- Remove From My Forums
-
Вопрос
-
не проходит репликация с контроллеров домена, при ручной репликации выдает ошибку.
контроллеры находятся в разных географических точках, связаны по впн, около недели основной КД был недоступен для дочернего. контроллеры друг друга пингуют и по имени и по адресу, под доменными учетными записями пускают. как
восстановить репликацию?C:Windowssystem32>repadmin /replsummary Время запуска сводки по репликации: 2020-03-24 23:58:45 Начат сбор данных для сводки по репликации, подождите: ..... Исходный DSA наиб. дельта сбоев/всего %% ошибка DC31 52d.14h:46m:24s 5 / 5 100 (2148074274) Главное конечно е имя неверно. DC46 01m:39s 0 / 5 0 Конечный DSA наиб. дельта сбои/всего %% ошибка DC31 01m:39s 0 / 5 0 DC46 52d.14h:46m:24s 5 / 5 100 (2148074274) Главное конечно е имя неверно.
Ответы
-
Ну, у вас проблема не неделю, а уже пара месяцев как (52 дня, точнее).
Основных причин ошибки «Главное конечное имя неверно» при репликации две:
- FQDN партнера по репликации разрешается не в тот адрес
- В копии базы данных AD на контроллере домена содержится неверный пароль партнера по репликации.
По поводу п.1 — просто проверьте (хотя бы командой ping по полному имени — она показывает адрес, в который разрешилось имя).
Если с п.1 всё в порядке, нужно чинить п.2. У вас, судя по всему, в копии на DС46 содержится неверный пароль для DC31, а верный пароль он с DC31 (скорее всего он там есть) среплицировать не может. Для восстановления репликации
можно попробовать обойтись малой кровью (только всё равно лучше это делать когда пользователей не будет): заставить DC46 получить билет Kerberos для доступа к DC31 с самого DC31. Для этого делаем следующее (все команды выполняются
на DC46 из командной строки в режиме администратора):- Останавливаем службу Центр распространения ключей (kdc) на DC46: net stop kdc (или через консоль Службы)
- Чистим кэш билетов Kerberos системного сеанса на DC46: klist -li 3e7 purge
- Пытаемся выполнить репликацию c DC31 на DC46: repadmin /syncall DC46 /Aeq (или из консоли AD Sites & Services)
Если репликация пройдет нормально, то можно запустить службу Центр распространения ключей (net start kdc), и, если желаете — удостовериться, что правильный пароль среплицировался: повторить п.2 и п.3.
Если репликация не проходит, то это означает, что пароль для DC31 — неверный и в его собственной локальной копии AD. В таком случае надо будет сбросить пароль командой netdom resetpwd (если надо будет, я расскажу об этом конкретнее).
Слава России!
-
Изменено
24 марта 2020 г. 22:40
-
Помечено в качестве ответа
nimmeri
25 марта 2020 г. 17:37
Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.
Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.
sviridof
подпись на выбор, в личку sklifу
Зарегистрирован: 21.10.2008
Пользователь #: 72,320
Сообщения: 29063
Зарегистрирован: 14.12.2006
Пользователь #: 48,281
Сообщения: 5243
Зарегистрирован: 06.02.2017
Пользователь #: 164,515
Сообщения: 7
Зарегистрирован: 06.02.2017
Пользователь #: 164,515
Сообщения: 7
| dc2.txt | ||
| Описание: |
Dcdiag1 (новый контроллер) |
Скачать |
| Название файла (не более 120 мегов 1 файл): | dc2.txt | |
| Размер файла: | 83.45 KB | |
| Скачено: | 11 раз(а) |
| dc1.txt | ||
| Описание: |
Dcdiag1 (старый контроллер) |
Скачать |
| Название файла (не более 120 мегов 1 файл): | dc1.txt | |
| Размер файла: | 43.79 KB | |
| Скачено: | 8 раз(а) |
Зарегистрирован: 06.02.2017
Пользователь #: 164,515
Сообщения: 7
Зарегистрирован: 14.12.2006
Пользователь #: 48,281
Сообщения: 5243
Зарегистрирован: 06.02.2017
Пользователь #: 164,515
Сообщения: 7
| ipconfigdc1.txt | ||
| Описание: | Скачать | |
| Название файла (не более 120 мегов 1 файл): | ipconfigdc1.txt | |
| Размер файла: | 1.69 KB | |
| Скачено: | 1 раз(а) |
| ipconfigdc0.txt | ||
| Описание: | Скачать | |
| Название файла (не более 120 мегов 1 файл): | ipconfigdc0.txt | |
| Размер файла: | 1.37 KB | |
| Скачено: | 1 раз(а) |
| dc1.txt | ||
| Описание: | Скачать | |
| Название файла (не более 120 мегов 1 файл): | dc1.txt | |
| Размер файла: | 73.34 KB | |
| Скачено: | 6 раз(а) |
| dc0.txt | ||
| Описание: | Скачать | |
| Название файла (не более 120 мегов 1 файл): | dc0.txt | |
| Размер файла: | 74.64 KB | |
| Скачено: | 4 раз(а) |
Зарегистрирован: 06.02.2017
Пользователь #: 164,515
Сообщения: 7
Источник
Несовпадение версий active directory sysvol windows 7
Вопрос
Ответы
Добрый вечер. Вот это обновление установлено?
