Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = MSK-DC16
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: SITEMSK-DC16
Запуск проверки: Connectivity
……………………. MSK-DC16 — пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: MaslovkaMSK-DC16
Запуск проверки: Advertising
……………………. MSK-DC16 — пройдена проверка Advertising
Запуск проверки: FrsEvent
……………………. MSK-DC16 — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
……………………. MSK-DC16 — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
……………………. MSK-DC16 — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
……………………. MSK-DC16 — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
……………………. MSK-DC16 — пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
……………………. MSK-DC16 — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
……………………. MSK-DC16 — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
[MSK-DC16] В учетных данных пользователя отсутствует разрешение на
выполнение данной операции.
Учетная запись, используемая для этой проверки, должна иметь права на
вход в сеть
для домена данного компьютера.
……………………. MSK-DC16 — не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
……………………. MSK-DC16 — пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
[Проверка репликации,MSK-DC16] Сбой функции
DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
«Доступ к репликации отвергнут.»
……………………. MSK-DC16 — не пройдена проверка Replications
Запуск проверки: RidManager
……………………. MSK-DC16 — пройдена проверка RidManager
Запуск проверки: Services
Не удалось открыть службу NTDS в MSK-DC16, ошибка 0x5
«Отказано в доступе.»
……………………. MSK-DC16 — не пройдена проверка Services
Запуск проверки: SystemLog
……………………. MSK-DC16 — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
……………………. MSK-DC16 — пройдена проверка
VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
……………………. ForestDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. ForestDnsZones — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
……………………. DomainDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DomainDnsZones — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
……………………. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Schema — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
……………………. Configuration — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Configuration — пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DOMEN
Запуск проверки: CheckSDRefDom
……………………. DOMEN — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DOMEN — пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: DOMEN.local
Запуск проверки: LocatorCheck
……………………. DOMEN.local — пройдена проверка LocatorCheck
Запуск проверки: Intersite
……………………. DOMEN.local — пройдена проверка Intersite
- Remove From My Forums
-
Вопрос
-
Добрый день, уважаемые коллеги!
Попал в одну неприятную ситуацию — в лесу есть домен test.local с контроллером домена dc1.test.local в репликационном сайте A и дочерний по отношению к нему домен child.test.local с 3-мя контроллерами — chdc1, chdc2 и chdc3 в сатах B, C и D соответственно.
Все под управлением Windows Server 2008 R2 Неделю назад контроллер cddc1 был некорректно восстановлен из образа и, соответственно, заблокировал сам себе как входящую, так и исходящую репликацию. Остальные контроллеры домена продолжали успешно реплицироваться,
однако через 4 дня chdc2 и chdc3 перестали реплицироваться с dc1. Было решено погасить chdc1, захватить FSMO-роли на chdc2 и вычистить с помощью ntdsutil на сервере chdc2 контроллер домена chdc1 из AD. В настоящий момент репликация между chdc2 и chdc3 проходит
успешно, также данные реплицируются с dc1 на chdc2 и chdc3, а в обратную сторону — нет( Поэтому даже информация об удалении chdc1 не реплицировалась на dc1. При попытке проведения принудительной репликации выдается ошибка «отказано в доступе», такая же ошибка
с кодом 5 просматривается и при выполнение repadmin /replsummary на dc1. При выполнении dcdiag на chdc2 и chdc3 обращает на себя следующая ошибка:Запуск проверки: Services
Не удалось открыть службу NTDS в chdc1, ошибка 0x5
«Отказано в доступе.»Идем дальше — заходим на dc1 с правами администратора предприятия и в проводнике набираем
\chdc2.child.test.local — выскакаивает окно с приглашением ввода логина и пароля, повторный ввод учетных данных админа предприятия результата не дает. Теперь набираем
\ip_адрес_chdc2 и успешно на него попадаем.Соответственно — проблема, кажется, в Kerberos. Выполнять NETDOM RESETPWD смысла нет — т.к. контроллеры dc1 и chdc2 находятся в разных доменах. Статья
http://support.microsoft.com/kb/260575 рекомендует в данном случае рекомендует провести проверку доверительных отношений между доменами. С помощью оснастки «AD — домены и доверие» проверяю входящие и исходящие
доверия на обоих серверах — проверка успешно проходит, но только после ввода пароля, имеющего права администратора удаленного домена…при штатной работе проверка успешно проходит без дополнительного ввода данных.Решил заснифить пакеты на dc1 при обращении на
\chdc2.child.test.local. Увидел следующую картину — вначале идет обращение к локальному DNS-серверу за A-записью chdc2.child.test.local. Верный IP-адрес возвращается. Затем снова идет DNS-запрос к серверу DNS за поиском Kerberos KDC — возвращается ответ
— chdc2 либо chdc3. Затем идет Kerberos5 зарос к одному из этих серверов, на что дается ответ — KRB_ERROR — KRB_AP_ERR_BAD_INTEGRITY (31).Что делать дальше ума не приложу, неужели это конец моему дочернему домену? Пока проверил только записи SPN — на всех контроллерах домена они присутствуют. На что еще обратить внимание?
