» Проблема с SYSVOL, NETLOGON Windows Server 2003

Скажу сразу, что все прекрасно работало где-то года 3-4, а проблема началась в пенедельник

Есть домен с двумя контроллерами. 30 рабочих станций. около 800 пользователей. (это комп. класс в одном из вузов) Перемещаемые профили пользователей, перенаправлены папки, ну короче все работает.
В пятницу полез изменить Default User, расположенную в NETLOGON с целью изменения настроек юзеров по-умолчанию (ну когда домен поднимал я 100 раз так делал©) Там чего-то не заладилось - разрешения на эту директирию только для админа получились. Ну я их подправил.
После выходных - сюрприз. Нифига пользователей не пускает если только один контроллер домена работает. Если включить второй - все в порядке. При детальном рассмортении оказалось, что пропали на первом (корневом) шары SYSVOL и NETLOGON.
После многократного прочтения и неоднократного выполнения действий описаных тут
http://support.microsoft.com/kb/315457/en-us
http://support.microsoft.com/kb/257338
ничего хорошего не произошло. Получилось полностью сломать это дело - так что пропали SYSVOL и NETLOGON даже на втором, потом получилось их подцепить с параметором D4 для BurFlags в реестре, но опять-таки на втором.
На первый конртроллер так ничего и не реплицируется. Замечено, что ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID на этом контроллере домена живет своей жизнью. Он то появляется, то исчезает. Изчезает при запуске службы репликации. А ведь именно в нем и указывается что SYSVOL нужно реплицировать.
Сейчас в журнале есть сообщение о том, что c:\windows\sysvol\domain не существует или права не нее не те. На самом деле все так как нужно - и она на месте и права установлены в соответствии с документацией
Куда копать?
Спасибо за внимание.

Шаги, описанные в статьях, надо выполнять очень внимательно. Теперь вам спешить некуда, но домен придется остановить, по-этому - выбирайте время.
Главное внимательность. Например здесь http://itblog.su/vosstanovlenie-sysvol-reshenie-problemy-replikacii-sysvol.html популярное переложение инструкции MS, но в п.5 ошибка. Содержимое папки надо переносить не абы куда, а в любую созданную папку в самом sysvol. У меня именно в этом был затык. Вернее оно работало, но до попытки ввода нового контроллера, а после - теже грабли. В общем попытайтесь пройти оригинальную инструкцию по шагам, строго выполняя предписания.
Там не так сложно. Проверить линки, остановить службу, подправить реестр, очистить папки, запустить службу и залить содержимое папок назад на единственном контроллере, там где BurFlags D4
Отпишитесь, пожалуйста.

Да, очень внимательно делал. Затык в том, что не всегда было куда ставить BurFlags D4 на "первом" контроллере по причине отсутствия соответствующей ветки в реестре. Я выше писал - она то есть, то ее нет. Если на момент, когда нужно вписать BurFlags D4 на "первом" контроллере (он был еще до рождения "второго") нет этой ветки, я ее тупо импортирую (естессно, я ее экспортировал перед этим), а потом уже есть куда писать BurFlags D4. Кроме того, ИМХО можно переносить данные из SYSVOL в любое место, главное, чтобы впределах этого диска. Вот этим (правкой реестра и попытками запустить ntfrs) я очень внимательно занимался целый день на "первом" контроллере. Потом плюнул, сделал BurFlags D4 на "втором" и все закрутилось. Политики применяются все в порядке. Только на первом по-прежнему нет SYSVOL NETLOGON и ветка реестра исчезает как только я запущу на нем ntfrs. В журнале ошибки 13546 следом 13552 и предупреждение 13508

З.Ы. Даже был момент, когда открылась в общий доступ только SYSVOL на "первом" (это было еще до того как я поставил BurFlags D4 на втором). Я уже даже обрадовался, но потом опять те же грабли и больше такого не повторялось

dollop

Цитата:

Затык в том, что не всегда есть куда ставить BurFlags D4 по причине отсутствия соответствующей ветки в реестре.

