none
Не получается повысить роль сервера до уровня контроллера домена. RRS feed

  • Вопрос

  • Добрый день.

    Есть 2 сервера win2012r2 Standard, на одном из которых поднята роль контроллера домена.

    При попытке повысить 2й сервер до контроллера домена получаем ошибку:

    Сбой проверки исходящей репликации. Ошибка при чтении параметров NTDS на контроллере домена DC1.mydomain.local источника репликации. Данные контроллера домена не найдены для указанного контроллера домена Active Directory.

    Всё перерыл, ничего не помогает.

    Время синхронизировано, nslookup отрабатывает всё как надо, dcdiag никакого криминала не выдаёт...

    Куда ещё можно копнуть?

    10 июля 2019 г. 9:24

Ответы

Все ответы

  • добрый день. это мастер написал? dc2 имеет первым dns dc1, а вторым 127.0.0.1? делаете от учетной записи контроллера домена?

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    10 июля 2019 г. 9:32
  • Да, по всем 3-м вопросам.
    10 июля 2019 г. 9:43
  • dc2 находится в группе admin builtin? если нет, добавьте и повторите операцию поднятия

    Идти туда, где не ждут, Атаковать там, где не подготовились.


    10 июля 2019 г. 9:50
  • Не находился, добавил, повторил - та же беда. 

    Перезагрузил на всякий случай, тоже ничего не изменилось.

    10 июля 2019 г. 10:21
  • так, а машинки у вас без проблем в ад добавляются? политики работают все гуд?

    Идти туда, где не ждут, Атаковать там, где не подготовились.


    10 июля 2019 г. 10:45
  • Ну да, и добавляются и удаляются без проблем.

    Сервера виртуальные, в hyper-v галочка "синхронизация времени" снята.. 

    Пробовал поднимать в другом гипервизоре 2й контроллер - тот же эффект..

    10 июля 2019 г. 10:57
  • nltest /dsgetdc:mydomain.local c DC2 находит контроллер домена DC1?

    Если да, то попробуйте тогда с него запустить тест dcdiag для dc1:

    dcdiag /s dc1.mydomain.local


    Слава России!

    10 июля 2019 г. 11:11
  • Добрый день.

    Покажите пж ipconfig /all на КД1 и который хотите ввести.

    Так же покажите выводы

    DsQuery Server -domain имя_вашего.домена

    netdom query FSMO

    nltest /dsgetdc:имядомена

    И всё же вывод dcdiag


    10 июля 2019 г. 11:21
  • nltest /dsgetdc:mydomain.local c DC2 находит контроллер домена DC1?

    Если да, то попробуйте тогда с него запустить тест dcdiag для dc1:

    dcdiag /s dc1.mydomain.local


    Слава России!

    А вот тут уже не всё гладко..

    PS C:\Users\rndcadmin> nltest /dsgetdc:mydomain.local
               Контроллер домена: \\DC1.mydomain.local
          Адрес: \\192.168.100.99
         GUID DOM: f14c1be4-407e-4ccc-bc55-a3b55a252eee
         Имя DOM: mydomain.local
      Имя леса: mydomain.local
     Имя сайта контроллера домена: Default-First-Site-Name
    Имя нашего сайта: Default-First-Site-Name
            Флаги: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9
    Команда выполнена успешно.
    PS C:\Users\rndcadmin>

    PS C:\Users\rndcadmin> dcdiag /s:dc1.mydomain.local

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       * Определен лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\DC1
          Запуск проверки: Connectivity
             ......................... DC1 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\DC1
          Запуск проверки: Advertising
             ......................... DC1 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... DC1 - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
             Не удалось запросить журнал событий DFS Replication на сервере DC1.mydomain.local, ошибка 0x6ba
             "Сервер RPC недоступен."
             ......................... DC1 - не пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC1 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
             Не удалось запросить журнал событий Directory Service на сервере DC1.mydomain.local, ошибка 0x6ba
             "Сервер RPC недоступен."
             ......................... DC1 - не пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... DC1 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC1 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC1 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC1 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC1 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... DC1 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC1 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... DC1 - пройдена проверка Services
      Запуск проверки: SystemLog
             Не удалось запросить журнал событий System на сервере DC1.mydomain.local, ошибка 0x6ba
             "Сервер RPC недоступен."
             ......................... DC1 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC1 - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: mydomain
          Запуск проверки: CheckSDRefDom
             ......................... mydomain - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... mydomain - пройдена проверка CrossRefValidation

       Выполнение проверок предприятия на: mydomain.local
          Запуск проверки: LocatorCheck
             ......................... mydomain.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... mydomain.local - пройдена проверка Intersite
    PS C:\Users\rndcadmin>

               
    10 июля 2019 г. 11:39
  • Добрый день.

