» Создание второго "равноправного" контроллера домена

billykab

Цитата:

2. Каким образом, в случае если с помощью добрых людей я решу первую проблему, мне перенести базу DHCP на новый сервер.

Ищи на сервере в хэлпе по строке "Backing up the DHCP database".

ooptimum

Цитата:

Ищи на сервере в хэлпе по строке "Backing up the DHCP database".

- этот метод работает при переносе DHCP базы с W2K Server на W2K3 ?
- переносятся ли настройки резервирования или только зоны ?

!

Бордовцы...позвольте к вам обратиться! Прочитал я все но вот еще проблемка на эту тему.
Стоит контроллер домена под win2000 srv, теперь была цель заменить его настоящей серверной машиной с Win 2003 srv на ней.
Мои действия были следующими, согласно всему выше прочитанному в этом форуме на эту тему, я включил машину серверную с установленным на не win2003 srv, в сеть ввел в домен. Затем зашел на контроллер домена (старый с Win200 и на нем вставив диск с инсталом 2003 сервера зашел на него в командной строке и сказал adprep /forestprep, затем на след день adprep /domainprep) убедившись что ошибок нет поднял с пом dcpromo на серверной машине с Win2003 контроллер дополнительный в существующем лесу. Теперь вроде поставил на новоиспеченном резервном контроллере ДНС, до этого у меня ДНС стоял и работал на старом контроллере с зонами хранящимися в AD, и указал что зоны в AD. Зайдя в него можно убедится что зоны настоящие.....все компы и юзеры есть.

Теперь поставил на новом контроллере домена, все это при еще функционирующем старом, галочку о том что б он хранил ГК, со старого галочку еще не убирал, и передал ему все 4 роли со старого на новый кроме мастера инфраструктуры.

Вот развязка сегодня решил проверить и просто выключил старый.....посмотреть как справиться новый пока старый не понизили....и как всегда новый ни справился....при расшаривании папки клиенты не видят домена и юзеров в нем.....короче все походит на то что ДНС на новом не пашет....хотя у клиентов я его добавил как то который надо смотреть первым а потом уж тот что на старом.....
и еще смотря в логи вижу вот что

Вот такое при попытке репликации ночью:

Тип события:Предупреждение
Источник события:NtFrs
Категория события:Отсутствует
Код события:13566
Дата:1/28/2005
Время:2:05:59 PM
Пользователь:Н/Д
Компьютер:ANN1
Описание:
Служба репликации файлов просматривает
данные на системном томе. Компьютер ANN1 не сможет стать контроллером домена, пока этот процесс не завершится. Затем системный том станет общим ресурсом с именем SYSVOL.

Для проверки ресурса SYSVOL введите в
командной строке:
net share

Когда служба репликации файлов завершит
процесс сканирования, на экране
появится общий ресурс SYSVOL.

Инициализация системного тома может
занять некоторое время. Это время
зависит от объема системного тома.

Дополнительные сведения можно найти в
центре справки и поддержки, в
"http://go.microsoft.com/fwlink/events.asp".
____________________________________________________________________________--
Тип события:Предупреждение
Источник события:NtFrs
Категория события:Отсутствует
Код события:13508
Дата:1/28/2005
Время:2:07:42 PM
Пользователь:Н/Д
Компьютер:ANN1
Описание:
Служба репликации файлов столкнулась с
проблемами при включении репликации с
"\\sopin.office.euinf.net" на "ANN1" для "c:\windows\sysvol\domain", использующего DNS-имя "\\sopin.office.euinf.net".
Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может
выдаваться это предупреждение.

[1] FRS не может разрешить DNS-имя
"\\sopin.office.euinf.net" с этого компьютера.
[2] FRS не запущена на "\\sopin.office.euinf.net".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

Это сообщение об ошибке записывается в
журнал для каждого подключения один
раз. После исправления ошибки в журнал
будет записано другое сообщение,
означающее, что соединение установлено.

Дополнительные сведения можно найти в
центре справки и поддержки, в
"http://go.microsoft.com/fwlink/events.asp".