Значит делаете на контроллере, где с GUID всё в порядке. Записи руками не дают никакого результата, как показывает практика. Первичность и вторичность тут не важна.
Я правильно понял, что один контроллер номально работает теперь, а второй барахлит? Ну так передайте "нормальному" все роли http://support.microsoft.com/kb/255690/ru а барахлящий понизьте до рядового сервера. Затем его можно вообще вывести из домена, отформатировать, залить систему и повысить до DC

Цитата:

Я правильно понял, что один контроллер номально работает теперь, а второй барахлит? Ну так передайте "нормальному" все роли http://support.microsoft.com/kb/255690/ru а барахлящий понизьте до рядового сервера. Затем его можно вообще вывести из домена, отформатировать, залить систему и повысить до DC

Абсолютно правильно поняли. Стремно делать все выше изложенное, по причине того, что все профили и документы пользователей хранятся на нем. Кроме того там же установлена 1С с хаспом (хотя это не большая проблема) ну и беспрерывный учебный процесс (ночь я не рассматриваю, так как другой работы еще полно). Если до каникул не разрулю буду делать по вашему совету. Но может можно обойтись менее радикальными мерами?

Еще не дает покоя ошибка с номером 13546 на проблемном гласящая

Службе репликации файлов не удалось подготовить к репликации корневой каталог c:\windows\sysvol\domain. Возможная причина этого - проблемы при создании корневого каталога или проблемы при удалении уже существовавших файлов в этом корневом каталоге.
Проверьте, что путь, указывающий на корневой каталог, существует и к тему есть доступ.

Да действительно там лежит NtFrs_PreExisting___See_EventLog мож от этого ноги растут

Цитата:

Потом плюнул, сделал BurFlags D4 на "втором" и все закрутилось.

При авторитарном востановлении флаг D4 должен устанавливаться только на первичном контроллере который является Primary Member для репликации frs и собственно с него потом будут реплицироваться все остальные и никак иначе. ИМХО у тебя слетели права на всю ветку sysvol, отсюда и проблемы, по какой причине хз. Я бы попробовал сделать так если есть свежий бэкап созданный стандартными средствами, востановить из него sysvol на первичном не забыв перед этим сделать бэкап контроллера, потом остановить frs на обоих контроллерах, на первичном BurFlags D4, на вторичном D2, запустить frs на первичном и дожидаться сообщений 13553 и 13516, после чего запускать репликацию на вторичном, если этих сообщений нет или если шары таки не появились, то запускать репликацию на вторичном смысла не имеет и надо копать уже глубже проблему.

dollop

Цитата:

NtFrs_PreExisting___See_EventLog

Содержимое случаем не соответствует sysvolному? У меня так и было, frs переносила содержимое в эту папку и исчезали шары.

Цитата:

Стремно делать все выше изложенное, по причине того, что все профили и документы пользователей хранятся на нем.

Ну понижение роли никак не скажется на содержимом профилей и его всегда можно будет извлечь. Профили перемещаемые, как я понимаю. Перенаправить попытаться... Букетик, однако.
Естественно, надо делать полные бэкапы.
И попробуйте сделать еще раз по статье, правда у вас пропадает GUID и скорее всего тут и порылась собака. Сама суть-то не сложна. Зачистить sysvol, задать приоритет для frs и затем отсинхронизить. Естественно, что эталонным надо выбирать наиболее работоспособный контроллер.
Просто понижение роли при таком раскладе может пройти неудачно и придется курить еще один мануал http://support.microsoft.com/kb/216498/ru а это нежелательно.
Вот еще надыбал в закладках http://forum.ru-board.com/topic.cgi?forum=8&topic=22902

Добавлено:

Цитата:

ИМХО у тебя слетели права на всю ветку sysvol, отсюда и проблемы,

Default Permissions for Sysvol

Ребята, спасибо.

Цитата:

При авторитарном востановлении флаг D4 должен устанавливаться только на первичном контроллере который является Primary Member для репликации frs и собственно с него потом будут реплицироваться все остальные и никак иначе.

Да я поствил на вторичном D4 только после целого дня неудачных попыток запустить с этим флагом первичный. А так, сейчас они у меня поменялись "ролями" в репликации SYSVOL.


Цитата:

Содержимое случаем не соответствует sysvolному? У меня так и было, frs переносила содержимое в эту папку и исчезали шары.

Да, там внутри лежала Policies.

Короче, чего сделал. При помощи unlocker определил, что NtFrs_PreExisting___See_EventLog не дает удалить explorer.exe. Перезагрузил explorer, завалил эту гадость. Восстановил снова структуру и разрешения SYSVOL. Поставил на "первом" контроллере BurFlags D2 (с тем, чтобы сделать его вторичным). Запустил на нем ntfrs - и все среплицировалось и через 5 минут появились шары и на нем.
Проблема можно сказать решена.

