» Проблема с домен контроллерами, незнаю что делать.

Недавно пришёл работать на контору как сисадмин.
Cистемы Windows Server 2003/
На оффисе стоит два контроллера, один должен быть основной srv-1, другой резвервный srv-2. Когда выключен srv-2, начинаются проблемы, например, я немогу залогинится на srv-1 по rdp, пишет что нет доступа. При обоих включенных машинах, на srv-1 создаю нового доменного пользователя, пытаюсь сделать так, чтобы от него запускался какой-нить сервис на srv-1, когда ввожу его имя, пароль и нажимаю ok, выскакивает ошибка, что такой пользователь несуществует, хотя при указании имени пользователя я пользовался обзором пользователей в AD, там был такой и я его смог выбрать.
На сегодняшний день дошло до того, что я немогу зайти по rdp на srv-1 при включенном srv-2, пишет что нет доступа, хотя спокойно могу лазить по скрытым и открытым шарам на srv-1.
1. С чем это может быть связано ?
2. Какие возможны решения данной проблемы ?

larryOnOff
Пользователь входит в группу "Администраторов"?

Цитата:

Пользователь входит в группу "Администраторов"?

Не входит.

Но проблема не в этом, так как создав нового пользователя в AD, я немогу даже добавить его в пользователи sql server.

larryOnOff
как по мне, то я б копал в сторону репликации, ролей, глобал каталога и иже с ними...

правой кнопкой мыши в AD на домен --> operations master. напиши какой из серверов у тебя за что отвечает(какие роли у какого сервера)?

лучше "netdiag /fix" и "dcdiag /fix" c контроллеров домена в студию.
и netdiag /fix c клиента.

"netdiag /fix" выдаёт следующую ошибку

Цитата:

netdiag.exe - Entry Point Not Found
The procedure entry point DnsGetMaxNumberOfAddressesToRegister could not be located in the dynamic link library DNSAPI.dll

"dcdiag /fix" выдаёт
[more=вывод]
Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\srv-2
Starting test: Connectivity
......................... srv-2 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\srv-2
Starting test: Replications
[Replications Check,srv-2] A recent replication attempt failed:
From srv-1 to srv-2
Naming Context: DC=mydomen,DC=by
The replication generated an error (8456):
Win32 Error 8456
The failure occurred at 2007-06-18 15:53.35.
The last success occurred at 2007-03-16 19:32.22.
5269 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source srv-1
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
[Replications Check,srv-2] A recent replication attempt failed:
From srv-1 to srv-2
Naming Context: CN=Configuration,DC=mydomen,DC=by
The replication generated an error (8456):
Win32 Error 8456
The failure occurred at 2007-06-18 15:53.35.
The last success occurred at 2007-03-16 18:52.14.
5168 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.
[Replications Check,srv-2] A recent replication attempt failed:
From srv-1 to srv-2
Naming Context: CN=Schema,CN=Configuration,DC=mydomen,DC=by
The replication generated an error (8456):
Win32 Error 8456
The failure occurred at 2007-06-18 15:53.35.
The last success occurred at 2007-03-16 18:52.10.
2221 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.
[Replications Check,srv-2] A recent replication attempt failed:
From srv-1 to srv-2
Naming Context: DC=DomainDnsZones,DC=mydomen,DC=by
The replication generated an error (8456):
Win32 Error 8456
The failure occurred at 2007-06-18 15:53.35.
The last success occurred at 2007-03-16 18:52.10.
2221 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.
[Replications Check,srv-2] A recent replication attempt failed:
From srv-1 to srv-2
Naming Context: DC=ForestDnsZones,DC=mydomen,DC=by
The replication generated an error (8456):
Win32 Error 8456
The failure occurred at 2007-06-18 15:53.35.
The last success occurred at 2007-03-16 18:52.10.
2224 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.
......................... srv-2 passed test Replications
Starting test: NCSecDesc
......................... srv-2 passed test NCSecDesc
Starting test: NetLogons
......................... srv-2 passed test NetLogons
Starting test: Advertising
......................... srv-2 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... srv-2 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... srv-2 passed test RidManager
Starting test: MachineAccount
......................... srv-2 passed test MachineAccount
Starting test: Services
RPCLOCATOR Service is stopped on [srv-2]
TrkWks Service is stopped on [srv-2]
TrkSvr Service is stopped on [srv-2]
......................... srv-2 failed test Services
Starting test: ObjectsReplicated
......................... srv-2 passed test ObjectsReplicated
Starting test: frssysvol
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.
......................... srv-2 passed test frssysvol
Starting test: kccevent
......................... srv-2 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 06/18/2007 16:38:39
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 06/18/2007 16:38:40
(Event String could not be retrieved)
......................... srv-2 failed test systemlog