А ВОТ ТАКОЕ ПРИ отключении старого из сети, при работающем новом:

Тип события:Предупреждение
Источник события:NtFrs
Категория события:Отсутствует
Код события:13566
Дата:1/28/2005
Время:2:05:59 PM
Пользователь:Н/Д
Компьютер:ANN1
Описание:
Служба репликации файлов просматривает
данные на системном томе. Компьютер ANN1 не сможет стать контроллером домена, пока этот процесс не завершится. Затем системный том станет общим ресурсом с именем SYSVOL.

Для проверки ресурса SYSVOL введите в
командной строке:
net share

Когда служба репликации файлов завершит
процесс сканирования, на экране
появится общий ресурс SYSVOL.

Инициализация системного тома может
занять некоторое время. Это время
зависит от объема системного тома.

Дополнительные сведения можно найти в
центре справки и поддержки, в
"http://go.microsoft.com/fwlink/events.asp".
____________________________________________________________________________--
Тип события:Предупреждение
Источник события:NtFrs
Категория события:Отсутствует
Код события:13508
Дата:1/28/2005
Время:2:07:42 PM
Пользователь:Н/Д
Компьютер:ANN1
Описание:
Служба репликации файлов столкнулась с
проблемами при включении репликации с
"\\sopin.office.euinf.net" на "ANN1" для "c:\windows\sysvol\domain", использующего DNS-имя "\\sopin.office.euinf.net".
Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может
выдаваться это предупреждение.

[1] FRS не может разрешить DNS-имя
"\\sopin.office.euinf.net" с этого компьютера.
[2] FRS не запущена на "\\sopin.office.euinf.net".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

Это сообщение об ошибке записывается в
журнал для каждого подключения один
раз. После исправления ошибки в журнал
будет записано другое сообщение,
означающее, что соединение установлено.

Дополнительные сведения можно найти в
центре справки и поддержки, в
"http://go.microsoft.com/fwlink/events.asp".

Хорошая ветка... помогла начать...
НО есть пару вопросов, надеюсь подскажите:
ЕСТЬ старый сервак под win2K3, на кот. развернут контр. домена, АD, DNS, DHCP, Terminal server,....
появился новый, та же ось
НУЖНО перенести на новый контроллер домена и все остальное, на старом только софт оставить.
СДЕЛАНО:
1.врубил новый сервак в сеть, завел в домен
2.запустил dcpromo и сделал его 2м контроллером имеющегося домена, после окончания... мастер сказал, что теперь этот сервер является контроллером домена....
тут я так и не понял, стал ли он главным или 2м... КАК посмотреть какой из них ху?
3.После репликации, на новом в пользователи и компьютеры добавились все со старого...
4.В журналах на новом говорит, что DNS стартовал...
5.В журналах по Приложению пишет каждые 5 мин ошибку:

Цитата:

Тип события:    Предупреждение
Источник события:    SceCli
Категория события:    Отсутствует
Код события:    1202
Дата:        21.05.2006
Время:        15:25:05
Пользователь:        Н/Д
Компьютер:    TBIH2
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x5 : Отказано в доступе.

Справка по данному вопросу размещена на веб-узле http://support.microsoft.com. Запросите "troubleshooting 1202 events".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

как на новом так и на старом... незнаю почему
6.Ошибки по поводу несовпадению времени.... незнаю как пофиксить...
ЧТО ДЕЛАТЬ дальше?

Gabzya
Цитата:

КАК посмотреть какой из них ху?

How to view and transfer FSMO roles in the graphical user interface:
http://support.microsoft.com/default.aspx?scid=kb;en-us;255690

Цитата:

НУЖНО перенести на новый контроллер домена и все остальное, на старом только софт оставить

Для этого нужно просто запустить dcpromo на старом сервере (DC) и понизить его, он то и должен все грамотно передать на новый DC.
Если вдруг процесс понижения не прошел корректно, то пользуемся ссылкой выше для передачи ролей и GC (глобальный каталог)

pazdak

Цитата:

Для этого нужно просто запустить dcpromo на старом сервере (DC) и понизить его, он то и должен все грамотно передать на новый DC.

вроде да, но если какой косяк, то капец, может все же правильно, я так понял необходимо сначала перенести....:
-роли
-DHCP
-.....
но по сцылке немогу раздуплить .... с инглиш туго

Добавлено:
вот тормоз...сори там и на русс есть, ща подзыбим.... спс
да но только там про роли а про DHCP нема вроде....?