Еще вопрос возник. Кроме того, что реплицируется то что должно (SYSVOL) у меня настроена репликация документов пользователей. Но в одну сторону. То есть с "первого" на "второй" и все (типа резервной копии) сейчас в журнале при старте службы репликации ошибка 13508

Ребят, в 2003 нет первичного\вторичного, не парьтесь. Есть роли и одна из них эмулятор PDC, но это не классический нтёвый primary

Цитата:

сейчас в журнале при старте службы репликации ошибка 13508

Перенастройте репликацию заново. Вы DFS используете?

Цитата:

Поставил на "первом" контроллере BurFlags D2 (с тем, чтобы сделать его вторичным).

Этот флаг не делает его вторичным контроллером, просто перестраивается БД frs и происходит репликация с партнера. Имеет смысл проверить работает ли на самом деле репликация, подкинь какой нибудь файлик в папку со скриптами на первом, если он появится на втором хорошо, потом удали этот файл на втором он должен удалиться и с первого, но что то мне подсказывает, что не все пройдет гладко судя по этому

Цитата:

сейчас в журнале при старте службы репликации ошибка 13508

Цитата:

Этот флаг не делает его вторичным контроллером,

имел ввиду не первичным.

с SYSVOL все гладко. Все реплицируется. Файлик кидаю в \\домен\netlogon он появляется в соотвествующих шарах на обоих серверах.
А вот с остально репликацией (документов) действительно проблема. Появились в папочках NtFrs_PreExisting___See_EventLog и в них все содержимое. Копаю дальше. Какого художника репликация sysvol затронула остальную dfs?

Цитата:

А вот с остально репликацией (документов) действительно проблема. Появились в папочках NtFrs_PreExisting___See_EventLog

Так и должно быть, это типа временной папки и файлы там появились после флага D2, если бы каталоги реплики dfs совпадали, то скорее всего эта папка очистилась бы автоматом, а так тебе дается возможность сравнить.

Цитата:

Какого художника репликация sysvol затронула остальную dfs?

Дык служба frs и то и то реплицирует, а баг случился из за того, что dfs реплицируется у тебя в одну сторону. Когда ты задал D2 без конкретного гуида реплики frs, то происходит перестройка всех реплик, файлы dfs переместились в NtFrs_PreExisting___See_EventLog, а реплицировать со второго контроллера первый их не смог, ибо не настроено.

ИМХО репликацию dfs легче пересоздать, чем лечить.

dollop
Не думаю, что стоит вот так сходу после удачной атаки рваться в бой дальше. Ибо репликация не sysvol это несколько другое. Надо покурить мануалы.
Вы нарочно указали dfs или спутали с frs?
BurFlags, если всё прошло гладко, должны были сбросить значения. Это произошло?
В ADU&C (Advanced View) System - File Replication Service есть что-то помимо SYSVOL?
Простите за кучу вопросов.


Добавлено:

Цитата:

ИМХО репликацию dfs легче пересоздать, чем лечить.

Согласен. Это не sysvol и всю репликацию можно пересоздать за несколько минут. На одной площадке-то.

Цитата:

Не думаю, что стоит вот так сходу после удачной атаки рваться в бой дальше. Ибо репликация не sysvol это несколько другое. Надо покурить мануалы.

Сегласен. Курю мануалы. Тем более, что практически все вернулось на круги своя. Только резервная копия документов пользователей на лету не создается.

Цитата:

Вы нарочно указали dfs или спутали с frs?

Да. У меня домашние папки и документы пользователей на dfs.

Цитата:

BurFlags, если всё прошло гладко, должны были сбросить значения. Это произошло?

Конечно произошло. С sysvol все в абсолютном порядке. BurFlags в GUID отвечающем за репликацию данных пользователей не трогал, 100%

Цитата:

В ADU&C (Advanced View) System - File Replication Service есть что-то помимо SYSVOL?

Что сие?

Цитата:

Простите за кучу вопросов.

Большое спасибо, что помогаете, тут не вам извиняться нужно
cthsq, и вам низкий поклон

Контроллер домена Windows Server 2003 (единственный, когда-то был вторичным, потом вручную повышен до основного). Пропали шары SYSVOL и NETLOGON после попытки исправить проблему ntfrs (ID 13568). Теперь не могу залогиниться на контроллер домена, есть только доступ к админшарам.