    Покажите пж ipconfig /all на КД1 и который хотите ввести.

    Так же покажите выводы

    DsQuery Server -domain имя_вашего.домена

    netdom query FSMO

    nltest /dsgetdc:имядомена

    И всё же вывод dcdiag


    Вот это с первого (DC1)

    PS C:\Windows\system32> ipconfig /all
    Настройка протокола IP для Windows
       Имя компьютера  . . . . . . . . . : DC1
       Основной DNS-суффикс  . . . . . . : mydomain.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : mydomain.local
    Ethernet adapter Ethernet:
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
       Физический адрес. . . . . . . . . : 00-15-5D-00-05-00
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.100.99(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.100.1
       DNS-серверы. . . . . . . . . . . : 192.168.100.99
                                           192.168.100.91
       NetBios через TCP/IP. . . . . . . . : Включен
    PS C:\Windows\system32>

    А вот это со второго (DC5)

    PS C:\Users\rndcadmin> ipconfig /all
    Настройка протокола IP для Windows
       Имя компьютера  . . . . . . . . . : DC5
       Основной DNS-суффикс  . . . . . . : mydomain.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : mydomain.local
    Ethernet adapter Ethernet:
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
       Физический адрес. . . . . . . . . : 00-15-5D-00-05-1F
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.100.91(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.100.1
       DNS-серверы. . . . . . . . . . . : 192.168.100.99
                                           127.0.0.1
       NetBios через TCP/IP. . . . . . . . : Включен
    PS C:\Users\rndcadmin>
    PS C:\Users\rndcadmin> DsQuery Server -domain mydomain.local
    "CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"

    PS C:\Users\rndcadmin> netdom query FSMO
    Хозяин схемы                DC1.mydomain.local
    Хозяин именования доменов   DC1.mydomain.local
    PDC                         DC1.mydomain.local
    Диспетчер пула RID          DC1.mydomain.local
    Хозяин инфраструктуры       DC1.mydomain.local
    Команда выполнена успешно.

    PS C:\Users\rndcadmin> nltest /dsgetdc:mydomain.local
               Контроллер домена: \\DC1.mydomain.local
          Адрес: \\192.168.100.99
         GUID DOM: f14c1be4-407e-4ccc-bc55-a3b55a252eee
         Имя DOM: mydomain.local
      Имя леса: mydomain.local
     Имя сайта контроллера домена: Default-First-Site-Name
    Имя нашего сайта: Default-First-Site-Name
            Флаги: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9
    Команда выполнена успешно.
    PS C:\Users\rndcadmin>

    И вот ещё с первого (DC1)