Если да, то нужно поправить будет номера версии дабы они совпадали в AD и на диске в SYSVOL.
Вообще странно, вы же сохраняли дерево и при восстановлении просто подсунули старые версии GPT, непонятно как они могут разом все отличаться. Проверьте их для начала, отпишитесь о результате. Поправить-то их недолго.
P.S.Ну и крик души- Нет никакого авторитативного восстановления, бейте себя по губам каждый раз, как услышите это слово. И других тоже бейте.
Есть авторитетное мнение, авторитетное радио.
Можно слово полномочное использовать, если хочется. А от «авторитативного» из ушей хлещет кровь сразу, литрами. Давайте говорить правильно.
Все ответы
Добрый вечер. Вот это обновление установлено?
Если да, то нужно поправить будет номера версии дабы они совпадали в AD и на диске в SYSVOL.
Вообще странно, вы же сохраняли дерево и при восстановлении просто подсунули старые версии GPT, непонятно как они могут разом все отличаться. Проверьте их для начала, отпишитесь о результате. Поправить-то их недолго.
P.S.Ну и крик души- Нет никакого авторитативного восстановления, бейте себя по губам каждый раз, как услышите это слово. И других тоже бейте.
Есть авторитетное мнение, авторитетное радио.
Можно слово полномочное использовать, если хочется. А от «авторитативного» из ушей хлещет кровь сразу, литрами. Давайте говорить правильно.
Обновление 2919394 стоит только на PDC, на втором обновления нет. это не есть хорошо?
(на всякий случай, может не в тему, при gpresult /R берутся с PDC в данном случае)
Хотя может и не установиться, и быть перекрытым другим обновлением. Но я думаю, Вы сообщите нам об этом.
Служба репликации DFS обнаружила изменение ключа экземпляра ASR на томе C:. Репликация для всех реплицированных папок на этом томе остановлена.
Служба репликации DFS останавливает подключение к партнеру DC2 группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение.
Такие же предупреждения на втором DC: 5014 и 4614 (только два типа)
Источник
Несовпадение версий active directory sysvol windows 7
Вопрос
Больше года не изменяли Групповые политика в домене, недавно понадобилось изменить, после изменения они не применились. Переодически, раз в 90 мин, применяются старые ГП.
В вкладке Результаты групповой политики я применил новую ГП на нужный пк и пользователя и выдало ошибку:
Несовпадение версий Active Directory / SYSVOL
Подскажите, как ее исправить?
OS: Windows server 2012 R2
Все ответы
Контроллеров два, основной и второстепенный. Клиенты в основном на windows 7.
C:Windowssystem32>repadmin /replsummary
Время запуска сводки по репликации: 2021-10-04 13:19:12
Начат сбор данных для сводки по репликации, подождите:
.
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC-01 20m:44s 0 / 5 0
DC-02 28m:46s 0 / 5 0
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC-01 28m:46s 0 / 5 0
DC-02 20m:44s 0 / 5 0
Источник
Несовпадение версий active directory sysvol windows 7
Вопрос
Больше года не изменяли Групповые политика в домене, недавно понадобилось изменить, после изменения они не применились. Переодически, раз в 90 мин, применяются старые ГП.
