none
Переезд одного из КД в другую подсеть RRS feed

  • Вопрос

  • Добрый день!

    Один из КД (роли DC, DHCP, DNS) на Server 2008R2 переехал в другую подсеть.

    На основном КД создал новый объект Site, назначил ему подсеть, переместил туда переехваший КД.

    Переехавший КД еще не включал, сетевые настройки на нем не менял.

    Вопрос - что надо еще сделать, чтобы КД заработал на новом месте, DNS-записи надо редактировать на оставшихся КД?

    Спасибо.

Ответы

  • Ошибки у вас связаны с тем, что вы перенесли в другой сайт КД, у которого уже были проблемы с репликацией - начиная с 22 февраля с.г. судя по dcdiag

    Судя по ошибкам, этот КД теперь не имеет в своей копии AD правильных паролей для PDC и DC2 - потому что свои пароли компьютеры меняют раз в 30 дней по умолчанию, а в AD хранятся новая и предыдущая копии, а последняя успешная репликация была намного раньше. Поэтому имеющиеся у него билеты Kerberos на доступ к другим КД оказываются негодными и репликация не идет. Если у вас репликация в другую сторону - с этого КД  (DC3) на PDC или DC2 (хотя бы на один из них) проходила без проблем (а как вы пишете, на них dcdiag проблем не показывает), то для исправления ситуации можно попробовать получить билет Kerberos с одного из этих КД и произвести репликацию. Подробности, как это делать, читайте  в этой теме про аналогичный вашему случай: https://social.technet.microsoft.com/Forums/ru-RU/9390b7f8-2c88-47f9-9990-e8bd2142fd20/-2012-r2?forum=WS8ru

    PS А "пересоздана", судя по всему, у вас не учетная запись администратора, а папка его профиля (имя которой отображается в подсказке командной строки). Можете это игнорировать.

    PPS Записи в DNS не возникают, скорее всего, по той же причине - не проходит аутентификация из-за неверного пароля.


    Слава России!

  • Попробовал netdom отсюда:

    https://support.microsoft.com/en-us/help/325850/how-to-use-netdom-exe-to-reset-machine-account-passwords-of-a-windows

    Получилось, репликация проходит, ошибок нет, и записи в DNS-зонах появились.

    Спасибо!

Все ответы

  • В общем-то - больше ничего. Достаточно поменять сетевые настройки этого КД - указать новый IP с маской и шлюзом по умолчанию, а также - обязательно проверить, чтобы в качестве сервера DNS у этого КД был указан не только он сам, но и другой, доступный ему КД.

    Записи в DNS вручную менять не надо (тем более, что при переезде КД между сайтами их меняется много), потому что они регистрируются динамически (если вы это не отключали специально) самим КД, причем нынешние версии (которые gjckt Цшт2Л) Windows достаточно умны, чтобы регистрировать записи на сервере DNS на другом КД (если он есть в списке и доступен, конечно).

    Но процесс этот, если ничего не трогать, займет достаточно большое время: по умолчанию репликация между сайтами делается раз в 3 часа (хотя можно интервал до 15 минут уменьшить), а для перестроения топологии репликации (проверка топологии, кстати, делается раз в 15 минут по умолчанию) одного сеанса обычно не хватает. Но в течение суток всё должно стать ОК, даже если не запускать репликацию и  процесс проверки/перестроения топологии вручную (такая возможность тоже есть).


    Слава России!

  • При логоне проблемный DC (DC3) пересоздал учетную запись, была Администратор, теперь Администратор.Domain, пароль не менялся.

    DC пингом и по ИП и по ДНС-имени друг друга видят, трафик ничто не блокирует.

    На работающих DC (PDC, DC2) ошибок нет, dcdiag проходят, но зона _msdcs не соответствует конфигурации, нет созданного сайта и записей лдап и кербероса в них.

    На проблемном DC3 также перенес себя в нужный сайт, там _msdcs выглядит согласно конфигурации сайтов, dcdiag вот такое вот показывает:

          Запуск проверки: NCSecDesc
             ......................... DC3 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC3 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC3 - пройдена проверка
             ObjectsReplicated
          Запуск проверки: Replications
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из DC2 в DC3
                Контекст именования: DC=ForestDnsZones,DC=Domain,DC=local
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.

                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из PDC в DC3
                Контекст именования: DC=ForestDnsZones,DC=Domain,DC=local
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.