    PS C:\Windows\system32> dcdiag /v /a

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       * Проверка, является ли локальный компьютер DC1 сервером каталогов.
       Основной сервер = DC1
       * Подключение к службе каталога на сервере DC1.
       * Определен лес AD.
       Collecting AD specific global data
       * Сбор сведений о сайте.
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=mydomain,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=n
    tDSSiteSettings),.......
       The previous call succeeded
       Iterating through the sites
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,D
    C=local
       Getting ISTG and options for the site
       * Выполнение идентификации всех серверов.
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=mydomain,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDS
    Dsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers
       Getting information for the server CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
    ation,DC=mydomain,DC=local
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * Идентификация всех перекрестных ссылок NC.
       * Найдено 1 DC (контроллеров домена). Проверка 1 из них.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\DC1
          Запуск проверки: Connectivity
             * Active Directory LDAP Services Check
             Determining IP4 connectivity
             * Active Directory RPC Services Check
             ......................... DC1 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\DC1
          Запуск проверки: Advertising
             The DC DC1 is advertising itself as a DC and having a DS.
             The DC DC1 is advertising as an LDAP server
             The DC DC1 is advertising as having a writeable directory
             The DC DC1 is advertising as a Key Distribution Center
             The DC DC1 is advertising as a time server
             The DS DC1 is advertising as a GC.
             ......................... DC1 - пройдена проверка Advertising
          Проверка пропущена по запросу пользователя: CheckSecurityError
          Проверка пропущена по запросу пользователя: CutoffServers
          Запуск проверки: FrsEvent
             * Проверка журнала событий службы репликации файлов
             Пропустить тест, так как на сервере выполняется репликация DFSR.
             ......................... DC1 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             The DFS Replication Event Log.
             ......................... DC1 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             * Проверка готовности SYSVOL службы репликации файлов
             SYSVOL службы репликации файлов готов
             ......................... DC1 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             * The KCC Event log test
             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... DC1 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             Role Schema Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
    mydomain,DC=local
             Role Domain Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
    mydomain,DC=local
             Role PDC Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=id-
    group,DC=local
             Role Rid Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=id-
    group,DC=local
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Co
    nfiguration,DC=mydomain,DC=local
             ......................... DC1 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             Checking machine account for DC DC1 on DC DC1.
             * SPN found :LDAP/DC1.mydomain.local/mydomain.local
             * SPN found :LDAP/DC1.mydomain.local
             * SPN found :LDAP/DC1
             * SPN found :LDAP/DC1.mydomain.local/mydomain
             * SPN found :LDAP/ff423fb8-0331-46df-b765-b3ed4cdc62da._msdcs.mydomain.local
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/ff423fb8-0331-46df-b765-b3ed4cdc62da/mydomain.local
             * SPN found :HOST/DC1.mydomain.local/mydomain.local
             * SPN found :HOST/DC1.mydomain.local
             * SPN found :HOST/DC1
             * SPN found :HOST/DC1.mydomain.local/mydomain
             * SPN found :GC/DC1.mydomain.local/mydomain.local
             ......................... DC1 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             * Security Permissions check for all NC's on DC DC1.
             * Проверка разрешений безопасности для
               DC=ForestDnsZones,DC=mydomain,DC=local
                (NDNC,Version 3)
             * Проверка разрешений безопасности для
               DC=DomainDnsZones,DC=mydomain,DC=local
                (NDNC,Version 3)
             * Проверка разрешений безопасности для
               CN=Schema,CN=Configuration,DC=mydomain,DC=local
                (Schema,Version 3)
             * Проверка разрешений безопасности для
               CN=Configuration,DC=mydomain,DC=local
                (Configuration,Version 3)
             * Проверка разрешений безопасности для
               DC=mydomain,DC=local
                (Domain,Version 3)
             ......................... DC1 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             * Network Logons Privileges Check
             Verified share \\DC1\netlogon
             Verified share \\DC1\sysvol
             ......................... DC1 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             DC1 is in domain DC=mydomain,DC=local
             Checking for CN=DC1,OU=Domain Controllers,DC=mydomain,DC=local in domain DC=mydomain,DC=local on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=id-grou
    p,DC=local in domain CN=Configuration,DC=mydomain,DC=local on 1 servers
                Object is up-to-date on all servers.
             ......................... DC1 - пройдена проверка ObjectsReplicated
          Проверка пропущена по запросу пользователя: OutboundSecureChannels
          Запуск проверки: Replications
             * Replications Check
             * Replication Latency Check
                DC=ForestDnsZones,DC=mydomain,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's
    no longer replicating this nc.  0 had no latency information (Win2K DC).
                DC=DomainDnsZones,DC=mydomain,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's
    no longer replicating this nc.  0 had no latency information (Win2K DC).
                CN=Schema,CN=Configuration,DC=mydomain,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's
    no longer replicating this nc.  0 had no latency information (Win2K DC).
                CN=Configuration,DC=mydomain,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's
    no longer replicating this nc.  0 had no latency information (Win2K DC).
                DC=mydomain,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's
    no longer replicating this nc.  0 had no latency information (Win2K DC).
             ......................... DC1 - пройдена проверка Replications
          Запуск проверки: RidManager
             * Available RID Pool for the Domain is 14101 to 1073741823
             * DC1.mydomain.local is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 13601 to 14100
             * rIDPreviousAllocationPool is 13601 to 14100
             * rIDNextRID: 13605
             ......................... DC1 - пройдена проверка RidManager
          Запуск проверки: Services
             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: DFSR
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... DC1 - пройдена проверка Services
          Запуск проверки: SystemLog
             * The System Event log test
             Возникло предупреждение. Код события (EventID): 0x80000109
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство не сообщило допустимую единицу измерения углов.
             Возникло предупреждение. Код события (EventID): 0x80000101
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство сообщило неверный угловой физический диапазон.
             Возникло предупреждение. Код события (EventID): 0x80000102
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство сообщило неверный угловой логический диапазон.
             Возникло предупреждение. Код события (EventID): 0x80000109
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство не сообщило допустимую единицу измерения углов.
             Возникло предупреждение. Код события (EventID): 0x80000101
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство сообщило неверный угловой физический диапазон.
             Возникло предупреждение. Код события (EventID): 0x80000102
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство сообщило неверный угловой логический диапазон.
             Возникло предупреждение. Код события (EventID): 0x80000109
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство не сообщило допустимую единицу измерения углов.
             Возникло предупреждение. Код события (EventID): 0x80000101
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство сообщило неверный угловой физический диапазон.
             Возникло предупреждение. Код события (EventID): 0x80000102
                Время создания: 07/10/2019   14:30:52
                Строка события: Указывающее устройство сообщило неверный угловой логический диапазон.
             Found no errors in "System" Event log in the last 60 minutes.
             ......................... DC1 - пройдена проверка SystemLog
          Проверка пропущена по запросу пользователя: Topology
          Проверка пропущена по запросу пользователя: VerifyEnterpriseReferences
          Запуск проверки: VerifyReferences
             Ссылка на системный объект (serverReference) CN=DC1,OU=Domain Controllers,DC=mydomain,DC=local и обратная
             ссылка на CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local
             правильны.
             Ссылка на системный объект (serverReferenceBL)
             CN=DC1,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=mydomain,DC=local и обратная
             ссылка на
             CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local
             правильны.
             Ссылка на системный объект (msDFSR-ComputerReferenceBL)
             CN=DC1,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=mydomain,DC=local и обратная
             ссылка на CN=DC1,OU=Domain Controllers,DC=mydomain,DC=local правильны.
             ......................... DC1 - пройдена проверка VerifyReferences
          Проверка пропущена по запросу пользователя: VerifyReplicas