Заранее спасибо за советы!
Ответы
-
Сразу видно из файла dc1, что непорядок с NTDS Settings (см. выше)
Там в файле:
Getting information for the server CN=NTDS Settings,CN=CHDC1,CN=Servers,CN=SITEB,CN=Sites,CN=Configuration,DC=root,DC=local
Это говорит о том, что в головном домене надо запустить оснастку Site and Services и настроить/почистить репликацию (NTDS Settings)
Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
-
Предложено в качестве ответа
30 ноября 2010 г. 10:56
-
Помечено в качестве ответа
Vinokurov Yuriy
1 декабря 2010 г. 9:21
-
Предложено в качестве ответа
-
Проблема решена!
Ретроспективный анализ ситуации показал следующее — домен child и контроллер домена chdc1 поднимался и настраивался непосредственно мной. Затем, администрирование домена child было делегировано администратору соответствующего филиала. Остальные
контроллеры домена child внедрялись непосредственно им, к сожалению, без моего контроля. В результате на них была некорректно настроена служба DNS и данные контроллеры были неспособны разрешать какие-либо имена из родительского домена. При этом
репликация данных с ними осуществлялась только через chdc1. Когда последний был неккоректно восстановлен из образа — репликация на нем отключилась и вся сеть разбилась на два логических сегмента — dc1 и chdc2, chdc3, chdc4 никогда
не «общались» при помощи Kerberos, т.о. пропустили более двух сменов пароля — отсюда и ошибка KRB_AP_ERR_BAD_INTEGRITY (31). Сбрасывать пароли компьютеров, как говорится в статье Microsoft, имеет смысл только для компьютеров из одного домена.
Для разных доменов имеет смысл обновлять отношения доверия. Данные отношения единожды обновлялись и это не принесло результата. Спустя какое-то время и незначительные действия, порядок которых уже, к сожалению, не востановить, было решено еще раз
пройтись по рекомендациям статьи:
http://support.microsoft.com/kb/816577На этот раз результат оказался положительным и репликация заработала! Для себя же сделал выводы, что доверяй, но проверяй и не стоит откладывать решение проблем с репликацией, если они есть (видел же, что дочерние контроллеры домена странно
себя ведут и выдают ошибки).Всем большое спасибо за участие и помощь!
-
Помечено в качестве ответа
Ivan BardeenEditor
1 декабря 2010 г. 13:23
-
Помечено в качестве ответа
Пролог:
Были 2 машина с Hyper-V, на них были по 1-му контроллеру домена SRV-DC1 и SRV-DC2. SRV-DC1 как всегда имел статус GC другой DC.
SRV-DC2 сдох полностью, SRV-DC1 на грани, но домен держит.
Поднята машина на WS2012R2 (DC-1) и сделана реплика на него SRV-DC1. Затем нужно было передать все бразды правление новой машине DC-1, с помощью ntdsutil сделан захват всего на свете новой машиной. habrahabr.ru/post/145221 погала эта статья.
И я такой счастливый думаю, отключу как я полудохлый SRV-DC1, и при отключении новая машина начала вопить, что не видит домена, AD и вообще в событиях появляются ошибки :
— Веб-службам Active Directory не удалось определить, является ли данный компьютер сервером глобального каталога.
— Службе репликации DFS не удалось установить подключение к партнеру SRV-DC1 по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.
DNS-адрес партнера: SRV-DC1.OTVC.RU
— Доменным службам Active Directory не удается подключиться к глобальному каталогу.
Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.
Внутренний идентификатор:
32013c0
Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.
Вот такая беда. Уже взял бубин, но пока не помогает. Думаю все из-за реплики. Есть мнения?