[more=psexec \\server dcdiag /q]C:\Documents and Settings\Администратор>psexec \\server dcdiag /q

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com


Unable to connect to the NETLOGON share! (\\SERVER\netlogon)
[SERVER] An net use or LsaPolicy operation failed with error 1203, Win3
2 Error 1203.
......................... SERVER failed test NetLogons
Fatal Error:DsGetDcName (SERVER) call failed, error 1355
The Locator could not find the server.
......................... SERVER failed test Advertising
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... SERVER failed test frsevent
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 135
5
A Good Time Server could not be located.
Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
A KDC could not be located - All the KDCs are down.
......................... domen.xx failed test FsmoCheck
dcdiag exited on server with error code 0.[/more]

[more=psexec \\server net share]C:\Documents and Settings\Администратор>psexec \\server net share

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

Share name Resource Remark

-------------------------------------------------------------------------------
C$ C:\ Default share
ADMIN$ C:\WINDOWS Remote Admin
IPC$ Remote IPC
E$ E:\ Default share
The command completed successfully.

net exited on server with error code 0.[/more]

[more=psexec \\server repadmin /replsummary]C:\Documents and Settings\Администратор>psexec \\server repadmin /replsummary

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com


Replication Summary Start Time: 2015-04-27 11:27:13

Beginning data collection for replication summary, this may take awhile:
....


Source DC largest delta fails/total %% error


Destination DC largest delta fails/total %% error
Assertion

repadmin exited on server with error code 0.[/more]
Папка SYSVOL присутствует на своем месте, если зайти через админшары. Как вернуть к жизни SYSVOL и NETLOGON для нормальной работы пользователей домена?

ICQman2GO
http://eventid.net/display-eventid-13568-source-NtFrs-eventno-1743-phase-1.htm

ipmanyak

Эту процедуру проделывал - не помогло.
In my case these changes didn't resolve the problem
1. Stop FRS.
2. Start Registry Editor (Regedt32.exe).
3. Locate and click the following key in the registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
4. On the Edit menu, click Add Value, and then add the following registry value:
Value name: Enable Journal Wrap Automatic Restore
Data type: REG_DWORD
Radix: Hexadecimal
Value data: 1 (Default 0)
5. Quit Registry Editor.
6. Restart FRS.

Можно ли применять BurFlags D2, D4 на единственном контроллере и в каком порядке?
Я не знаю их назначение.

ICQman2GO покажи сюда результат
dcdiag /v
и
netdiag /v

D2 D4 это если репликация SYSVOL не идет, ты же говоришь у тебя единственный DC. Он точно один?

ipmanyak
[more=dcdiag /v]C:\Documents and Settings\Администратор>psexec \\server dcdiag /v