          Проверка пропущена по запросу пользователя: DNS
          Проверка пропущена по запросу пользователя: DNS

       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка CrossRefValidation

       Выполнение проверок разделов на: mydomain
          Запуск проверки: CheckSDRefDom
             ......................... mydomain - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... mydomain - пройдена проверка CrossRefValidation

       Выполнение проверок предприятия на: mydomain.local
          Проверка пропущена по запросу пользователя: DNS
          Проверка пропущена по запросу пользователя: DNS
          Запуск проверки: LocatorCheck
             Имя GC: \\DC1.mydomain.local
             Locator Flags: 0xe000f1fd
             PDC Name: \\DC1.mydomain.local
             Locator Flags: 0xe000f1fd
             Time Server Name: \\DC1.mydomain.local
             Locator Flags: 0xe000f1fd
             Preferred Time Server Name: \\DC1.mydomain.local
             Locator Flags: 0xe000f1fd
             KDC Name: \\DC1.mydomain.local
             Locator Flags: 0xe000f1fd
             ......................... mydomain.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             Сайт Default-First-Site-Name пропущен, он находится вне диапазона, определенного аргументами командной строки.
             ......................... mydomain.local - пройдена проверка Intersite
    PS C:\Windows\system32>


    • Изменено Rnh8000 10 июля 2019 г. 11:58 добавлено
    10 июля 2019 г. 11:52
  • dc1 не должен смотреть на dc5, dns dc1 только 127.0.0.1 он ведущий

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    10 июля 2019 г. 11:54
  • Это ваше "не всё гладко" имеет единственную причину: брандмауэр блокирует доступ по RPC к Event Log

    Само по себе это не может быть причиной, но может быть сиптомом: брандмауэр точно так же может блокировать и доступ по RPC к репликации.

