none
Active Directory Windows 2008 R2 RODC RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Существует сеть

    2 RWDC - Windows 2008 R2 - ska-ad1.vdh.loc и ska-ad2.vdh.loc

    2 RODC - Windows 2008 R2 - sam-ad1.vdh.loc и rec-ad1.vdh.loc

    Один из контроллеров RO пришлось понизить до рядового сервера, но через 3 недели понадобилось снова поднять новый RODC в том же подразделении, на старом сервере была поднята с нуля Windows 2008 R2 и как полагается DCPROMO отработал как по учебнику. Прошли сутки и я начал тестировать все работает даже репликация ходит на ура и в DNS все записи появились, но DCDIAG показывает одну неприятность, в интернете информации не нашел.

    Подскажите куда копать?

    Запуск проверки: MachineAccount
       Checking machine account for DC REC-AD1 on DC REC-AD1.
       * SPN found :LDAP/REC-AD1.vdh.loc/vdh.loc
       * SPN found :LDAP/REC-AD1.vdh.loc
       * SPN found :LDAP/REC-AD1
       * SPN found :LDAP/REC-AD1.vdh.loc/VDH
       * Отсутствующий SPN
       :LDAP/47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc
       * SPN found :HOST/REC-AD1.vdh.loc/vdh.loc
       * SPN found :HOST/REC-AD1.vdh.loc
       * SPN found :HOST/REC-AD1
       * SPN found :HOST/REC-AD1.vdh.loc/VDH
       * SPN found :GC/REC-AD1.vdh.loc/vdh.loc
       ......................... REC-AD1 - не пройдена проверка


    • Изменено Koluka.A 18 июля 2013 г. 11:41
    18 июля 2013 г. 11:34
    |

Ответы

  • Question
    Нужно войти
    0
    Нужно войти
       Checking machine account for DC REC-AD1 on DC REC-AD1.
       * Отсутствующий SPN
       :LDAP/47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc
       ......................... REC-AD1 - не пройдена проверка

    SetSpn.exe -A LDAP/47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc REC-AD1
    предварительно я бы конечно посмотрел - нет ли этого SPN ещё у кого...
    • Изменено AndricoRusEditor 18 июля 2013 г. 11:57 причина есть
    • Помечено в качестве ответа Koluka.A 18 июля 2013 г. 12:45
    18 июля 2013 г. 11:47
    |
    Отвечающий

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти
       Checking machine account for DC REC-AD1 on DC REC-AD1.
       * Отсутствующий SPN
       :LDAP/47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc
       ......................... REC-AD1 - не пройдена проверка

    SetSpn.exe -A LDAP/47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc REC-AD1
    предварительно я бы конечно посмотрел - нет ли этого SPN ещё у кого...
    • Изменено AndricoRusEditor 18 июля 2013 г. 11:57 причина есть
    • Помечено в качестве ответа Koluka.A 18 июля 2013 г. 12:45
    18 июля 2013 г. 11:47
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти

    Извиняюсь, но уже нашел решение, просто у меня имя сервера такое же как и было раньше, и в домене по каким то не понятным для меня причинам осталось старое SPN имя поэтому регистрация нового имени решила данную проблему.  

    setspn -A LDAP/47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc rec-ad1 

    18 июля 2013 г. 12:44
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Извиняюсь, но уже нашел решение, просто у меня имя сервера такое же как и было раньше, и в домене по каким то не понятным для меня причинам осталось старое SPN имя поэтому регистрация нового имени решила данную проблему.
    Это ещё не проблема была. Выполните SetSpn.exe -X теперь, чтобы убедиться, что нет дубликатов.

    Active Directory? Ask me how.

    18 июля 2013 г. 12:46
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти
    Не заметил Ваш ответ, спасибо!
    18 июля 2013 г. 12:46
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Нужно ли удалять старое имя и как это сделать? Вот такое имя присутствует по команде setspn -Q */rec-ad1

    В DNS я не нашел такой записи

    ldap/06d0242c-f3bb-4944-9814-13d41cbaa569._msdcs.vdh.loc

    18 июля 2013 г. 12:49
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Нужно ли удалять старое имя и как это сделать? Вот такое имя присутствует по команде setspn -Q */rec-ad1

    В DNS я не нашел такой записи

    ldap/06d0242c-f3bb-4944-9814-13d41cbaa569._msdcs.vdh.loc

    лучше покажите полный вывод setspn -Q */rec-ad1 :)

    Active Directory? Ask me how.

    18 июля 2013 г. 12:52
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти

    Как я думаю имя осталось после понижения сервера, и так как FQDN не менялось домен решил присвоить старое SPN.