Running enterprise tests on : mydomen.by
Starting test: Intersite
......................... mydomen.by passed test Intersite
Starting test: FsmoCheck
......................... mydomen.by passed test FsmoCheck[/more]

larryOnOff
уже что-то.
теперь:
проверь состояние служб(все в авто)
удаленный реестр
plug and play
клинент dhcp
клиент dns
служба сервер
сетевой вход

на обоих. скажи какие номера ошибок в журнале система.
ipconfig /all покажи с srv-1 и с srv-2
dcdiag с srv-1
nslookup -d2 -q=srv mydomen.by (с клиента и с сервера)

все вышеуказанные службы работают и работают в автоматическом режиме.

на srv-1 сыпятся ошибки с EventID
1053

Цитата:

Windows cannot determine the user or computer name. (The target principal name is incorrect. ). Group Policy processing aborted.

1219

Цитата:

Logon rejected for mydomen\larry. Unable to obtain Terminal Server User Configuration. Error: Access is denied.

интересные ошибки нашёл на srv-1 до того момента как я несмог залазить на него по rdp
1080

Цитата:

Windows cannot search for Organizational Unit hierarchy. (52). Group Policy processing aborted.

1030

Цитата:

Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.

1006

Цитата:

Windows cannot bind to mydomen.by domain. (Local Error). Group Policy processing aborted.

вот ещё ошибки
1864
[more=просмотр]This is the replication status for the following directory partition on the local domain controller.

Directory partition:
CN=Schema,CN=Configuration,DC=mydomen,DC=by

The local domain controller has not recently received replication information from a number of domain controllers. The count of domain controllers is shown, divided into the following intervals.

More than 24 hours:
1
More than a week:
1
More than one month:
1
More than two months:
1
More than a tombstone lifetime:
1
Tombstone lifetime (days):
60
Domain controllers that do not replicate in a timely manner may encounter errors. It may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled.

To identify the domain controllers by name, install the support tools included on the installation CD and run dcdiag.exe.
You can also use the support tool repadmin.exe to display the replication latencies of the domain controllers in the forest. The command is "repadmin /showvector /latency <partition-dn>".[/more]

2042
[more=просмотр]It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source.
The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.
Time of last successful replication:
2007-03-12 10:50:28
Invocation ID of source:
0075f980-f970-0075-0100-000000000000
Name of source:
60f70b01-a183-46f4-bd8c-7a5cddaf9c63._msdcs.mydomen.by
Tombstone lifetime (days):
60

The replication operation has failed.

User Action:

Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:

1. Demote or reinstall the machine(s) that were disconnected.
2. Use the "repadmin /removelingeringobjects" tool to remove inconsistent deleted objects and then resume replication.
3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it is recommended that you remove the key to reinstate the protection.
Registry Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner


For more information, see Help and Support Center at [/more]

4

Цитата:

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/srv-2.mydomen.by. The target name used was . This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (MYDOMEN.BY), and the client realm. Please contact your system administrator.

nslookup -d2 -q srv-1 mydomen.by запущенный как на srv-2, так и на клиенте
[more]------------
SendRequest(), len 45
HEADER:
opcode = QUERY, id = 1, rcode = NOERROR
header flags: query, want recursion
questions = 1, answers = 0, authority records = 0, additional = 0