Metadata Cleanup Error – DsRemoveDsServerW error 0x5(Access is denied.)
Ensure that you run the ntdsutil.exe with an account that is member of the groups Domain Admins and Enterprise Admins. (by using the command whoami /groups)
If the currently logged on user does not have administrative permissions, different credentials can be supplied by specifying the credentials to use before making the connection.
1. Type ntdsutil, and then press ENTER.
2. Type metadata cleanup, and then press ENTER.
3. Type connections and press ENTER.
4. Type set creds <domain name> <usernameoftheEnterpriseAdmins> <password> and press ENTER.
5. Type connect to server <servername> and press ENTER.
To fix this issue go to “Active Directory Sites and Services” expand the relevant server name (which you want to remove) go to properties of NTDS Settings.
Remove “Protect object from accidental deletion” option and follow the metadata cleanup steps again.
Reader Interactions
0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28 |
|
1 |
|
Server 2012 23.03.2016, 09:16. Показов 11916. Ответов 7
Всем доброго времени суток. В организации 1 домен 3 контролера. Репликация настроена так, что 1-главный контролер, а 2 и 3 синхронизируют себя с него. Контролер 1 и 2 работают без проблем, а на контролере 3 возникают ошибки. dcdiag C:Windowssystem32>dcdiag Диагностика сервера каталогов Выполнение начальной настройки: Выполнение обязательных начальных проверок Сервер проверки: KadnikovoHDC Выполнение основных проверок Сервер проверки: KadnikovoHDC Выполнение проверок разделов на: DomainDnsZones Выполнение проверок разделов на: ForestDnsZones Выполнение проверок разделов на: Schema Выполнение проверок разделов на: Configuration Выполнение проверок разделов на: evm Выполнение проверок предприятия на: evm.ru Repadmin /showrepl
C:Windowssystem32>repadmin /showrepl hdc.evm.ru ==== ВХОДЯЩИЕ СОСЕДИ ====================================== DC=evm,DC=ru CN=Configuration,DC=evm,DC=ru CN=Schema,CN=Configuration,DC=evm,DC=ru DC=ForestDnsZones,DC=evm,DC=ru DC=DomainDnsZones,DC=evm,DC=ru Так же в событиях есть ошибка Название: DNS: список уведомления об обновлении зоны 8.168.192.in-addr.arpa не должен быть пустым. Серьезность Дата: Категория: Проблема: Воздействие: Разрешение Как избавиться от этих ошибок ?
0 |
1882 / 1106 / 426 Регистрация: 22.01.2016 Сообщений: 3,050 |
|
23.03.2016, 11:55 |
2 |
Ult, Какие ошибки в журнале «Служба репликации файлов» на проблемном DC? Что показывает на проблемном DC: net sahre
0 |
0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28 |
|
23.03.2016, 14:38 [ТС] |
3 |
На сайте сапорта мелкомягких мне подсказали изменить параметр HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters SysvolReady на «1» После этого dcdiag Диагностика сервера каталогов Выполнение начальной настройки: Выполнение обязательных начальных проверок Сервер проверки: KadnikovoHDC Выполнение основных проверок Сервер проверки: KadnikovoHDC Выполнение проверок разделов на: DomainDnsZones Выполнение проверок разделов на: ForestDnsZones Выполнение проверок разделов на: Schema Выполнение проверок разделов на: Configuration Выполнение проверок разделов на: evm Выполнение проверок предприятия на: evm.ru изменился На проблемном DC запущена служба NetLogon? Да net sahre Общее имя Ресурс Заметки ——————————————————————————- Ip config проблемного кд Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : hdc Ethernet adapter Ethernet 3: DNS-суффикс подключения . . . . . : DNS-серверы. . . . . . . . . . . : 192.168.1.2 Туннельный адаптер isatap.{EC24A71E-A9B1-45E7-BF4F-74EE348EF3D8}: Состояние среды. . . . . . . . : Среда передачи недоступна. Туннельный адаптер Подключение по локальной сети* 6: Состояние среды. . . . . . . . : Среда передачи недоступна. ipconfig /all рабочего КД C:Usersvrabets>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : mdc Ethernet adapter Ethernet: DNS-суффикс подключения . . . . . : DNS-серверы. . . . . . . . . . . : 192.168.1.2 Туннельный адаптер isatap.{306A985B-BF74-4176-8C81-1C2FBEC8DE8B}: Состояние среды. . . . . . . . : Среда передачи недоступна. Туннельный адаптер Teredo Tunneling Pseudo-Interface: Состояние среды. . . . . . . . : Среда передачи недоступна. Кликните здесь для просмотра всего текста