ЕШО ВОПРОС:
для передачи ролей нуна на том контроллере кот сейчас запускать передачу ролей и все?
или нужно на том куда передать запускать присвоение ролей?
или то и другое?

Active Directory Users and Computers на новом контроллере домена - имя домена - right click - Operations Masters - здесь передаете роли RID, PDC emulator, Infrastructure master.
Затем Start -> Run -> regsvr32 Schmmgmt.dll -> Ok, закрыть окно.
Start -> Run -> mmc - Add-Remove snap-in -> Active Directory Schema - имя домена - right click -> Operations Master - поменять на новый.
Active Directory Domains and Trusts - right click -> Operations Master - поменять на новый.
В оснастке AD Sites and Services - Default-FirstSite name - NTDS Settings -Properties - убедиться, что стоит галочка "Global Catalog".

walerchik

Цитата:

В оснастке AD Sites and Services - Default-FirstSite name - NTDS Settings -Properties - убедиться, что стоит галочка "Global Catalog".

вот тут уточнить хотел, все остальное проделал, глоб каталог стоит на старом...., поставил на новом, на старом нужно убрать?

Если планируете оставить старую машину - контроллером домена, можно не убирать.

даже не знаю, мне главное чтобы я мог на старом менять системную дату и это не отражалось на юзверевых тачках

Добавлено:
и еще один вопросик, после репликации постоянно в журнале ПРИЛОЖЕНИЙ сообщение об ошибке:
Цитата:

Тип события: Предупреждение
Источник события: SceCli
Категория события: Отсутствует
Код события: 1202
Дата: 12.06.2006
Время: 17:47:09
Пользователь: Н/Д
Компьютер: TBIH2
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x5 : Отказано в доступе.
Справка по данному вопросу размещена на веб-узле http://support.microsoft.com. Запросите "troubleshooting 1202 events".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

шо за ошибка???? на ОБОИХ серверах!!!

Добавлено:
понимаю что это связанно с групп политиками, но что сделать? раньше на сервере старом было сообщение о недоступности файла групп политик, теперь это....
может можно их как то перевести в начальное состояние? чтобы поновой потом настроить

ошибки все продолжаются (((((((((((
еще пока не запускал на старом dcpromo
заметил один ОГРОМНЫЙ неисправность!
проэксперементировал: выключил старый сервак и попробовал загрузится со своей машины на новый по терминалу...а ФАНАРЬ зоворит такой домен не найден...бла бла бла
получается не все перенес на новый сервак, НЕ он еще главный контроллер домена!!! ПОМОГИТЕ отцы, бо беда....
может конечно что-то пропустил,но что? как проверить все ли перенес?
может dcpromo на старом все это пофиксит?
спс заранее огромное

Ну и сюда запостил. Ещё и тему создал отдельную. Купили новое железо (целый комп). Задача - перенести сервер с минимумом телодвижений на новый комп, а старый комп оставить дополнительным контроллером домена. Сделал, как было написано в ветке:

