно предмет здоровой критики от специалиста и постоянного пользователя продуктами и услугами компании, я бы даже сказал лояльного пользователя.

    Последний раз меня так подкашивало, когда выбирали решение корпоративного чата и от цены некогда доступного коммуникатора увидел заоблачные цены линка. но это так, опять же отступление, не касающееся данной темы.

    • Помечено в качестве ответа AndricoRusModerator 20 августа 2013 г. 6:11
    • Изменено rezets 20 августа 2013 г. 6:22
    20 августа 2013 г. 6:04
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Итог прекрасен- во всем виноват Майкрософт.

    Здоровой критики не вижу, поскольку следил за веткой с негаснущим интересом, и пометил ответ Кирилла сразу же, как увидел, что проблема разрешилась, но, как выяснилось рановато.

    Дело не в "нормальных полных мануалах", (которые никто обычно не читает,- даже кб редко осиливают люди.... поскольку есть волшебные блоги с картинками и большими буквами в интернетах) а в том, как Вы справедливо отметили, в личном опыте специалиста- чем больше шишек- тем больше опыт- тем проще работать с ОС.

    По поводу всеми любимого, которого нам так не хватает- эта песня не менялась с 2000 года. И так можно сказать про любой релиз, которым пользуешься, пока nextgeneration еще не доспупен\не развернут в продакте.

     

    20 августа 2013 г. 7:05
    |