В вкладке Результаты групповой политики я применил новую ГП на нужный пк и пользователя и выдало ошибку:
Несовпадение версий Active Directory / SYSVOL
Подскажите, как ее исправить?
OS: Windows server 2012 R2
Все ответы
Контроллеров два, основной и второстепенный. Клиенты в основном на windows 7.
C:Windowssystem32>repadmin /replsummary
Время запуска сводки по репликации: 2021-10-04 13:19:12
Начат сбор данных для сводки по репликации, подождите:
.
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC-01 20m:44s 0 / 5 0
DC-02 28m:46s 0 / 5 0
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC-01 28m:46s 0 / 5 0
DC-02 20m:44s 0 / 5 0
Источник
«AD / несоответствие версий SYSVOL» неожиданно отображается сообщение в отчете результаты групповой политики в Windows
Симптомы
Предположим, запустите мастер моделирования групповой политики из оснастки консоли управления групповой политикой (GPMC) на компьютере под управлением Windows 8, под управлением Windows Server 2012, на основе Windows 8.1 или под управлением Windows Server 2012 R2. В данной ситуации отображается следующее сообщение неожиданно в разделе оповещения о результатах групповой политики:
AD / несоответствие версий SYSVOLПримечания
Эта проблема также возникает при использовании средства командной строки Gpresult.exe на клиентском компьютере.
В разделе оповещения отчета результаты групповой политики отображается результат сравнения между версию шаблона групповой политики и контейнера групповой политики (GPC) для каждого объекта групповой Политики.
Причина
Эта проблема возникает из-за одного или нескольких объектов групповой политики (GPO), не могут быть применены из-за фильтрации безопасности или фильтрация инструментария управления Windows (WMI).
В частности в групповой политике фильтруется из-за групповой политики, обработчик отчетов предполагает, что объекты групповой политики, относящихся к групповой политике использовать версии 65535 шаблона групповой политики. Таким образом при предполагаемой версии значение сравнивается с текущим значением версии GPC, который использует объект групповой Политики, возникает несоответствие. Затем это несоответствие сообщается в отчете о результатах групповой политики.
Решение
Windows 8.1 и Windows Server 2012 R2 обновить сведения
Для решения этой проблемы в Windows Server 2012 R2 и Windows 8.1 установки накопительного пакета обновления 2919394. Для получения дополнительных сведений о том, как получить этот накопительный пакет обновления, щелкните следующий номер статьи, чтобы перейти к статье базы знаний Майкрософт:
Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 накопительный пакет обновления: февраля 2014 г
Сведения об исправлении для Windows 8 и Windows Server 2012
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:
Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Данное исправление необходимо наличие Windows Server 2012 или версии Windows 8 с удаленного сервера администрирования средств для Windows 8 установлен.
Сведения о реестре
Для использования исправления из этого пакета нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Источник
Вам также понравится
Adblock
detector
Server 2016
Периодически нельзя войти в домен
23.01.2019, 13:15. Показов 1877. Ответов 3
Всем привет!
После обновления уровня доменалеса с 2003 до 2016, стали отваливаться сессии, т.е. под доменной учёткой нельзя зайти в домен, ПК при этом из домена не выкидывает. Помогает перезагрузка, особенно это конечно “доставляет” на боевых серверах, на линуксовых в т.ч.…
Обновление проводилось поэтапно. Сначала были введены 2016 серверы с последующей передачей прав глобального каталога и тп, выводом и понижением до рядовых серверов старых кд. Уровень домена и леса оставался 2003. Проработав в таком режиме пару месяцев был начат процесс повышения уровня доменалеса до 2016. С 2003,2003R2, 2008, 2008R2 и тд до 2016. Никаких прыжков с 2003 сразу до 2016 не было.
Миграцию делал в основном по этому мануалу: https://habr.com/ru/company/microsoft/blog/245667/
По ивентам пробегал не один раз, в основном по тем ошибкам что есть, ведут к проблемам в ДНСах…Якобы есть дубли и тп, сейчас всё почистил, в одной подсети действительно был дубль одного из КД, но это проблему не решило…
Ошибки
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера kd1$. Использовалось целевое имя ldap/KD1.my-dmn.rarus-s.ru/my-dmn.rarus-s.ru@my-dmn.rarus-s.ru. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (my-dmn.rarus-s.ru) отличается от домена клиента (my-dmn.rarus-s.ru), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.