1. Поднял на новом компе ДНС, зоны не прописывал, а в настройке сетевой карты прописал ДНС старого сервера.
2. Сделал новый комп дополнительным контроллером домена. АД реплецировалась, ДНС тоже.
3. Прописал в настройке сетевой карты ДНС на новом сервере 127.0.0.1
4. Осталось передать роли и GC новому серваку. Вопрос: как только я передам все 5 ролей новому серверу и выключу его, юзеры автоматом будут работать со старым или сеть ляжет?
5. Что-то долго висит рамка (подготовка сетевых подключений) при загрузке винды на новом сервере, после прописывания ДНС вместо айпи старого сервера на 127.0.0.1 Если прописать назад айпи старого сервака, всё летает. ДНС же реплецировалась, в чём проблема. Я просто забыл сервер переименовать, как положено. Поэтому удалил его из дополнительных контроллеров домена, изменил имя, перезагрузился и опять включил его дополнительным контроллером. Правильно?
6. В логах ошибки: помогите.
[more] Testing server: Default-First-Site-Name\W2K3ENT
Starting test: Replications
* Replications Check
[Replications Check,W2K3ENT] A recent replication attempt failed:
From FAX to W2K3ENT
Naming Context: DC=ForestDnsZones,DC=bonkom,DC=local
The replication generated an error (1908):
Win32 Error 1908
The failure occurred at 2006-06-19 15:00:13.
The last success occurred at 2006-06-19 14:02:01.
2 failures have occurred since the last success.
Kerberos Error.
A KDC was not found to authenticate the call.
Check that sufficient domain controllers are available.
[Replications Check,W2K3ENT] A recent replication attempt failed:
From FAX to W2K3ENT
Naming Context: CN=Schema,CN=Configuration,DC=bonkom,DC=local
The replication generated an error (1908):
Win32 Error 1908
The failure occurred at 2006-06-19 14:58:13.
The last success occurred at 2006-06-19 14:02:01.
2 failures have occurred since the last success.
Kerberos Error.
A KDC was not found to authenticate the call.
Check that sufficient domain controllers are available.
[Replications Check,W2K3ENT] A recent replication attempt failed:
From FAX to W2K3ENT
Naming Context: CN=Configuration,DC=bonkom,DC=local
The replication generated an error (1908):
Win32 Error 1908
The failure occurred at 2006-06-19 14:57:13.
The last success occurred at 2006-06-19 14:50:29.
1 failures have occurred since the last success.
Kerberos Error.
A KDC was not found to authenticate the call.
Check that sufficient domain controllers are available.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source FAX
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source FAX
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.

Starting test: systemlog
* The System Event log test
An Error Event occured. EventID: 0xC25A001D
Time Generated: 06/19/2006 14:41:22
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000423
Time Generated: 06/19/2006 14:42:06
Event String: The DHCP service failed to see a directory server

for authorization.
An Error Event occured. EventID: 0x00000416
Time Generated: 06/19/2006 14:42:06
Event String: The DHCP/BINL service on the local machine,

belonging to the Windows Administrative domain


bonkom.local, has determined that it is not

authorized to start. It has stopped servicing

clients. The following are some possible reasons

for this:

This machine is part of a directory

service enterprise and is not authorized in the

same domain. (See help on the DHCP Service

Management Tool for additional information).



This machine cannot reach its directory

service enterprise and it has encountered

another DHCP service on the network belonging to

a directory service enterprise on which the local

machine is not authorized.



Some unexpected network error occurred.
An Error Event occured. EventID: 0x00000423
Time Generated: 06/19/2006 14:42:35
Event String: The DHCP service failed to see a directory server

for authorization.
An Error Event occured. EventID: 0xC25A001D
Time Generated: 06/19/2006 14:54:58
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000423
Time Generated: 06/19/2006 14:55:42
Event String: The DHCP service failed to see a directory server

for authorization.
An Error Event occured. EventID: 0x00000416
Time Generated: 06/19/2006 14:55:42
Event String: The DHCP/BINL service on the local machine,

belonging to the Windows Administrative domain

bonkom.local, has determined that it is not

authorized to start. It has stopped servicing

clients. The following are some possible reasons

for this:

This machine is part of a directory

service enterprise and is not authorized in the

same domain. (See help on the DHCP Service

Management Tool for additional information).



This machine cannot reach its directory

service enterprise and it has encountered

another DHCP service on the network belonging to

a directory service enterprise on which the local

machine is not authorized.



Some unexpected network error occurred.
An Error Event occured. EventID: 0x00000423
Time Generated: 06/19/2006 14:56:11
Event String: The DHCP service failed to see a directory server

for authorization.
......................... W2K3ENT failed test systemlog

[/more]

Это страшно? Просто я поднял ДХЦП на новом сервере, но не авторизировал её пока. Она поднята и на старом. Как мне разрулить ДХЦП на 2-х серверах? Поставить на обоих и задать разный диапазон? Или оставить только на старом или на новом?

7. На старом серваке подняты файл и принтер сервер и VPN. При репликации АД они не перенеслись. Так и надо? Т.е. мне вручную добавлять эти роли на новом серваке и настраивать? А автоматом перенести настройки никак нельзя?

Помогите, пожалуйста. Срочно надо. Благодарю заранее.

