» Создание резервного контроллера домена

Есть два сервера по управлением вынь 2к3

проблемма вот в чем надо в распределенной файловой системе создать доменный корень, с тем что бы он реплицировался (т.е. если основной контроллер упал, резервный обеспечивает доступ к сети вход в домен и доступ к папкам пользователей на сервере)

вроде бы все сделано правиль но при попытке создать такой корень (хочу расположить его на резервном котроллере) в ответ мне сообщение сто такой сервер не найден.

при этом и резервный и основной серваки пингуют друг-друга т.е. имена в айпишники резолвятся удачно но ни одна из машин в домене не может пингануть резервный контроллер домена реальный айпишник этого домен 10,0,0,10 а при пинге говорить что 10,0,0,11 у DHCP стоит запрет на выдачу адресов из диапозона 10,0,0,1-10,0,0,10

В чем проблемма?

Речь о DFS?
---
Ну раз реальный IP 10.10.10.10, а на DNS (NETBios) имя он откликается на 10.10.10.11 значит на сервере есть еще один интерфейс. Это либо сетевая карта, либо интерфейс службы RRAS Internal. (если он поднят).
Вообще принято сразу ipconfig /all с серверов публиковать. Так же нихрена не понятно.
Да и вообще не понятно что за средство диагностирования DC простым пингом:

Цитата:

при этом и резервный и основной серваки пингуют друг-друга

А это кто говорит:

Цитата:

а при пинге говорить что 10,0,0,11 у DHCP стоит запрет на выдачу адресов из диапозона 10,0,0,1-10,0,0,10

???
Не ленись copy&paste делать...

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : sibgateway
Основной DNS-суффикс . . . . . . : sibntc
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : sibntc

lan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82559 Fast Ethernet LAN on Mothe
rboard
Физический адрес. . . . . . . . . : 00-30-48-21-A4-B8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

inet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-C0-26-A1-50-C9
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 195.206.54.186
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 195.206.54.185
DNS-серверы . . . . . . . . . . . : 195.206.40.175
196.206.40.177


адрес 10,0,0,1 имеет основной сервак, его имя sibgateway, через второй интерфейс сетка имеет выход в инет.
адреса в сетке выдает DHCP но выдача адресов в диапазоне 10,0,0,1-10,0,0,10 ему запрещена.
Это диапазон для сереров.
на второй сервак поставил вынь2003 установил AD указав что он (его имя BDC)
второй котроллер домена все встало без ошибок. но на утро начались проблеммы пользователи на чьих машинах стоит вин98 не могут войти в сеть.
а в логах у BDC и Sibgateway появились ошибки ntfrs
Тип события: Ошибка
Источник события: NtFrs
Категория события: Отсутствует
Код события: 13559
Дата: 24.08.2005
Время: 16:45:53
Пользователь: Н/Д
Компьютер: SIBGATEWAY
Описание:
Служба репликации файлов обнаружила что путь к корню репликации изменен с "c:\windows\sysvol\domain" на "c:\windows\sysvol\domain". Если это сделано умышленно, то в новом корне необходимо создать файл с именем NTFRS_CMD_FILE_MOVE_ROOT.
Это было обнаружено для следующего набора реплик:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

Изменение пути к корню реплики является двухэтапным процессом, который запускается при создании файла NTFRS_CMD_FILE_MOVE_ROOT file.

[1] Во время первого опроса, который происходит в течение 5 минут, этот компьютер будет удален из набора реплик.
[2] Во время следующего опроса, этот компьютер будет вновь добавлен к набору реплик с новым путем к корню. Повторное добавление запустит полную синхронизацию дерева для данного набора реплик. После этой синхронизации все файлы будут находится на новом месте. Удалять те же файлы из их прежнего местоположения зависит от того, нужны они еще там или нет
в логах DNS ошибок нет, сейчас снес дополнительный котроллер домена все нормализовалось.
в чем проблемма? что сделал не так?