                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из DC2 в DC3
                Контекст именования: DC=DomainDnsZones,DC=Domain,DC=local
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.

                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из PDC в DC3
                Контекст именования: DC=DomainDnsZones,DC=Domain,DC=local
                При репликации возникла ошибка (1256):
                Удаленная система недоступна. За информацией о разрешении проблем в
    сети, обратитесь к справочной системе Windows.

                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из DC2 в DC3
                Контекст именования: CN=Schema,CN=Configuration,DC=Domain,DC=local
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из PDC в DC3
                Контекст именования: CN=Schema,CN=Configuration,DC=Domain,DC=local
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из DC2 в DC3
                Контекст именования: CN=Configuration,DC=Domain,DC=local
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из PDC в DC3
                Контекст именования: CN=Configuration,DC=Domain,DC=local
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2020-05-10 21:28:28.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                81 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из DC2 в DC3
                Контекст именования: DC=Domain,DC=local
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             [Replications Check,DC3] Сбой при последней попытке репликации:
                Из PDC в DC3
                Контекст именования: DC=Domain,DC=local
                При репликации возникла ошибка (-2146893022):
                Главное конечное имя неверно.
                Сбой возник в 2020-05-10 21:19:00.
                Последняя успешная операция была в 2020-02-22 10:52:54. После
                последней успешной операции было
                77 сбоев.
             ......................... DC3 - не пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC3 - не пройдена проверка RidManager
          Запуск проверки: Services
             ......................... DC3 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/10/2020   21:11:20
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера PDC
    c$. Использовалось конечное имя Domain\PDC$. Это означает, что конечному сер
    веру не удалось расшифровать билет, предоставленный клиентом. Это может быть из-
    за того, что имя участника службы конечного сервера (SPN) зарегистрировано на уч
    етной записи, отличной от учетной записи, используемой конечной службой. Убедите
    сь, что конечное имя SPN зарегистрировано только на учетной записи, используемой
     сервером. Причиной этой ошибки может быть еще и то, что конечная служба использ
    ует другой пароль для учетной записи конечной службы, отличный от пароля центра
    распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитес
    ь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль.
    Если имя сервера задано не полностью и конечный домен (Domain.LOCAL) отличен от д
    омена клиента (Domain.LOCAL), проверьте, нет ли серверных учетных записей с таким
     же именем в этих двух доменах, или используйте полное имя для идентификации сер
    вера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/10/2020   21:13:37
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера DC2
    c$. Использовалось конечное имя Domain\DC2$. Это означает, что конечному сер
    веру не удалось расшифровать билет, предоставленный клиентом. Это может быть из-
    за того, что имя участника службы конечного сервера (SPN) зарегистрировано на уч
    етной записи, отличной от учетной записи, используемой конечной службой. Убедите
    сь, что конечное имя SPN зарегистрировано только на учетной записи, используемой
     сервером. Причиной этой ошибки может быть еще и то, что конечная служба использ
    ует другой пароль для учетной записи конечной службы, отличный от пароля центра
    распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитес
    ь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль.
    Если имя сервера задано не полностью и конечный домен (Domain.LOCAL) отличен от д
    омена клиента (Domain.LOCAL), проверьте, нет ли серверных учетных записей с таким
     же именем в этих двух доменах, или используйте полное имя для идентификации сер
    вера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/10/2020   21:19:00
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера DC2
    c$. Использовалось конечное имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/df4839f7-28
    61-4021-89e6-1d29e3f287fa/Domain.local@Domain.local. Это означает, что конечному с
    ерверу не удалось расшифровать билет, предоставленный клиентом. Это может быть и
    з-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на
    учетной записи, отличной от учетной записи, используемой конечной службой. Убеди
    тесь, что конечное имя SPN зарегистрировано только на учетной записи, используем
    ой сервером. Причиной этой ошибки может быть еще и то, что конечная служба испол
    ьзует другой пароль для учетной записи конечной службы, отличный от пароля центр
    а распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедит
    есь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль
    . Если имя сервера задано не полностью и конечный домен (Domain.LOCAL) отличен от
     домена клиента (Domain.LOCAL), проверьте, нет ли серверных учетных записей с так
    им же именем в этих двух доменах, или используйте полное имя для идентификации с
    ервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/10/2020   21:19:00
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера PDC
    c$. Использовалось конечное имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/D128588D-78
    7F-4D96-ADE8-21DF17CF1A80/Domain.local@Domain.local. Это означает, что конечному с