Не удалось установить сеанс с компьютера «VIPNET», так как указанная компьютером учетная запись доверия «VIPNET$» отсутствует в базе данных безопасности.
Действие пользователя
Если такое событие произошло впервые для данного компьютера и данной учетной записи, возможно, это временное состояние, не требующее выполнения каких-либо действий в данный момент. Если это контроллер домена только для чтения, а «VIPNET$» является действительной учетной записью компьютера «VIPNET», то «VIPNET» следует отметить как снабженный кэшем для этой папки при необходимости или в противном случае обеспечить возможность подключения к контроллеру домена при обслуживании запроса (например, контроллера домена, доступного для записи). В противном случае для устранения ошибки можно предпринять следующие шаги.r
Если «VIPNET$» — действительная учетная запись компьютера «VIPNET», то «VIPNET» следует вновь присоединить к домену.
Если «VIPNET$» — действительная учетная запись междоменного доверия, следует восстановить это отношение доверия.
В противном случае (т. е. если «VIPNET$» не является действительной учетной записью) необходимо выполнить следующие действия для компьютера «VIPNET».
Если «VIPNET» — контроллер домена, удалите отношение доверия, связанное с «VIPNET$».
Если «VIPNET» не является контроллером домена, исключите его из состава домена.
По ошибкам нашёл пару политик которые хочу применить, хз будет ли от них смысл…
https://support.microsoft.com/… cesses-a-s
https://support.microsoft.com/… erver-2008
Единственное меня напрягает в ДНСах, задвоения служб, с разницой в отметки времени, обычным и КАПСОВЫМ именем. Есть такие не только как на скрине в _tcp, но и в _msdcs и в gc и тд…
Дубли
nslookup с KD1 (172.16.1.254)
C:WindowsSystem32>nslookup my-dmn.rarus-s.ru
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: my-dmn.rarus-s.ru
Addresses: 172.16.1.254
172.16.1.0
192.168.1.254
C:WindowsSystem32>nslookup kd1.my-dmn.rarus-s.ru
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: kd1.my-dmn.rarus-s.ru
Address: 172.16.1.254
C:WindowsSystem32>nslookup kd2.my-dmn.rarus-s.ru
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: kd2.my-dmn.rarus-s.ru
Address: 192.168.1.254
ipconfig с KD1
C:WindowsSystem32>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : KD1
Основной DNS-суффикс . . . . . . : my-dmn.rarus-s.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : my-dmn.rarus-s.ru
Адаптер Ethernet Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
Физический адрес. . . . . . . . . : 00-0C-29-16-BE-33
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::acf8:110c:79ed:d098%5(Основной)
IPv4-адрес. . . . . . . . . . . . : 172.16.1.254(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 172.16.1.1
IAID DHCPv6 . . . . . . . . . . . : 33557545
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-22-8A-CC-79-00-0C-29-16-BE-33
DNS-серверы. . . . . . . . . . . : 192.168.1.254
172.16.1.254
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{237BE9D0-21BD-4D47-8063-85C9C8282302}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
C:WindowsSystem32>
ipconfig с KD2
C:WindowsSystem32>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : KD2
Основной DNS-суффикс . . . . . . : my-dmn.rarus-s.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : my-dmn.rarus-s.ru
Адаптер Ethernet Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 6C-F0-49-74-F0-46
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::7489:7459:f018:909d%2(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.254(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.7
IAID DHCPv6 . . . . . . . . . . . : 40693833
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-23-97-D6-21-6C-F0-49-74-F0-46
DNS-серверы. . . . . . . . . . . : 172.16.1.254
192.168.1.254
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{1479BC20-EB1F-4A28-BDE5-22A7A95B284D}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
nslookup с KD2 (192.168.1.254)
C:WindowsSystem32>nslookup my-dmn.rarus-s.ru
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: my-dmn.rarus-s.ru
Addresses: 192.168.1.254
172.16.1.0
172.16.1.254
C:WindowsSystem32>nslookup kd1.my-dmn.rarus-s.ru
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: kd1.my-dmn.rarus-s.ru
Address: 172.16.1.254
C:WindowsSystem32>nslookup kd2.my-dmn.rarus-s.ru
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: kd2.my-dmn.rarus-s.ru
Address: 192.168.1.254
dcdiag
C:WindowsSystem32>dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = KD1
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-NameKD1
Запуск проверки: Connectivity