Цитата:

Основной DNS-суффикс . . . . . . : sibntc

Похоже проблема с плоскими именами.
Дуть на майкрософт.ком теперь надо и искать информацию как правильно разруливать ситуацию с плоскими именами. Либо пока не поздно переустановить домен с нормальным DNS суффиксом.
А пока цитата из книги Федора Зубанова "AD для проффесионалов":

Цитата:

Как упомянуто выше, к названию леса (то есть корневого домена в ле- су) надо подходить чрезвычайно внимательно. Особо остановлюсь на ситуации с «плоским» именем корня.
Практика показывает, что большинство организаций выбирает для корня имена вида xxx.yyy.zzz, то есть имя, соответствующее системе именований DNS, в котором есть по крайней мере одна точка. Это такие имена, как mybank.ru, согрлпу- corp.net и пр.
Однако в ряде организаций сильны традиции имен NetBIOS. Они стремятся дать корневому домену «плоское* имя, то есть состоящее из одной части, например mycorp или ad. Свое решение специалисты этих компаний аргументируют так: «Так короче. А где сказано, что это запрещено?» И ведь в самом деле это не запрещено. Более того, в большинстве случаев это не вызывает никаких проблем,
Но,. Проблема возникает, как только контроллеры дочерних доменов или серверы-члены корневого домена оказываются в другой подсети, такой, что NetBIOS-имена между этими подсетями не разрешают- ся. Зга проблема приводит к невозможности нормального функцио- нирования Active Directory. Именно поэтому я настоятельно рекомендую избегать таких имен. Но уж если вы столь упрямы, что желаете использовать их во что бы то ни стало, то обратитесь к главе «Уста- новка Active Directory», где описано, как правильно сконфигурировать контроллеры доменов и серверы для работы с «плоскими» именами доменов.

Отсюда можно сделать вывод, что с некоторой вероятностью доп. контроллер домена находится в другой подсети Отсюда и проблемы.

Цитата:

DNS-серверы . . . . . . . . . . . : 195.206.40.175
196.206.40.177

У тебя что, контроллер домена настроен смотреть на внешние DNS-сервера ? Кто держит доменную зону для AD ? Один из этих серверов ?

G14

Цитата:

У тебя что, контроллер домена настроен смотреть на внешние DNS-сервера ? Кто держит доменную зону для AD ? Один из этих серверов ?

Действительно, а я и не заметил Вот еще один интересный момент нашли...

Цитата:

Вот еще один интересный момент нашли...

Нифига себе момент , конечно, без ДНС у него Глобальный каталог в прострации и репликация не пашет. И станции, к-рые к проблемному серваку логонятся, в домене работать не могут. IMHO, сносить оттуда надо AD, неправильно это - на интернет-шлюз ставить контроллер. Лучше найти станцию не совсем отстойную и поднять там резервный DC.

G14
Elaniel
Парни вы гоните А я тоже повелся
Это ж DNS у него на внешнем интерфейсе (inet - Ethernet адаптер), на внутреннем я смотрю вообще про DNS ни слова.

Nimnul

Цитата:

Парни вы гоните

Цитата:

Это ж DNS у него на внешнем интерфейсе

И что ? Это автоматически приводит к тому что контроллер может работать без своего DNS и SRV записей ?

G14

Цитата:

И что ? Это автоматически приводит к тому что контроллер может работать без своего DNS и SRV записей ?

Нет конечно, но это не есть следствие неисправности.
Вот то что на "lan - Ethernet адаптер" нет DNS вот это интересно... Тогда вообще не ясно как он поднял DC, причем насколько я понял это первый DC.

На внутреннем интерфейсе по-любому надо DNS прописать.
levvlad Небольшое уточнение: у вас служба DNS на этом сервере работает? ошибки DNS пишет?
Я однажды "повстречал" домен-контроллер без службы DNS, симптомы были очень похожие.

sibgateway это основной котроллер домена по совместительству(не от хорошей жизни)
это шлюз в инет.


цитата: У тебя что, контроллер домена настроен смотреть на внешние DNS-сервера ? Кто держит доменную зону для AD ? Один из этих серверов ?

sibgateway это основной контроллер домена
bdc это дополнительный контроллер домена(ipconfig /all этого сервера я не вставлял в форум)

да контроллер домена форвардит DNS запросы на внешний интерфейс.
ведь этот комп выступает в роли шлюза.