    ерверу не удалось расшифровать билет, предоставленный клиентом. Это может быть и
    з-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на
    учетной записи, отличной от учетной записи, используемой конечной службой. Убеди
    тесь, что конечное имя SPN зарегистрировано только на учетной записи, используем
    ой сервером. Причиной этой ошибки может быть еще и то, что конечная служба испол
    ьзует другой пароль для учетной записи конечной службы, отличный от пароля центр
    а распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедит
    есь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль
    . Если имя сервера задано не полностью и конечный домен (Domain.LOCAL) отличен от
     домена клиента (Domain.LOCAL), проверьте, нет ли серверных учетных записей с так
    им же именем в этих двух доменах, или используйте полное имя для идентификации с
    ервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/10/2020   21:19:00
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера PDC
    c$. Использовалось конечное имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/d128588d-78
    7f-4d96-ade8-21df17cf1a80/Domain.local@Domain.local. Это означает, что конечному с
    ерверу не удалось расшифровать билет, предоставленный клиентом. Это может быть и
    з-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на
    учетной записи, отличной от учетной записи, используемой конечной службой. Убеди
    тесь, что конечное имя SPN зарегистрировано только на учетной записи, используем
    ой сервером. Причиной этой ошибки может быть еще и то, что конечная служба испол
    ьзует другой пароль для учетной записи конечной службы, отличный от пароля центр
    а распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедит
    есь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль
    . Если имя сервера задано не полностью и конечный домен (Domain.LOCAL) отличен от
     домена клиента (Domain.LOCAL), проверьте, нет ли серверных учетных записей с так
    им же именем в этих двух доменах, или используйте полное имя для идентификации с
    ервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/10/2020   21:19:42
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера PDC
    c$. Использовалось конечное имя DNS/PDC.Domain.local. Это означает, что коне
    чному серверу не удалось расшифровать билет, предоставленный клиентом. Это может
     быть из-за того, что имя участника службы конечного сервера (SPN) зарегистриров
    ано на учетной записи, отличной от учетной записи, используемой конечной службой
    . Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, исп
    ользуемой сервером. Причиной этой ошибки может быть еще и то, что конечная служб
    а использует другой пароль для учетной записи конечной службы, отличный от парол
    я центра распределения ключей Kerberos (KDC) для учетной записи конечной службы.
     Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий
     пароль. Если имя сервера задано не полностью и конечный домен (Domain.LOCAL) отл
    ичен от домена клиента (Domain.LOCAL), проверьте, нет ли серверных учетных записе
    й с таким же именем в этих двух доменах, или используйте полное имя для идентифи
    кации сервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/10/2020   21:29:09
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера PDC
    c$. Использовалось конечное имя LDAP/d128588d-787f-4d96-ade8-21df17cf1a80._msdcs
    .Domain.local. Это означает, что конечному серверу не удалось расшифровать билет,
     предоставленный клиентом. Это может быть из-за того, что имя участника службы к
    онечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной з
    аписи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистри
    ровано только на учетной записи, используемой сервером. Причиной этой ошибки мож
    ет быть еще и то, что конечная служба использует другой пароль для учетной запис
    и конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC)
     для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC о
    бновлены, чтобы использовать текущий пароль. Если имя сервера задано не полность
    ю и конечный домен (Domain.LOCAL) отличен от домена клиента (Domain.LOCAL), провер
    ьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или
     используйте полное имя для идентификации сервера.
             Возникла ошибка. Код события (EventID): 0x40000004
                Время создания: 05/10/2020   21:29:09
                Строка события:
                Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера PDC
    c$. Использовалось конечное имя ldap/PDC.Domain.local. Это означает, что кон
    ечному серверу не удалось расшифровать билет, предоставленный клиентом. Это може
    т быть из-за того, что имя участника службы конечного сервера (SPN) зарегистриро
    вано на учетной записи, отличной от учетной записи, используемой конечной службо
    й. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, ис
    пользуемой сервером. Причиной этой ошибки может быть еще и то, что конечная служ
    ба использует другой пароль для учетной записи конечной службы, отличный от паро
    ля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы
    . Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущи
    й пароль. Если имя сервера задано не полностью и конечный домен (Domain.LOCAL) от
    личен от домена клиента (Domain.LOCAL), проверьте, нет ли серверных учетных запис
    ей с таким же именем в этих двух доменах, или используйте полное имя для идентиф
    икации сервера.
             ......................... DC3 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC3 - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Domain
          Запуск проверки: CheckSDRefDom
             ......................... Domain - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Domain - пройдена проверка CrossRefValidation