QUESTIONS:
174.116.23.217.in-addr.arpa, type = PTR, class = IN

------------
------------
Got answer (45 bytes):
HEADER:
opcode = QUERY, id = 1, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0

QUESTIONS:
174.116.23.217.in-addr.arpa, type = PTR, class = IN

------------
Server: UnKnown
Address: 192.168.1.2

*** Can't find server name for address 192.168.1.2: Non-existent domain
------------
SendRequest(), len 30
HEADER:
opcode = QUERY, id = 2, rcode = NOERROR
header flags: query, want recursion
questions = 1, answers = 0, authority records = 0, additional = 0

QUESTIONS:
sql-1.rpm.by, type = A, class = IN

------------
------------
Got answer (46 bytes):
HEADER:
opcode = QUERY, id = 2, rcode = NOERROR
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0

QUESTIONS:
srv-1.mydomen.by, type = A, class = IN
ANSWERS:
-> srv-1.mydomen.by
type = A, class = IN, dlen = 4
internet address = 192.168.1.1
ttl = 3600 (1 hour)

------------
Name: srv-1.mydomen.by
Address: 192.168.1.1[/more]

ipconfig /all на srv-2
[more]

Windows IP Configuration



Host Name . . . . . . . . . . . . : srv-2

Primary Dns Suffix . . . . . . . : mydomen.by

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : mydomen.by



Ethernet adapter Local Area Connection:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC

Physical Address. . . . . . . . . : бла бла

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.1.2

Subnet Mask . . . . . . . . . . . : 255.255.255.224

DNS Servers . . . . . . . . . . . : 127.0.0.1

192.168.1.1

[/more]

larryOnOff
да уж.
так
1) запусти и поставь auto на службы на srv-2
Клиент отслеживания изменившихся связей
Локатор удаленного вызова процедур (RPC)
Distributed Link Tracking Server
2) сделай dns 192.168.1.1 первичным для srv-2
3) ipconfig /flushdns && ipconfig /registerdns

Затем перезагрузи оба и выполни поочередно
repadmin /syncall /verbose
сначала на srv1 затем на srv2
покажи результат
смотри журнал журнал (сообщи какие ошибки остались)



Добавлено:
кстати маска подсети на srv-1 255.255.255.224?

спасибо. ближе к выходным попробую, так как боюсь что бы в рабочее время всё совсем перестало работать.


Цитата:

кстати маска подсети на srv-1 255.255.255.224?

маска сети на обоих серверах одинаковая.

repadmin /syncall /verbose
на обоих серверах выдаёт ошибку,
на srv-1

Цитата:

CALLBACK MESSAGE: Error contacting server 60f70b01-a183-46f4-bd8c-7a5cddaf9c63._msdcs.mydomen.by (network error): -2146893022 (0x80090322):

Can't retrieve message string -2146893022 (0x80090322), error 1815.

CALLBACK MESSAGE: SyncAll Finished.



SyncAll reported the following errors:

Error contacting server 60f70b01-a183-46f4-bd8c-7a5cddaf9c63._msdcs.mydomen.by (network error): -2146893022 (0x80090322):

Can't retrieve message string -2146893022 (0x80090322), error 1815.

на srv-2

Цитата:

CALLBACK MESSAGE: The following replication is in progress:

From: 5020c826-9511-4e82-be00-135f8b3f2234._msdcs.mydomen.by

To : 60f70b01-a183-46f4-bd8c-7a5cddaf9c63._msdcs.mydomen.by

CALLBACK MESSAGE: Replication suppressed by user request:

From: 5020c826-9511-4e82-be00-135f8b3f2234._msdcs.mydomen.by

To : 60f70b01-a183-46f4-bd8c-7a5cddaf9c63._msdcs.mydomen.by

CALLBACK MESSAGE: SyncAll Finished.