на основном в логах DNS ошибок нет.

цитата: Отсюда можно сделать вывод, что с некоторой вероятностью доп. контроллер домена находится в другой подсети Отсюда и проблемы.

серваки в одной подсети и подключенны к одному свитчу. (неуправляемому)




а ipconfig/all - я вставил в форум только одного сервера - основного.

на основном подняты такие сервисы DHCP DNS WINS NAT AD

подскажите должен ли клиентский комп пинговать других клиентов в том случае если в качестве имени компа указывается computer1.sibntc? у меня не пингуется. а если поставить просто computer1 то пинг проходит нормально.

при всем при этом основной котроллер домена пингуется нормально и не важно при этом как указанно его имя с DNS суффиксом или без.

levvlad

Цитата:

да контроллер домена форвардит DNS запросы на внешний интерфейс.
ведь этот комп выступает в роли шлюза.

контроллер домена должен смотреть на dns-сервер, который авторитативен для домена! На тот, что указан на клиентах, тот, что имеет зону _msdcs для домена AD.
Форвардинг включается на dns-сервере, а не в свойствах tcp\ip контроллера домена.
В нормальном варианте в настройках всех машин, входящих в AD домен прописываются ТОЛЬКО dns-серверы отвечающие за этот домен. Для всего остального существует форвардинг и рут хинтсы......

Цитата:

lan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82559 Fast Ethernet LAN on Mothe
rboard
Физический адрес. . . . . . . . . : 00-30-48-21-A4-B8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

levvlad, пропиши на этом интерфейсе DNS 10.0.0.1. В свойствах зоны DNS сделай привязку только к интерфейсу 10.0.0.1.


Добавлено:
Наверно, после этого надо перезапустить службу netlogon.

Elaniel

Цитата:

пропиши на этом интерфейсе DNS 10.0.0.1.

Если он действительно является авторитативным для AD домена.

Цитата:

В свойствах зоны DNS сделай привязку только к интерфейсу 10.0.0.1.

Когда ты последний раз заглядывал в свойства зон ? Привязку по интерфейсу можно сделать только всему dns-серверу. То есть для всех зон, хранимых на нем. В Win реализации dns привязать отдельные зоны к разным интерфейсам невозможно.

После того, как на контроллере домена в свойствах tcp\ip будет указан только свой dns, нужно на своем dns указать в качестве форвардеров dns сервера провайдеров (предварительно удалив зону (.) если она есть). И перезапустить netlogon на всех контроллерах. Затем проверить наличие зоны _msdcs и наличие в ней "подпапок" и SRV записей в них.

Цитата:

Когда ты последний раз заглядывал в свойства зон ? Привязку по интерфейсу можно сделать только всему dns-серверу.

Извиняюсь, память дырявая.

Цитата:

Если он действительно является авторитативным для AD домена.

сейчас последует вопрос levvlad'а какой из серваков authoritative...

Elaniel

Цитата:

сейчас последует вопрос

Не надо над ним посмеиваться. Все когда то начинали.
levvlad

Цитата:

authoritative...

Это тот dns-сервер (твой), на котором есть зона

Цитата:

sibntc

то есть скорее всего у тебя один dns-сервер в твоей сети, наверняка на первом контроллере домена. Вот это скорее всего он и есть.

Цитата:

Не надо над ним посмеиваться. Все когда то начинали

не, это я намекаю, что надо понятнее излагать, ну ладно, не будем, а то не по делу как-то получается.

Цитата:

levvlad, пропиши на этом интерфейсе DNS 10.0.0.1.

прописал,рестарт сделал.

Цитата:

(предварительно удалив зону (.) если она есть).

где эта зона должна быть?


Цитата:

нужно на своем dns указать в качестве форвардеров dns сервера провайдеров

все давно указанно!