C:Usersvr>dcdiag /test:registerindns /dnsdomain:evm.ru Конфигурация DNS достаточна, чтобы позволить данному компьютеру ……………………. hdc — пройдена проверка RegisterInDNS
0 |
1882 / 1106 / 426 Регистрация: 22.01.2016 Сообщений: 3,050 |
|
23.03.2016, 15:28 |
4 |
После этого dcdiag изменился Запустите cmd на hdc с повышенными привилегиями (от Администратора) и снова выполните dcdiag
0 |
0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28 |
|
24.03.2016, 06:21 [ТС] |
5 |
Извиняюсь, совсем запарился. дсдиаг от админа C:Windowssystem32>dcdiag Диагностика сервера каталогов Выполнение начальной настройки: Выполнение обязательных начальных проверок Сервер проверки: KadnikovoHDC Выполнение основных проверок Сервер проверки: KadnikovoHDC Выполнение проверок разделов на: DomainDnsZones Выполнение проверок разделов на: ForestDnsZones Выполнение проверок разделов на: Schema Выполнение проверок разделов на: Configuration Выполнение проверок разделов на: evm Выполнение проверок предприятия на: evm.ru
0 |
1882 / 1106 / 426 Регистрация: 22.01.2016 Сообщений: 3,050 |
|
24.03.2016, 10:00 |
6 |
Ult, сейчас всё выглядит очень хорошо… Проверьте на наличие ошибок журнал «Служба репликации файлов» на проблемном DC. + посмотрите что это за политика с ID {924CE27E-45B3-4096-922B-2B47309CEEB8} и нет ли у клиентов проблем с доступом к файлу: \hdc.evm.ruSysVolevm.ruPolicies{924CE27E-45B3-4096-922B-2B47309CEEB8}gpt.ini
0 |
0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28 |
|
29.03.2016, 11:17 [ТС] |
7 |
Продолжаю разбираться с ошибками сервера. хочу чтобы dcdiag был совершенно без косяков. Сейчас он выглядит так dcdiag C:Windowssystem32>dcdiag Диагностика сервера каталогов Выполнение начальной настройки: Выполнение обязательных начальных проверок Сервер проверки: KadnikovoHDC Выполнение основных проверок Сервер проверки: KadnikovoHDC Выполнение проверок разделов на: DomainDnsZones Выполнение проверок разделов на: ForestDnsZones Выполнение проверок разделов на: Schema Выполнение проверок разделов на: Configuration Выполнение проверок разделов на: evm Выполнение проверок предприятия на: evm.ru Хотя repadmin /syncall /aed
C:Windowssystem32>repadmin /syncall /aed Не могу разобраться почему «HDC — не пройдена проверка Advertising» и что за ошибка 67 в netlogon. В какую сторону копать ? Добавлено через 17 минут test dns C:Windowssystem32>dcdiag /test:dns Диагностика сервера каталогов Выполнение начальной настройки: Выполнение обязательных начальных проверок Сервер проверки: KadnikovoHDC Выполнение основных проверок Сервер проверки: KadnikovoHDC Запуск проверки: DNS Проверки DNS выполняются без зависания. Подождите несколько минут… Выполнение проверок разделов на: DomainDnsZones Выполнение проверок разделов на: ForestDnsZones Выполнение проверок разделов на: Schema Выполнение проверок разделов на: Configuration Выполнение проверок разделов на: evm Выполнение проверок предприятия на: evm.ru Контроллер домена: hdc.evm.ru TEST: Delegations (Del) Отчет по результатам проверки DNS: Auth Basc Forw Del Dyn RReg Ext ……………………. evm.ru — не пройдена проверка DNS
0 |
1 / 1 / 0 Регистрация: 05.07.2016 Сообщений: 5 |
|
12.07.2016, 11:34 |
8 |
Ult подскажите пожалуйста, как Вам удалось решить проблему с DFSREvent? У меня так же ругается, что сбои при репликации… Только при этом у меня один контроллер домена, и реплицироваться ему вообще не с кем…
0 |