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com



Domain Controller Diagnosis

Performing initial setup:
* Verifying that the local machine server, is a DC.
* Connecting to directory service on server server.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 1 DC(s). Testing 1 of them.
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERVER
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... SERVER passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER
Starting test: Replications
* Replications Check
* Replication Latency Check
DC=ForestDnsZones,DC=ruta,DC=ua
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas
and are not verifiably latent, or dc's no longer replicating this nc. 0 had no
latency information (Win2K DC).
DC=DomainDnsZones,DC=ruta,DC=ua
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas
and are not verifiably latent, or dc's no longer replicating this nc. 0 had no
latency information (Win2K DC).
CN=Schema,CN=Configuration,DC=ruta,DC=ua
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas
and are not verifiably latent, or dc's no longer replicating this nc. 0 had no
latency information (Win2K DC).
CN=Configuration,DC=ruta,DC=ua
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas
and are not verifiably latent, or dc's no longer replicating this nc. 0 had no
latency information (Win2K DC).
DC=ruta,DC=ua
Latency information for 1 entries in the vector were ignored.
1 were retired Invocations. 0 were either: read-only replicas
and are not verifiably latent, or dc's no longer replicating this nc. 0 had no
latency information (Win2K DC).
......................... SERVER passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC SERVER.
* Security Permissions Check for
DC=ForestDnsZones,DC=ruta,DC=ua
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DC=ruta,DC=ua
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DC=ruta,DC=ua
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DC=ruta,DC=ua
(Configuration,Version 2)
* Security Permissions Check for
DC=ruta,DC=ua
(Domain,Version 2)
......................... SERVER passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Unable to connect to the NETLOGON share! (\\SERVER\netlogon)
[SERVER] An net use or LsaPolicy operation failed with error 1203, Win3
2 Error 1203.
......................... SERVER failed test NetLogons
Starting test: Advertising
Fatal Error:DsGetDcName (SERVER) call failed, error 1355
The Locator could not find the server.
......................... SERVER failed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-Fi
rst-Site-Name,CN=Sites,CN=Configuration,DC=ruta,DC=ua
Role Domain Owner = CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-Fi
rst-Site-Name,CN=Sites,CN=Configuration,DC=ruta,DC=ua
Role PDC Owner = CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First
-Site-Name,CN=Sites,CN=Configuration,DC=ruta,DC=ua
Role Rid Owner = CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First
-Site-Name,CN=Sites,CN=Configuration,DC=ruta,DC=ua
Role Infrastructure Update Owner = CN=NTDS Settings,CN=SERVER,CN=Server
s,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ruta,DC=ua
......................... SERVER passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 2600 to 1073741823
* server.ruta.ua is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1600 to 2099
* rIDPreviousAllocationPool is 1600 to 2099
* rIDNextRID: 1671
......................... SERVER passed test RidManager
Starting test: MachineAccount
Checking machine account for DC SERVER on DC SERVER.
* SPN found :LDAP/server.ruta.ua/ruta.ua
* SPN found :LDAP/server.ruta.ua
* SPN found :LDAP/SERVER
* SPN found :LDAP/server.ruta.ua/RUTA
* SPN found :LDAP/bf7ab091-bb6b-4d48-a01f-21854d6cee93._msdcs.ruta.ua
* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/bf7ab091-bb6b-4d48-a0
1f-21854d6cee93/ruta.ua
* SPN found :HOST/server.ruta.ua/ruta.ua
* SPN found :HOST/server.ruta.ua
* SPN found :HOST/SERVER
* SPN found :HOST/server.ruta.ua/RUTA
* SPN found :GC/server.ruta.ua/ruta.ua
......................... SERVER passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
NtFrs Service is stopped on [SERVER]
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... SERVER failed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
SERVER is in domain DC=ruta,DC=ua
Checking for CN=SERVER,OU=Domain Controllers,DC=ruta,DC=ua in domain DC
=ruta,DC=ua on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Sit
e-Name,CN=Sites,CN=Configuration,DC=ruta,DC=ua in domain CN=Configuration,DC=rut
a,DC=ua on 1 servers
Object is up-to-date on all servers.
......................... SERVER passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
The registry lookup failed to determine the state of the SYSVOL. The
error returned was 0 (Win32 Error 0). Check the FRS event log to see
if the SYSVOL has successfully been shared.
......................... SERVER passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
An Warning Event occured. EventID: 0x800034FE
Time Generated: 04/27/2015 11:02:03
(Event String could not be retrieved)
......................... SERVER failed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last 15 minut
es.
......................... SERVER passed test kccevent
Starting test: systemlog
* The System Event log test
Found no errors in System Event log in the last 60 minutes.
......................... SERVER passed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=SERVER,OU=Domain Controllers,DC=ruta,DC=ua and backlink on
CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurati
on,DC=ruta,DC=ua
are correct.
The system object reference (frsComputerReferenceBL)
CN=SERVER,CN=Domain System Volume (SYSVOL share),CN=File Replication Se
rvice,CN=System,DC=ruta,DC=ua
and backlink on CN=SERVER,OU=Domain Controllers,DC=ruta,DC=ua are
correct.
The system object reference (serverReferenceBL)
CN=SERVER,CN=Domain System Volume (SYSVOL share),CN=File Replication Se
rvice,CN=System,DC=ruta,DC=ua
and backlink on
CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sit
es,CN=Configuration,DC=ruta,DC=ua
are correct.
......................... SERVER passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : ruta
Starting test: CrossRefValidation
......................... ruta passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ruta passed test CheckSDRefDom

Running enterprise tests on : ruta.ua
Starting test: Intersite
Skipping site Default-First-Site-Name, this site is outside the scope
provided by the command line arguments provided.
......................... ruta.ua passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
PDC Name: \\server.ruta.ua
Locator Flags: 0xe00003fd
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 135
5
A Good Time Server could not be located.
Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
A KDC could not be located - All the KDCs are down.
......................... ruta.ua failed test FsmoCheck
Test omitted by user request: DNS
Test omitted by user request: DNS
dcdiag exited on server with error code 0.[/more]

[more=netdiag /v]C:\Documents and Settings\Администратор>psexec \\server netdiag /v

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com



Gathering IPX configuration information.
Querying status of the Netcard drivers... Passed
Testing Domain membership... Failed
Gathering NetBT configuration information.
Testing for autoconfiguration... Passed
Testing IP loopback ping... Passed
Testing default gateways... Passed
Enumerating local and remote NetBT name cache... Passed
Testing the WINS server
Local Area Connection
There is no primary WINS server defined for this adapter.
There is no secondary WINS server defined for this adapter.
Gathering Winsock information.
Testing DNS
PASS - All the DNS entries for DC are registered on DNS server '127.0.0.1' a
nd other DCs also have some of the names registered.
Testing redirector and browser... Passed
Testing DC discovery.
Looking for a DC
Gathering the list of Domain Controllers for domain 'RUTA'
Testing trust relationships... Skipped
Testing Kerberos authentication... Passed
Testing LDAP servers in Domain RUTA ...
Gathering routing information
Gathering network statistics information.