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : sibgateway
Основной DNS-суффикс . . . . . . : sibntc
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : sibntc

lan - Ethernet адаптер: - это интерфейс внутренней сети

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82559 Fast Ethernet LAN on Mothe
rboard
Физический адрес. . . . . . . . . : 00-30-48-21-A4-B8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.0.0.1

почему в свойствах подключения DHCP выключен?
ведь он запущен на сервере! и нормально фукционирует.

inet - Ethernet адаптер:

DNS-суффикс этого подключения . . : это интерфейс внешней сети
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-C0-26-A1-50-C9
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 195.206.54.186
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 195.206.54.185
DNS-серверы . . . . . . . . . . . : 195.206.40.175 -это DNS сервера провайдера
196.206.40.177

levvlad

Цитата:

все давно указанно!

тогда объясни на кой прописывается это ?

Цитата:

DNS-серверы . . . . . . . . . . . : 195.206.40.175 -это DNS сервера провайдера
196.206.40.177

Цитата:

почему в свойствах подключения DHCP выключен?
ведь он запущен на сервере! и нормально фукционирует.

мдя. эта строка

Цитата:

DHCP включен. . . . . . . . . . . : нет

Указывает что данному сетевому интерфейсу адрес назначен статически.

Цитата:

где эта зона должна быть?

Start-Administrative tools-dns.

форвардинг указывается здесь.

Цитата:

форвардинг указывается здесь.

там и указан

Цитата:

тогда объясни на кой прописывается это ?

в свойтсвах подключения inet DNS-убрал

Цитата:

DNS-серверы . . . . . . . . . . . : 195.206.40.175
196.206.40.177

пинганул какой-то сервак в инете все прошло замечательно.

levvlad

Цитата:

пинганул какой-то сервак в инете все прошло замечательно.

ping используют для диагностики подключения (соединения), для диагностики dns используется nslookup. То есть на контроллере, на котором в свойствах tcp\ip указан только свой dns сервер, набираем, например:
C:\TEMP>nslookup ru-board.com
Server: dns_server.nsk.xx
Address: 192.168.49.16

Non-authoritative answer:
Name: ru-board.com
Address: ip-address Ру-Борда

Это и будет говорить о том, что форвардинг работает, так как запрос пошел на твой dns, и он вернул тебе Non-authoritative answer, то есть ответ для зоны, за которую он не отвечает.

все так и прошло

в логах службы репликации файлов все равно есть ошибки,
и появились ошибки в system.
Тип события: Предупреждение
Источник события: W32Time
Категория события: Отсутствует
Код события: 12
Дата: 27.08.2005
Время: 17:14:14
Пользователь: Н/Д
Компьютер: SIBGATEWAY
Описание:
NTP-клиент поставщика времени: этот компьютер использует доменную структуру для определения своего источника времени, но для этого домена в корне леса находится PDC-эмулятор, поэтому нет компьютера, расположенного выше в доменной иерархии, который можно использовать как источник времени. Рекомендуется настроить надежную службу времени в корневом домене либо вручную настроить PDC для синхронизации с внешним источником времени. В противном случае этот компьютер будет выступать в роли авторизованного источника времени в доменной структуре. Если внешний источник времени не настроен или не должен использоваться для этого компьютера, возможно, следует отключить NTP-клиент.

сегодня поставил выделенный шлюз в инет на вынь2000 поднял на нем ДНС на контроллере домена в ДНС указал пересылку ДНС на шлюз.
после этого у пользователей компы сетевре окружение (домен) то видят то нет.
приэтом на основном контроллере домена службу маршрутизации удалил.
в чем пожет быть причина?


Добавлено:
на счет "плоских"имен.
что бы его изменить надо переустанавливать AD?

и насчет шлюза в инет: я создал в ДНС на шлюзе зону отличную от имени зоны на контроллере домена-они должны совпадать? шлюз добавил в домен.

levvlad

Цитата:

в логах службы репликации файлов все равно есть ошибки,

какие ?

Цитата:

Тип события: Предупреждение

Microsoft рекомендует тебе настроить синхронизацию времени контроллера домена, владеющего ролью PDC Emulator, с внешним сервером времени. Или отключть NTP клиент на контроллере.