SyncAll reported the following errors:

Replication suppressed by user request:

From: 5020c826-9511-4e82-be00-135f8b3f2234._msdcs.mydomen.by

To : 60f70b01-a183-46f4-bd8c-7a5cddaf9c63._msdcs.mydomen.by

srv-2 работает сейчас как основной ДК.
Возможно ли удалить АД на srv-1, затем включить заново настроить как ДК используя данные с srv-2 ?

larryOnOff
1) ты вообще можешь зайти на шары netlogon и sysvol? а то чет совсем понять ничего не могу.


Цитата:

srv-2 работает сейчас как основной ДК.
Возможно ли удалить АД на srv-1, затем включить заново настроить как ДК используя данные с srv-2 ?

посмотри какие роли и какой контроллер держит - через active directory users & computers

larryOnOff
через ADUC не увидеть мастера схемы и именования.
dsquery server -hasfsmo {schema | name | infr | pdc | rid}

Отсутствие репликации может быть причиной рас синхронизации паролей учетной записи контроллера домен(4я ошибка в eventlog). фикс - http://support.microsoft.com/kb/325850


Добавлено:
se111
в случае интегрированной в AD зоны, в настройках IP не должно быть никаких днс серверов, кроме 127.0.0.1

Добавлено:
PPS se111 larryOnOff
комманда ipconfig /registerdns может обновить/создать записи узла в ДНС, для того чтобы создать записи служб необходимо перезупастить службу netlogon

да суть проблемы скорее всего вот сдесь

Цитата:

Server: UnKnown
Address: 192.168.1.2

*** Can't find server name for address 192.168.1.2: Non-existent domain

только где искать причину у меня вариантов почти не осталось.
надо на шары попробовать зайти
\\192.168.1.2\sysvol
\\srv-2\sysvol

вот тут должно быть проблема. и IMHO именно это причина отсутствия репликации - если не забывать про первый пост.

se111
в выводе nslookup
Цитата:

Server: UnKnown
Address: 192.168.1.2

*** Can't find server name for address 192.168.1.2: Non-existent domain

означает отсутствие обратной зоны - не смертельно

larryOnOff
удалить всегда можно, но победить интерестней и превельней =)
глупвй вопрос - связь между контроллерами есть?
политик IPSec никаких не навязано?

Цитата:

1) ты вообще можешь зайти на шары netlogon и sysvol? а то чет совсем понять ничего не могу

Только что пробовал, заходит спокойно

Цитата:

посмотри какие роли и какой контроллер держит - через active directory users & computers

на srv-2 показывает, что srv-2 operation master.

После перезагрузки обоих творится вообще бред, всё более менее работает только если srv-2 запущен первый, а srv-1 второй. Причём если srv-1 не работает, то непускает ни на один из них. Если перезагружать по другому непускает ни на один из них.

larryOnOff
dsquery server -hasfsmo {schema | name | infr | pdc | rid}
вывод.
gc где?

Цитата:

dsquery server -hasfsmo {schema | name | infr | pdc | rid}
вывод.

srv-2

Цитата:

gc где?

что это ?

Global Catalog

попробуй статью http://support.microsoft.com/kb/325850

если не поможет, то можно грохнуть srv-1? почистить линки, переустановить SRV-1 поднять до контроллера

только что пробовал удалить АД, на srv-1. Выскочила следующая ошибка.


Цитата:

The operation failed because:

A domain controller could not be contacted for the domain mydomen.by that contained an account for this computer.
Make the computer a member of a workgroup then rejoin the domain before retrying the promotion.


"The specified domain either does not exist or could not be contacted."

После я попробовал статью http://support.microsoft.com/kb/325850. После перезагрузки при попытке удаления АД, возникла новая ошибка, невозможности репликациии с srv-2. После второй презагрузки, повторилась первая ошибка.

Читаем последовательно и выполняем. ОЧЕНЬ внимательно.
http://support.microsoft.com/kb/216993
http://support.microsoft.com/kb/216498/
http://support.microsoft.com/kb/332199/ru
Ntdsutil - metadata cleanup - Enter