    Сообщите, что у вас используется вкачестве брандмауэра. Если это встроенный брандмауэр - включены ли стандартные правила входящих подключений Active Directory Domain Controller (RPC-EPMAP) и Active Directory Domain Controller (RPC), и нет ли у вас правил входящих подключений с явным запретом.


    Слава России!

    10 июля 2019 г. 11:56
  • dc1 не должен смотреть на dc5, dns dc1 только 127.0.0.1 он ведущий

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    Изначально так и было.. Поставил только 127.0.0.1 - ничего вроде не поменялось. 
    10 июля 2019 г. 12:11
  • Это ваше "не всё гладко" имеет единственную причину: брандмауэр блокирует доступ по RPC к Event Log

    Само по себе это не может быть причиной, но может быть сиптомом: брандмауэр точно так же может блокировать и доступ по RPC к репликации.

    Сообщите, что у вас используется вкачестве брандмауэра. Если это встроенный брандмауэр - включены ли стандартные правила входящих подключений Active Directory Domain Controller (RPC-EPMAP) и Active Directory Domain Controller (RPC), и нет ли у вас правил входящих подключений с явным запретом.


    Слава России!

    Встроенный брандмауэр. Ничего руками не правил.

    Правила, которые вы указали, включены на обоих машинах.

    Правил с явным запретом нет ни там ни там.. Ни для входящих, ни для исходящих..

    10 июля 2019 г. 12:14
  • А вы попробуйте на время отключить брандмауэер.
    10 июля 2019 г. 12:20
  • А вы попробуйте на время отключить брандмауэер.
    Хоть мне и думается, что ваш совет из разряда вредных - но я попробовал) Не получается
    10 июля 2019 г. 13:00
  • Наверное, нужно сделать то, что надо было делать сразу: посмотреть логи.

    Смотреть нужно в папке %SystemRoot%\Debug либо файл dcpromoui.log (если ошибка обнаружилась в процессе выполнения мастера до нажатия кнопки запуска процесса), либо в dcpromo.log (если ошибка обнаружилась уже непосредственно в процессе повышения до контроллера домена). Смотреть надо строчку с кодом ошибки и предыдущие строки, которые показывают, какая именно операция выполнялась.


    Слава России!

    10 июля 2019 г. 13:02
  • отключать не нужно, просто сделайте правило для вашего второго dc2 неограниченное по всем портам.

    Не получается

    что именно отключить или отключив результата не дало?


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    11 июля 2019 г. 3:21
  • Наверное, нужно сделать то, что надо было делать сразу: посмотреть логи.

    Смотреть нужно в папке %SystemRoot%\Debug либо файл dcpromoui.log (если ошибка обнаружилась в процессе выполнения мастера до нажатия кнопки запуска процесса), либо в dcpromo.log (если ошибка обнаружилась уже непосредственно в процессе повышения до контроллера домена). Смотреть надо строчку с кодом ошибки и предыдущие строки, которые показывают, какая именно операция выполнялась.


    Слава России!

    Это оно?