       Выполнение проверок предприятия на: Domain.local
          Запуск проверки: LocatorCheck
             ......................... Domain.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... Domain.local - пройдена проверка Intersite

    C:\Users\Администратор.Domain>

    Мои мысли - из-за того, что на DC3 винда зачем-то создала новую учетку админа и службы не могут авторизоваться, SetSPN показывает следующее:

    Зарегистрирован ServicePrincipalNames для CN=DC3,OU=Domain Controllers,DC=Domain,DC=local:
            exchangeAB/DC3.Domain.local
            exchangeAB/DC3
            Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/DC3.Domain.local
            DNS/DC3.Domain.local
            HOST/DC3/Domain
            HOST/DC3.Domain.local/Domain
            GC/DC3.Domain.local/Domain.local
            HOST/DC3.Domain.local/Domain.local
            ldap/DC3/Domain
            ldap/c20b9d2d-bafa-443b-9bf6-a90f9423b1a8._msdcs.Domain.local
            ldap/DC3.Domain.local/Domain
            ldap/DC3
            ldap/DC3.Domain.local
            ldap/DC3.Domain.local/ForestDnsZones.Domain.local
            ldap/DC3.Domain.local/DomainDnsZones.Domain.local
            ldap/DC3.Domain.local/Domain.local
            E3514235-4B06-11D1-AB04-00C04FC2DCD2/c20b9d2d-bafa-443b-9bf6-a90f9423b1a8/Domain.local
            RestrictedKrbHost/DC3
            HOST/DC3
            RestrictedKrbHost/DC3.Domain.local
            HOST/DC3.Domain.local

    c20b9d2d-bafa-443b-9bf6-a90f9423b1a8 - GUID DC3 из NTDS settings, проверил и на DC3 и на PDC.

    С чем могут быть связаны данные ошибки и как их пытаться исправить?

    З.Ы.: погуглив, выяснил, что проблема может быть в том, что DC3 не включался месяца 2.5, есть шансы его спасти? =))





  • Ошибки у вас связаны с тем, что вы перенесли в другой сайт КД, у которого уже были проблемы с репликацией - начиная с 22 февраля с.г. судя по dcdiag

    Судя по ошибкам, этот КД теперь не имеет в своей копии AD правильных паролей для PDC и DC2 - потому что свои пароли компьютеры меняют раз в 30 дней по умолчанию, а в AD хранятся новая и предыдущая копии, а последняя успешная репликация была намного раньше. Поэтому имеющиеся у него билеты Kerberos на доступ к другим КД оказываются негодными и репликация не идет. Если у вас репликация в другую сторону - с этого КД  (DC3) на PDC или DC2 (хотя бы на один из них) проходила без проблем (а как вы пишете, на них dcdiag проблем не показывает), то для исправления ситуации можно попробовать получить билет Kerberos с одного из этих КД и произвести репликацию. Подробности, как это делать, читайте  в этой теме про аналогичный вашему случай: https://social.technet.microsoft.com/Forums/ru-RU/9390b7f8-2c88-47f9-9990-e8bd2142fd20/-2012-r2?forum=WS8ru

    PS А "пересоздана", судя по всему, у вас не учетная запись администратора, а папка его профиля (имя которой отображается в подсказке командной строки). Можете это игнорировать.

    PPS Записи в DNS не возникают, скорее всего, по той же причине - не проходит аутентификация из-за неверного пароля.


    Слава России!

  • 1. Дополнительно вам нужно будет перенастроить DHCP + DHCP Relay, т.к. скорее всего у вас изменится сетевой диапазон клиентов DHCP после переноса КД в др. сайт.

    2. Учитывая, что у вас уже начались проблемы с репликацией, то можно задуматься о понижении КД до рядового, а затем снова сделать его КД.

  • Попробовал netdom отсюда:

    https://support.microsoft.com/en-us/help/325850/how-to-use-netdom-exe-to-reset-machine-account-passwords-of-a-windows

    Получилось, репликация проходит, ошибок нет, и записи в DNS-зонах появились.

    Спасибо!