……………………. KD1 — пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-NameKD1
Запуск проверки: Advertising
……………………. KD1 — пройдена проверка Advertising
Запуск проверки: FrsEvent
……………………. KD1 — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
……………………. KD1 — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
……………………. KD1 — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
……………………. KD1 — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
……………………. KD1 — пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
……………………. KD1 — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
……………………. KD1 — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
……………………. KD1 — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
……………………. KD1 — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
……………………. KD1 — пройдена проверка Replications
Запуск проверки: RidManager
……………………. KD1 — пройдена проверка RidManager
Запуск проверки: Services
……………………. KD1 — пройдена проверка Services
Запуск проверки: SystemLog
……………………. KD1 — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
……………………. KD1 — пройдена проверка VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
……………………. ForestDnsZones — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. ForestDnsZones — пройдена проверка CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
……………………. DomainDnsZones — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DomainDnsZones — пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
……………………. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Schema — пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
……………………. Configuration — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Configuration — пройдена проверка CrossRefValidation
Выполнение проверок разделов на: my-dmn
Запуск проверки: CheckSDRefDom
……………………. my-dmn — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. my-dmn — пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: my-dmn.ru
Запуск проверки: LocatorCheck
……………………. my-dmn.rarus-s.ru — пройдена проверка LocatorCheck
Запуск проверки: Intersite
……………………. my-dmn.rarus-s.ru — пройдена проверка Intersite
C:WindowsSystem32>
dcdiag /a /q (на данный момент ничего не показывает)
REPADMIN /REPLSUM
C:WindowsSystem32>REPADMIN /REPLSUM
Время запуска сводки по репликации: 2019-01-23 09:43:58
Начат сбор данных для сводки по репликации, подождите:
…..
Исходный DSA наиб. дельта сбоев/всего %% ошибка
KD1 52m:03s 0 / 5 0
KD2 57m:28s 0 / 5 0
Конечный DSA наиб. дельта сбои/всего %% ошибка
KD1 57m:28s 0 / 5 0
KD2 52m:03s 0 / 5 0
REPADMIN /SHOWREPL
C:WindowsSystem32>REPADMIN /SHOWREPL
Repadmin: выполнение команды /SHOWREPL контроллере домена localhost с полным доступом
Default-First-Site-NameKD1
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA — GUID объекта: 84179638-92b4-4061-b101-2c6a1a31ed25
DSA — код вызова: b722b773-4bae-45c9-98a8-8b0bf8211b3b
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:44:27 успешна.
CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
CN=Schema,CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
DC=DomainDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
DC=ForestDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
REPADMIN /SHOWREPS
C:WindowsSystem32>REPADMIN /SHOWREPS
Default-First-Site-NameKD1
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA — GUID объекта: 84179638-92b4-4061-b101-2c6a1a31ed25
DSA — код вызова: b722b773-4bae-45c9-98a8-8b0bf8211b3b
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:48:22 успешна.
CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
CN=Schema,CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
DC=DomainDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
DC=ForestDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-NameKD2 через RPC
DSA — GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
REPADMIN /SYNCALL
C:WindowsSystem32>REPADMIN /SYNCALL
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: f68245aa-1961-4f9f-83bb-3c9d444f42f0._msdcs.my-dmn.rarus-s.ru
Кому: 84179638-92b4-4061-b101-2c6a1a31ed25._msdcs.my-dmn.rarus-s.ru
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: f68245aa-1961-4f9f-83bb-3c9d444f42f0._msdcs.my-dmn.rarus-s.ru
Кому: 84179638-92b4-4061-b101-2c6a1a31ed25._msdcs.my-dmn.rarus-s.ru
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.
На основном КД в тесте ДНС появились варнинги. Попробовал устранить путём изменения разрешений динамических обновлений на «Только безопасные».Пишут что просто изменение должно помочь, даже если и так был указан данный пункт. Пока не помогло.
На втором КД в тесте ДНС этого варнинга нет.