Цитата:

на счет "плоских"имен.
что бы его изменить надо переустанавливать AD?

если у тебя есть хотя бы один контроллер на Win2000, то да. Если все контроллеры Win2003, то достаточно поднять уровень леса до Windows 2003 и переименовать домен. Учти, что переименование домена операция нетривиальная и без внимательного прочтения мануала от Microsoft на эту тему, делать это я крайне не рекомендую.
Цитата:

после этого у пользователей компы сетевре окружение (домен) то видят то нет.

почитай эту тему. Она большая, но очень пользительная.
Не видно компьютеров в сетевом окружении, пинги идут

Цитата:

и насчет шлюза в инет: я создал в ДНС на шлюзе зону отличную от имени зоны на контроллере домена-они должны совпадать? шлюз добавил в домен.

нет не должны. В инет твоя внутренняя зона вообще светиться не должна.

а вообще ДНС на шлюзе надо было поднимать?

Добавлено:

Цитата:

если у тебя есть хотя бы один контроллер на Win2000, то да. Если все контроллеры Win2003, то достаточно поднять уровень леса до Windows 2003 и переименовать домен. Учти, что переименование домена операция нетривиальная и без внимательного прочтения мануала от Microsoft на эту тему, делать это я крайне не рекомендую.

в домене 7-10 клиентов, остальные работают на уровне рабочих групп. Контроллер домена один на windows 2003. Как изменить имя домена? может проще (пока не поздно) переустановить контроллер домена?
тогда компы пользователей заново заводить в домен? если да то как сохранить их настройки (а то они меня съедят).
если переустанавливать какие будут рекомендации?

levvlad

Цитата:

а вообще ДНС на шлюзе надо было поднимать?

Я бы просто прокси и фаер поставил.

Цитата:

может проще

а зачем ты вообще его переименовывать собрался ?

Цитата:

а зачем ты вообще его переименовывать собрался ?

что бы избавиться от плоских имен.


Цитата:

Я бы просто прокси и фаер поставил.

а как тогда почта будет работать? у меня почтового сервера пока что нет.

levvlad

Цитата:

а как тогда почта будет работать? у меня почтового сервера пока что нет.

то есть юзеры пользуются почтой на обЧественных серверах (типа mail.ru) ? Ну и чем нормально настроенные прокси и фаер помешают ? Вполне таки все работает....

Цитата:

что бы избавиться от плоских имен.

У тебя же одна подсеть ? В одной подсети два контроллера WinServ2003 вряд ли будут испытывать проблемы из-за плоских имен. Всвязи с тем, что процесс переименования домена нетривиален, а переустановка может привести к тому что тебя
Цитата:

съедят

, я бы посоветовал забыть пока эту идею и сосредоточиться на решении текущих проблем. Или поиске доказательств того, что именно "плоское" имя домена является корнем всех бед (ошибки из эвентов например).

Тип события: Ошибка
Источник события: NtFrs
Категория события: Отсутствует
Код события: 13559
Дата: 30.08.2005
Время: 14:40:28
Пользователь: Н/Д
Компьютер: SIBGATEWAY
Описание:
Служба репликации файлов обнаружила что путь к корню репликации изменен с "c:\windows\sysvol\domain" на "c:\windows\sysvol\domain". Если это сделано умышленно, то в новом корне необходимо создать файл с именем NTFRS_CMD_FILE_MOVE_ROOT.
Это было обнаружено для следующего набора реплик:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

Изменение пути к корню реплики является двухэтапным процессом, который запускается при создании файла NTFRS_CMD_FILE_MOVE_ROOT file.

[1] Во время первого опроса, который происходит в течение 5 минут, этот компьютер будет удален из набора реплик.
[2] Во время следующего опроса, этот компьютер будет вновь добавлен к набору реплик с новым путем к корню. Повторное добавление запустит полную синхронизацию дерева для данного набора реплик. После этой синхронизации все файлы будут находится на новом месте. Удалять те же файлы из их прежнего местоположения зависит от того, нужны они еще там или нет.

как избавится от этой ошибки?