    Проверка домена DC=vdh,DC=loc
    CN=REC-AD1,OU=Domain Controllers,DC=vdh,DC=loc
            LDAP/47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc
            RestrictedKrbHost/REC-AD1.vdh.loc
            RestrictedKrbHost/REC-AD1
            MSSQLSvc/rec-ad1.vdh.loc:SQLEXPRESS
            GC/rec-ad1.vdh.loc/vdh.loc
            ldap/06d0242c-f3bb-4944-9814-13d41cbaa569._msdcs.vdh.loc
            ldap/rec-ad1.vdh.loc/VDH
            ldap/REC-AD1
            ldap/rec-ad1.vdh.loc
            ldap/rec-ad1.vdh.loc/ForestDnsZones.vdh.loc
            ldap/rec-ad1.vdh.loc/DomainDnsZones.vdh.loc
            ldap/rec-ad1.vdh.loc/vdh.loc
            Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/rec-ad1.vdh.loc
            TERMSRV/REC-AD1
            TERMSRV/rec-ad1.vdh.loc
            WSMAN/rec-ad1
            WSMAN/rec-ad1.vdh.loc
            HOST/rec-ad1.vdh.loc/vdh.loc
            HOST/rec-ad1.vdh.loc/VDH
            NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/rec-ad1.vdh.loc
            DNS/rec-ad1.vdh.loc
            HOST/REC-AD1
            HOST/rec-ad1.vdh.loc

    Найдено существующее SPN.

    18 июля 2013 г. 12:59
    |
  • Question
    Нужно войти
    0
    Нужно войти
    И кстати если сравнивать с остальными серверами то по логике на этом сервере отсутствует еще 1 запись  ldap/REC-AD1/VDH
    18 июля 2013 г. 13:05
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Как я думаю имя осталось после понижения сервера, и так как FQDN не менялось домен решил присвоить старое SPN.

    CN=REC-AD1,OU=Domain Controllers,DC=vdh,DC=loc
            LDAP/47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc
            ldap/06d0242c-f3bb-4944-9814-13d41cbaa569._msdcs.vdh.loc
            Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/rec-ad1.vdh.loc
            NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/rec-ad1.vdh.loc
    Найдено существующее SPN.

    "домен" сам ничего не "решает" в этом плане... данные к примеру SPNы формируются из GUID'ов, которые были присвоены различным составляющим контроллеруа когда он таковым становился... в вашем случае можно сориентироваться по DNS - если вы не видите там 06d0242c-f3bb-4944-9814-13d41cbaa569._msdcs.vdh.loc, но видите 47ba52ee-70a7-43d2-9b91-d8e0bb3c9970._msdcs.vdh.loc - то удаляйте SPN с несуществующим. В худшем случае dcdiag /q вам скажет...

    Active Directory? Ask me how.

    18 июля 2013 г. 13:08
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти
    И кстати если сравнивать с остальными серверами то по логике на этом сервере отсутствует еще 1 запись  ldap/REC-AD1/VDH
    не надо с остальными сравнивать :) возьмите - поднимите новый временный RODC с другим именем рядом и посмотрите на его SPN'ы после подъёма :)

    Active Directory? Ask me how.

    18 июля 2013 г. 13:10
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти
    Так яж говорю что у меня еще несколько RODC подняты мною год назад и там присутствует запись вида ldap/сервер/VDH нужно ли её добавлять? И еще раз напомните если не сложно как удалить SPN запись 06d0242c-f3bb-4944-9814-13d41cbaa569._msdcs.vdh.loc ?
    18 июля 2013 г. 13:29
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Так яж говорю что у меня еще несколько RODC подняты мною год назад

    И еще раз напомните если не сложно как удалить SPN запись 06d0242c-f3bb-4944-9814-13d41cbaa569._msdcs.vdh.loc ?

    Мы достоверно сейчас не можем знать про то, что у вас происходило за год. Все необходимые SPN DC регистрирует себе сам. Если dcdiag ругался на один конкретный, то более и не нужно - возможно какая-то из фич позже добавит дополнительный...

    setspn -d 06d0242c-f3bb-4944-9814-13d41cbaa569._msdcs.vdh.loc REC-AD1

    Active Directory? Ask me how.

    18 июля 2013 г. 13:33
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти
    Спасибо.
    18 июля 2013 г. 13:34
    |
  • Question
    Нужно войти
    0
    Нужно войти

    И всё же я считаю что это остатки от старого контроллера, потому как SQL на этот сервер не ставился но был на старом сервере а запись до сих пор существует

    MSSQLSvc/rec-ad1.vdh.loc:SQLEXPRESS


    • Изменено Koluka.A 18 июля 2013 г. 13:38 измене
    18 июля 2013 г. 13:36
    |