DCDIAG /TEST:DNS
C:WindowsSystem32>DCDIAG /TEST
NS
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = KD1
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-NameKD1
Запуск проверки: Connectivity
……………………. KD1 — пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-NameKD1
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут…
……………………. KD1 — пройдена проверка DNS
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: my-dmn
Выполнение проверок предприятия на: my-dmn.rarus-s.ru
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: KD1.my-dmn.rarus-s.ru
Домен: my-dmn.rarus-s.ru
TEST: Dynamic update (Dyn)
Warning: Failed to add the test record dcdiag-test-record in zone my-dmn.rarus-s.ru
KD1 PASS PASS PASS PASS WARN PASS n/a
……………………. my-dmn.rarus-s.ru — пройдена проверка DNS
NLTEST /DSGETDC:my-dmn.rarus-s.ru
C:WindowsSystem32>Nltest /dsgetdc:my-dmn.rarus-s.ru
Контроллер домена: KD1.my-dmn.rarus-s.ru
Адрес: 172.16.1.254
GUID DOM: a075dd77-bb02-48da-8da8-3641883e19e8
Имя DOM: my-dmn.rarus-s.ru
Имя леса: my-dmn.rarus-s.ru
Имя сайта контроллера домена: Default-First-Site-Name
Имя нашего сайта: Default-First-Site-Name
Флаги: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10
Команда выполнена успешно.
w32tm /monitor
C:WindowsSystem32>w32tm /monitor
KD1.my-dmn.rarus-s.ru *** PDC ***[[fe80::acf8:110c:79ed:d098%5]:123]:
ICMP: 0ms задержка
NTP: +0.0000000s смещение относительно KD1.my-dmn.rarus-s.ru
RefID: tor-relais2.link38.eu [188.68.53.92]
Страта: 3
KD2.my-dmn.rarus-s.ru[192.168.1.254:123]:
ICMP: 1ms задержка
NTP: +0.0013487s смещение относительно KD1.my-dmn.rarus-s.ru
RefID: KD1.my-dmn.rarus-s.ru [172.16.1.254]
Страта: 4
Предупреждение:
Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
неверно, так как поле RefID в пакетах времени различается в
разных реализациях NTP и может не использовать IP-адреса.
w32tm /query /peers
C:WindowsSystem32>w32tm /query /peers
#Узлы: 1
Узел партнера: 0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.poo l.ntp.org,0x8
Состояние: Активный
Осталось времени: 2453.9942133s
Режим: 1 (Симметричный активный)
Страта: 2 (вторичная ссылка — синхронизирована с помощью (S)NTP)
ОдноранговыйИнтервал опроса: 10 (1024s)
УзелИнтервал опроса: 10 (1024s)
w32tm /query /peers с KD2
C:WindowsSystem32>w32tm /query /peers
#Узлы: 1
Узел партнера: KD1.my-dmn.rarus-s.ru
Состояние: Активный
Осталось времени: 526.8444015s
Режим: 1 (Симметричный активный)
Страта: 3 (вторичная ссылка — синхронизирована с помощью (S)NTP)
ОдноранговыйИнтервал опроса: 10 (1024s)
УзелИнтервал опроса: 10 (1024s)
Может копать в сторону доверительных отношений?…
https://interface31.ru/tech_it… omene.html
upd: На kd1 в dns не знаю откуда взялся, был прописан адрес 172.16.1.0, удалил этот адрес и в оснастке dns, прописалась как папка верхнего уровня, из-за этого клиенты (только на xp) шли по этому адресу и соотносили его с доменом my-dmn.rarus-s.ru…
dns kd1
На kd2 прописан локальный, 127.0.0.1, в общем тоже удалил…
У клиентов на xp выяснилась проблема с доступом в каталог my-dmn.rarus-s.ru
xp
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Добрый день, Коллеги!
Так получилось, что в лесу Active Directory 2 контроллера одного домена оказались с несколько отличающимися ОС:
Основной контроллер в центральном офисе (DC) — Windows 2008 SP2 x86 (6.0.6002) — все FSMO роли
Вторичный контроллер в филиале Челябинска (DC-CHEL) — Windows 2008 R2 SP1 x64 (6.1.7601) — только GC
Всё это каким-то образом работало какое-то время, пока не начались вполне осязаемые пользователями проблемы с резолвом DNS-имен хостов домена.