    dcpromoui 944.2E0 3737 09:41:03.066                   autoritative server found
    dcpromoui 944.2E0 3738 09:41:03.066                   Enter GetIpAddress dc1.mydomain.local
    dcpromoui 944.2E0 3739 09:41:03.066                     Calling GetAddrInfoW
    dcpromoui 944.2E0 373A 09:41:03.066                     192.168.100.99
    dcpromoui 944.2E0 373B 09:41:03.066                   result = 00000000
    dcpromoui 944.2E0 373C 09:41:03.066                   authZone            = mydomain.local
    dcpromoui 944.2E0 373D 09:41:03.066                   authServer          = dc1.mydomain.local
    dcpromoui 944.2E0 373E 09:41:03.066                   authServerIpAddress = 192.168.100.99
    dcpromoui 944.2E0 373F 09:41:03.066                 Enter MyDnsUpdateTest mydomain.local
    dcpromoui 944.2E0 3740 09:41:03.066                   Calling DnsUpdateTest
    dcpromoui 944.2E0 3741 09:41:03.066                   hContextHandle : 0
    dcpromoui 944.2E0 3742 09:41:03.066                   pszName        : mydomain.local
    dcpromoui 944.2E0 3743 09:41:03.066                   fOptions       : 0
    dcpromoui 944.2E0 3744 09:41:03.066                   aipServers     : 0
    dcpromoui 944.2E0 3745 09:41:03.067                   status = 0000232E
    dcpromoui 944.2E0 3746 09:41:03.067                   RCODE_YXDOMAIN
    dcpromoui 944.2E0 3747 09:41:03.067                 DNS registration support verified.
    dcpromoui 944.2E0 3748 09:41:03.067                 DiagnosticCode = 1
    dcpromoui 944.2E0 3749 09:41:03.067               server name:            mydomain.local
    dcpromoui 944.2E0 374A 09:41:03.067               error code:             9006
    dcpromoui 944.2E0 374B 09:41:03.067               Auth zone:              mydomain.local
    dcpromoui 944.2E0 374C 09:41:03.067               Auth server:            dc1.mydomain.local
    dcpromoui 944.2E0 374D 09:41:03.067               Auth server IP address: 192.168.100.99
    dcpromoui 944.2E0 374E 09:41:03.067               diagnosticResultCode:   1
    dcpromoui 944.2E0 374F 09:41:03.067             Enter NeedToCreateDelegationOrShowDnsRegistrationDiagnosis
    dcpromoui 944.2E0 3750 09:41:03.067               Enter State::GetOperation REPLICA
    dcpromoui 944.2E0 3751 09:41:03.067               Enter State::IsReadOnlyReplica false

    11 июля 2019 г. 8:52
  • отключать не нужно, просто сделайте правило для вашего второго dc2 неограниченное по всем портам.

    Не получается

    что именно отключить или отключив результата не дало?


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    Добавил разрешительные правила на обоих серверах для всех портов и для tcp и для udp..

    И для входящих и для исходящих..

    Результата не дало.

    11 июля 2019 г. 8:54
  • Это оно?

    dcpromoui 944.2E0 3745 09:41:03.067                   status = 0000232E
    dcpromoui 944.2E0 3746 09:41:03.067                   RCODE_YXDOMAIN
    dcpromoui 944.2E0 3747 09:41:03.067                 DNS registration support verified.
    dcpromoui 944.2E0 3748 09:41:03.067                 DiagnosticCode = 1
    dcpromoui 944.2E0 3749 09:41:03.067               server name:            mydomain.local
    dcpromoui 944.2E0 374A 09:41:03.067               error code:             9006
    Нет. Это - проверка регистрации в DNS

    Слава России!

    11 июля 2019 г. 9:07
  • такое впечатление что он не пускает конкретно по rpc, вы доступность проверяли через rpcping?

    rpcping.exe /s server_name



    Идти туда, где не ждут, Атаковать там, где не подготовились.

    11 июля 2019 г. 11:44
  • такое впечатление что он не пускает конкретно по rpc, вы доступность проверяли через rpcping?

    rpcping.exe /s server_name



    Идти туда, где не ждут, Атаковать там, где не подготовились.

    PS C:\Users\rndcadmin> rpcping.exe /s dc1.mydomain.local
    Завершено вызовов: 1 за 15 мс
    66 T/S или  15.000 мс/T

    PS C:\Users\rndcadmin>

    11 июля 2019 г. 13:47
  • данный вызов делали с потенциального второго контроллера? если так то доступность rpc значит есть. у вас что-то другое...

    вы все это время мастером пользовались при добавлении? может стоит посмотреть как это делать через powershell и попробовать?


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    12 июля 2019 г. 9:39
  • данный вызов делали с потенциального второго контроллера? если так то доступность rpc значит есть. у вас что-то другое...

    вы все это время мастером пользовались при добавлении? может стоит посмотреть как это делать через powershell и попробовать?


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    Да. Пробовал в обе стороны, всё норм.

    Через powershell точно такая же ситуация.

    12 июля 2019 г. 10:08
  • Как  насчет клонирования домен контроллера?!

    ДК виртуальный, сервер на 2012 судя из ветки, а 2012+ это уже умеет.

    Попробуйте сделать клонирование и посмотреть результат

    Статья



    12 июля 2019 г. 18:24