8. В эвентах ещё:
[more]
Event Type:    Warning
Event Source:    NTDS Replication
Event Category:    (22)
Event ID:    2088
Date:        19.06.2006
Time:        14:56:01
User:        NT AUTHORITY\ANONYMOUS LOGON
Computer:    W2K3ENT
Description:
The description for Event ID ( 2088 ) in Source ( NTDS Replication ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: fax; b06a7440-ba69-4313-aa95-ad95372730d6._msdcs.bonkom.local; 11004; The requested name is valid, but no data of the requested type was found.; System\CurrentControlSet\Services\NTDS\Diagnostics; 22 DS RPC Client.




Event Type:    Warning
Event Source:    NTDS General
Event Category:    (5)
Event ID:    1079
Date:        19.06.2006
Time:        14:53:08
User:        S-1-5-21-1701119128-2970034060-283986384-1016
Computer:    W2K3ENT
Description:
The description for Event ID ( 1079 ) in Source ( NTDS General ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: The event log file is corrupt..


Event Type:    Error
Event Source:    DhcpServer
Event Category:    None
Event ID:    1059
Date:        19.06.2006
Time:        14:56:11
User:        N/A
Computer:    W2K3ENT
Description:
The description for Event ID ( 1059 ) in Source ( DhcpServer ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: ; bonkom.local; 0x 203a.
Data:
0000: 3a 20 00 00 : ..

[/more]

baribal

Цитата:

4. Осталось передать роли и GC новому серваку. Вопрос: как только я передам все 5 ролей новому серверу и выключу его, юзеры автоматом будут работать со старым или сеть ляжет?

будут
Цитата:

то страшно? Просто я поднял ДХЦП на новом сервере, но не авторизировал её пока. Она поднята и на старом. Как мне разрулить ДХЦП на 2-х серверах? Поставить на обоих и задать разный диапазон? Или оставить только на старом или на новом?

есть советы на мелкософте , кот лично я пользовался

Цитата:

7. На старом серваке подняты файл и принтер сервер и VPN. При репликации АД они не перенеслись. Так и надо?

да
Цитата:

Т.е. мне вручную добавлять эти роли на новом серваке и настраивать? А автоматом перенести настройки никак нельзя?

об этом не знаю, скорее всего ручками....


З.Ы. Может кто из гуру обратит внимание на мои и baribal посты и расставит точки над и?

Gabzya

Цитата:

шо за ошибка???? на ОБОИХ серверах!!!

вот Устранение неполадок, которые приводят к регистрации событий с кодом 1202 (SCECLI) почитай, у мну такое было, делал по документации, помогло но через какое-то время (кажется, на сл. день ошибки исчезли)...

Люди, есть вопросик в тему!
Сеть на 2000 серверах, основной и резервный, упал у меня главный, причем наглухо - винт сыпанулся!
Благополучно (вродиба) захватил я роли на дополнительный контроллер, перенес ГК, через Ntdsutil.exe, metadata cleanup удалин инфу о старом контроллере, но он все равно в контроллерах остался.....
Как его оттуда грохнуть, чтоб потом с тем же именем прописать можно было???
Да и вообще, что-то он как-то не серьезно висит там.... отсвечивает....

Gabzya
имхо, дело в галке "Глобальный каталог" либо таки не все роли перенеслись. проверь в ДНС, кто отвечает за ldap и керберос и прочее

Так что, никто так и не поможет?

GOODmen

Цитата:

проверь в ДНС, кто отвечает за ldap и керберос и прочее

понял, а как?

так до сих пор и непонимаю как проверить, пробовал еще раз, при потушенном старом контроллере, на новый зайти низя (((

например так:
видно, что с запросами можно обратиться к двум серверам

GOODmen
у меня такая же картина
но как определить от сюда кто главный???? тут оба присутствуют

может проще восстановить сервак из резервной копии и повторить процес? документируя все шаги.
вот у меня такая фигня была - поднимал на новом серваке АД, ввел свой пароль во время поднятия (уже давно мое имя в группах админов и домена и предприятия и схемы, разные работы провожу токо под ним) - а фиг! нет прав говорит, получилось только под именем старого админа. Вот где он запомнил это имя? я хотел убить эту учетку, видать рано, вот был бы номер...