Как позже я выяснил, какое-то время (довольно продолжительное) контроллеры не видели друг друга, а DC-CHEL вообще скорее всего был выключен. В журнале DNS с самого начала было предупреждение 4013, то есть ожидалось завершение первичной синхронизации каталога. И примерно через год она сменилась ошибкой 4000, после чего пользователи и ощутили неладное. В системном журнале каких-то прямых предпосылок увидеть не удалось. Косвенно возможно повлияли: предупреждение 29 от Kerberos-Key-Distribution-Center, и далее, когда пошла ошибка 4000 от DNS, посыпались 1055 от GroupPolicy, 4 от Security-Kerberos.
Очевидно, что изначально что-то мешало репликации. Контроллеры находятся в разных сайтах и разных подсетях. В стеке TCP/IP все в порядке, хотя был один момент, когда обратный маршрут на DC отсутствовал, но это исправили.
Возможных причин я вижу несколько:
1. Из-за различий версий Windows (R2 и не R2) службы AD не могут работать корректно вместе.
2. Предупреждение DNS 4013. Гугл приводит в совершенно разные топики. И советы тоже разные. Вплоть до выноса зоны DNS в отдельный DNS-сервер (не интегрированный в AD). Так и не понял до конца.
Возможно я что-то упустил. По ходу дополю, если что.
Какие варианты решения:
1. Понижение роли контроллера DC-CHEL (что тоже еще пока еще не осуществимо стандартными способами, dcpromo /forceRemoval не помогает, выдает ошибку «DFS Replication: Главное конечное имя неверно.») до рядового сервера. Приведение контроллеров к одной версии Windows.
2. Если все же совместная работа этих версий Windows возможна, то как-то заставить из реплицироваться.
repadmin /replsum
Время запуска сводки по репликации: 2015-09-24 01:51:25
Начат сбор данных для сводки по репликации, подождите:
.....
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC >60 days 5 / 5 100 (2148074274) Главное конечное имя неверно.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC-CHEL >60 days 5 / 5 100 (2148074274) Главное конечное имя неверно.
Возникли следующие ошибки при попытке получения сведений о репликации:
8341 - dc.epa.netВ общем, что сейчас не делай с контроллером DC-CHEL, всё упирается в одну ошибку «Главное конечное имя неверно.» Может подскажете что-нибудь более эффективное при меньших трудозатратах, чтобы контроллер не пришлось везти на переустановку винды из Челябинска, а потом обратно.
Коллеги, Добрый День. Сегодня престала ходить почта в Exchange. Пошел диагностировать AD, вижу, что DNS не запущен.
Ивенты были как в доке: Зоны DNS не загружаются и регистрируются ID событий 4000 и 4007
Ну и соответственно выполнена была рекомендация. DNS после запустился, почта стала ходить.
1. Диагностика DNS показала, что ссылается на некий старый контроллер, который был выведен. https://pastebin.com/J3ujQ8Sy
В DNS я нигде не могу найти autorls-dc-01.autorls.local
get-DnsServerResourceRecord -ZoneName "_msdcs.autorls.local" | fl
Так же не находит его. В свойствах зон в «Серверы имен» этой записи нет.
Почему DNS ссылается на несуществующую запись ?
2. Перед починкой DNS 18 часов не работала репликация, после включения DNS все контроллеры отреплицировали, кроме самого PDC.
C:Windowssystem32>repadmin /replsum Время запуска сводки по репликации: 2021-10-21 11:52:32 Начат сбор данных для сводки по репликации, подождите: ....... Исходный DSA наиб. дельта сбоев/всего %% ошибка DTM-AUTORLS-DC 19h:23m:37s 15 / 15 100 (2148074274) Главное конечное имя неверно. SEV-AUTORLS-DC 06m:45s 0 / 10 0 SIM-AUTORLS-DC 06m:46s 0 / 10 0 YAL-DC-01 11m:03s 0 / 15 0
C:Windowssystem32>dcdiag /q
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об
ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
......................... DTM-AUTORLS-DC - не пройдена проверка DFSREvent
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 10/21/2021 11:18:35
Строка события:
Не удалось установить связь DCOM с компьютером 192.168.11.1 через какой-либо из настроенных протоколов; запрос от PID 15f8 (C:Windowssystem32dcdiag.exe) при активации CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820}.
......................... DTM-AUTORLS-DC - не пройдена проверка SystemLog
— Как починить репликацию, убрать предупреждение в DNS и разобраться с несуществующим autorls-dc-01.autorls.local 192.168.11.1 ?
По репликации я нашел эту доку: Error (Target Principal Name is incorrect) when manually replicating
data between domain controllers
Правильно ли я понял, что мне нужно обресетить учетку компьютера на каждом КД?
-
Edited by
Thursday, October 21, 2021 9:28 AM
Добрый день, коллеги!
При подготовке к переходу с FRS на DRS-R, обнаружил на одном из DC проблемы с репликацией, а именно с доступностью RPC.
Время запуска сводки по репликации: 2017-05-29 12:07:24
Начат сбор данных для сводки по репликации, подождите:
……
Исходный DSA наиб. дельта сбоев/всего %% ошибка
DC0 19m:02s 0 / 10 0
DC1 19m:02s 0 / 10 0
MDC120 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
Конечный DSA наиб. дельта сбои/всего %% ошибка
DC0 >60 days 5 / 10 50 (1722) Сервер RPC недоступен.
DC1 13m:48s 0 / 10 0
MDC120 19m:03s 0 / 10 0
Если запустить принудительную синхронизации на всех DC ругается на RPC:
PS C:Windowssystem32> repadmin /syncall Aed
DsBindWithCred to Aed failed with status 1722 (0x6ba):
The RPC server is unavailable.
На проблемном DC0 DCDIAG выдает следующее, на остальных проверка репликации проходит:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = dc0
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: MoscowDC0
Starting test: Connectivity
……………………. DC0 passed test Connectivity
Doing primary tests
Testing server: MoscowDC0
Starting test: Advertising
……………………. DC0 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL
replication problems may cause Group Policy problems.
……………………. DC0 passed test FrsEvent
Starting test: DFSREvent
……………………. DC0 passed test DFSREvent
Starting test: SysVolCheck
……………………. DC0 passed test SysVolCheck
Starting test: KccEvent
……………………. DC0 passed test KccEvent
Starting test: KnowsOfRoleHolders
……………………. DC0 passed test KnowsOfRoleHolders
Starting test: MachineAccount
……………………. DC0 passed test MachineAccount
Starting test: NCSecDesc
……………………. DC0 passed test NCSecDesc
Starting test: NetLogons
……………………. DC0 passed test NetLogons
Starting test: ObjectsReplicated
……………………. DC0 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=ForestDnsZones,DC=xxx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:28:11.
5133 failures have occurred since the last success.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=DomainDnsZones,DC=xx,DC=local
The replication generated an error (1256):
The remote system is not available. For information about network troubleshooting, see Windows Help.
The failure occurred at 2017-05-29 12:55:21.
The last success occurred at 2016-11-04 04:51:53.
21279 failures have occurred since the last success.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:45.
The last success occurred at 2016-11-04 04:26:33.
5025 failures have occurred since the last success.
The source MDC120 is responding now.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source MDC120
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: CN=Configuration,DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 12:56:03.
The last success occurred at 2016-11-04 04:26:33.
5719 failures have occurred since the last success.
The source MDC120 is responding now.
[Replications Check,DC0] A recent replication attempt failed:
From MDC120 to DC0
Naming Context: DC=xx,DC=local
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2017-05-29 13:04:06.
The last success occurred at 2016-11-04 04:51:35.
190198 failures have occurred since the last success.
The source MDC120 is responding now.
……………………. DC0 failed test Replications
Starting test: RidManager
……………………. DC0 passed test RidManager
Starting test: Services
……………………. DC0 passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x80040020
Time Generated: 05/29/2017 12:24:23
Event String:
The driver detected that the device DeviceHarddisk0DR0 has its write cache enabled. Data corruption may
ccur.
A warning event occurred. EventID: 0x00001796
Time Generated: 05/29/2017 12:24:42
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and
his server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
……………………. DC0 passed test SystemLog
Starting test: VerifyReferences
……………………. DC0 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : xxx
Starting test: CheckSDRefDom
……………………. xxx passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. xxx passed test CrossRefValidation
Running enterprise tests on : xxx.local
Starting test: LocatorCheck
……………………. xxx.local passed test LocatorCheck
Starting test: Intersite
……………………. xxx.local passed test Intersite
Подскажите в какую сторону копать, полазил по форумам похожая проблемы вызывалась фаерволом или остатками старых DC, но это не мой случай, фаервол отключил для диагностики.