GOODmen
наверно ты меня не понял, я хочу:
1. узнать кто из серваков сейчас главный, где дзыбить?
2. почему при потушеном старом серваке нельзя залогинится, предполагаю потому что он главный

Gabzya
Проблема однозначно с DNS связанна, если конечно передача ролей и GC на новый сервак была произведена.

Показывай результат команды dcdiag с нового контроллера

вот мой [more=dcdiag]Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\TBIH2
Starting test: Connectivity
......................... TBIH2 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\TBIH2
Starting test: Replications
[Replications Check,TBIH2] A recent replication attempt failed:
From TBI to TBIH2
Naming Context: DC=ForestDnsZones,DC=hq,DC=tbih-sb,DC=com,DC=ua
The replication generated an error (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
The failure occurred at 2006-06-23 14:55:13.
The last success occurred at 2006-06-23 13:55:14.
1 failures have occurred since the last success.
[TBI] DsBindWithSpnEx() failed with error 5,
Отказано в доступе..
[Replications Check,TBIH2] A recent replication attempt failed:
From TBI to TBIH2
Naming Context: DC=DomainDnsZones,DC=hq,DC=tbih-sb,DC=com,DC=ua
The replication generated an error (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
The failure occurred at 2006-06-23 14:55:13.
The last success occurred at 2006-06-23 13:56:36.
1 failures have occurred since the last success.
[Replications Check,TBIH2] A recent replication attempt failed:
From TBI to TBIH2
Naming Context: CN=Schema,CN=Configuration,DC=hq,DC=tbih-sb,DC=com,D
C=ua
The replication generated an error (1396):
Вход в систему не произведен: конечная учетная запись указана неверн
о.
The failure occurred at 2006-06-23 14:55:13.
The last success occurred at 2006-06-23 13:55:14.
1 failures have occurred since the last success.
Kerberos Error.
The KDC could not find the SPN for the server TBI.
This can be for several reasons:

(1) - The SPN is not registered on the KDC (usually TBIH2).
Check that the SPN is registered on at least one other server
besides TBI, and that replication is progressing between this
server and the KDC. The tool repadmin/syncall can be used for
this purpose.
(2) - This server could be a deleted server (and deleted DSA
object), and this deletion has not replicated across the
enterprise yet. This will rectify itself within the general
replication latency plus the latency of the KCC. Should be less
than a day.
(3) - It's possible that this server was reclaimed, but it's
DSA object was not deleted and an old DNS record representing
the server is present. This can result in this error for the
duration of a DNS record lease. Often about 2 weeks. To fix
this, please clean up the DSA's metadata with ntdsutil.
(4) - Finally, it's possible that this server has acquired a
new IP address, the server's old IP address has been reused, and
DNS hasn't been updated to reflect the new IP address. If this
problem persists, stop and restart the "Net Logon" service on
TBI, and delete the old DNS record.
[Replications Check,TBIH2] A recent replication attempt failed:
From TBI to TBIH2
Naming Context: CN=Configuration,DC=hq,DC=tbih-sb,DC=com,DC=ua
The replication generated an error (1396):
Вход в систему не произведен: конечная учетная запись указана неверн
о.
The failure occurred at 2006-06-23 14:56:21.
The last success occurred at 2006-06-23 14:00:43.
3 failures have occurred since the last success.
Kerberos Error.
The KDC could not find the SPN for the server TBI.
This can be for several reasons:

(1) - The SPN is not registered on the KDC (usually TBIH2).
Check that the SPN is registered on at least one other server
besides TBI, and that replication is progressing between this
server and the KDC. The tool repadmin/syncall can be used for
this purpose.
(2) - This server could be a deleted server (and deleted DSA
object), and this deletion has not replicated across the
enterprise yet. This will rectify itself within the general
replication latency plus the latency of the KCC. Should be less
than a day.
(3) - It's possible that this server was reclaimed, but it's
DSA object was not deleted and an old DNS record representing
the server is present. This can result in this error for the
duration of a DNS record lease. Often about 2 weeks. To fix
this, please clean up the DSA's metadata with ntdsutil.
(4) - Finally, it's possible that this server has acquired a
new IP address, the server's old IP address has been reused, and
DNS hasn't been updated to reflect the new IP address. If this
problem persists, stop and restart the "Net Logon" service on
TBI, and delete the old DNS record.
[Replications Check,TBIH2] A recent replication attempt failed:
From TBI to TBIH2
Naming Context: DC=hq,DC=tbih-sb,DC=com,DC=ua
The replication generated an error (1396):
Вход в систему не произведен: конечная учетная запись указана неверн
о.
The failure occurred at 2006-06-23 15:04:19.
The last success occurred at 2006-06-23 14:12:04.
22 failures have occurred since the last success.
Kerberos Error.
The KDC could not find the SPN for the server TBI.
This can be for several reasons:

(1) - The SPN is not registered on the KDC (usually TBIH2).
Check that the SPN is registered on at least one other server
besides TBI, and that replication is progressing between this
server and the KDC. The tool repadmin/syncall can be used for
this purpose.
(2) - This server could be a deleted server (and deleted DSA
object), and this deletion has not replicated across the
enterprise yet. This will rectify itself within the general
replication latency plus the latency of the KCC. Should be less
than a day.
(3) - It's possible that this server was reclaimed, but it's
DSA object was not deleted and an old DNS record representing
the server is present. This can result in this error for the
duration of a DNS record lease. Often about 2 weeks. To fix
this, please clean up the DSA's metadata with ntdsutil.
(4) - Finally, it's possible that this server has acquired a
new IP address, the server's old IP address has been reused, and
DNS hasn't been updated to reflect the new IP address. If this
problem persists, stop and restart the "Net Logon" service on
TBI, and delete the old DNS record.
REPLICATION-RECEIVED LATENCY WARNING
TBIH2: Current time is 2006-06-23 15:10:16.
DC=hq,DC=tbih-sb,DC=com,DC=ua
Last replication recieved from TBI at 2006-06-20 14:10:01.
......................... TBIH2 passed test Replications
Starting test: NCSecDesc
......................... TBIH2 passed test NCSecDesc
Starting test: NetLogons
......................... TBIH2 passed test NetLogons
Starting test: Advertising
......................... TBIH2 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... TBIH2 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... TBIH2 passed test RidManager
Starting test: MachineAccount
......................... TBIH2 passed test MachineAccount
Starting test: Services
......................... TBIH2 passed test Services
Starting test: ObjectsReplicated
......................... TBIH2 passed test ObjectsReplicated
Starting test: frssysvol
......................... TBIH2 passed test frssysvol
Starting test: frsevent
......................... TBIH2 passed test frsevent
Starting test: kccevent
......................... TBIH2 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x40000005
Time Generated: 06/23/2006 14:40:34
(Event String could not be retrieved)
......................... TBIH2 failed test systemlog
Starting test: VerifyReferences
......................... TBIH2 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : hq
Starting test: CrossRefValidation
......................... hq passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... hq passed test CheckSDRefDom

Running enterprise tests on : hq.tbih-sb.com.ua
Starting test: Intersite
......................... hq.tbih-sb.com.ua passed test Intersite
Starting test: FsmoCheck
......................... hq.tbih-sb.com.ua passed test FsmoCheck
[/more] с нового

вот прикол - седня с утра первый контролер (AD DNS WINS DHCP) упал в синий экран. второй контроллер (AD DNS) был жив, но клиенты обломились Я думаю дело в DHCP, клиенты не смогли получить адрес и прочие настройки. Гдето неделю назад я выключал первый АД среди дня, жалоб не было. Можно ли сделать чтобы второй DHCP поднимался если первый падает?

GOODmen
я так понял ты не знаешь как определить какой контроллер главный....
а по поводу
Цитата:

Можно ли сделать чтобы второй DHCP поднимался если первый падает?

смотри мой пост на этой странице.... сЦылка не мелкософт....

Gabzya
вобщето считается что все контроллеры равны. Однако....много чего зависит от ролей.

Цитата:

Проблема однозначно с DNS связанна, если конечно передача ролей и GC на новый сервак была произведена.

Копни работу ДНС, права той учетки. Быть может как в моем случае АД признает только учетку старого админа