Component Name : Point to Point Tunneling Protocol
Bind Name: mspptp
Binding Paths:

Component Name : Layer 2 Tunneling Protocol
Bind Name: msl2tp
Binding Paths:

Component Name : Remote Access NDIS WAN Driver
Bind Name: NdisWan
Binding Paths:
Owner of the binding path : Remote Access NDIS WAN Driver
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndiscowan
Upper Component: Remote Access NDIS WAN Driver
Lower Component: Direct Parallel

Owner of the binding path : Remote Access NDIS WAN Driver
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndiswan
Upper Component: Remote Access NDIS WAN Driver
Lower Component: WAN Miniport (PPPOE)

Owner of the binding path : Remote Access NDIS WAN Driver
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndiswan
Upper Component: Remote Access NDIS WAN Driver
Lower Component: WAN Miniport (PPTP)

Owner of the binding path : Remote Access NDIS WAN Driver
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndiscowan
Upper Component: Remote Access NDIS WAN Driver
Lower Component: WAN Miniport (L2TP)

Owner of the binding path : Remote Access NDIS WAN Driver
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndiswanasync
Upper Component: Remote Access NDIS WAN Driver
Lower Component: RAS Async Adapter


Component Name : NDIS Usermode I/O Protocol
Bind Name: Ndisuio
Binding Paths:
Owner of the binding path : NDIS Usermode I/O Protocol
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndis5
Upper Component: NDIS Usermode I/O Protocol
Lower Component: HP NC107i PCIe Gigabit Server Adapter


Component Name : Message-oriented TCP/IP Protocol (SMB session)
Bind Name: NetbiosSmb
Binding Paths:

Component Name : WINS Client(TCP/IP) Protocol
Bind Name: NetBT
Binding Paths:
Owner of the binding path : WINS Client(TCP/IP) Protocol
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: tdi
Upper Component: WINS Client(TCP/IP) Protocol
Lower Component: Internet Protocol (TCP/IP)
-Interface Name: ndis5
Upper Component: Internet Protocol (TCP/IP)
Lower Component: HP NC107i PCIe Gigabit Server Adapter

Owner of the binding path : WINS Client(TCP/IP) Protocol
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: tdi
Upper Component: WINS Client(TCP/IP) Protocol
Lower Component: Internet Protocol (TCP/IP)
-Interface Name: ndiswanip
Upper Component: Internet Protocol (TCP/IP)
Lower Component: WAN Miniport (IP)


Component Name : Internet Protocol (TCP/IP)
Bind Name: Tcpip
Binding Paths:
Owner of the binding path : Internet Protocol (TCP/IP)
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndis5
Upper Component: Internet Protocol (TCP/IP)
Lower Component: HP NC107i PCIe Gigabit Server Adapter

Owner of the binding path : Internet Protocol (TCP/IP)
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: ndiswanip
Upper Component: Internet Protocol (TCP/IP)
Lower Component: WAN Miniport (IP)


Component Name : Client for Microsoft Networks
Bind Name: LanmanWorkstation
Binding Paths:
Owner of the binding path : Client for Microsoft Networks
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios_smb
Upper Component: Client for Microsoft Networks
Lower Component: Message-oriented TCP/IP Protocol (SMB session)

Owner of the binding path : Client for Microsoft Networks
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: Client for Microsoft Networks
Lower Component: WINS Client(TCP/IP) Protocol
-Interface Name: tdi
Upper Component: WINS Client(TCP/IP) Protocol
Lower Component: Internet Protocol (TCP/IP)
-Interface Name: ndis5
Upper Component: Internet Protocol (TCP/IP)
Lower Component: HP NC107i PCIe Gigabit Server Adapter

Owner of the binding path : Client for Microsoft Networks
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: Client for Microsoft Networks
Lower Component: WINS Client(TCP/IP) Protocol
-Interface Name: tdi
Upper Component: WINS Client(TCP/IP) Protocol
Lower Component: Internet Protocol (TCP/IP)
-Interface Name: ndiswanip
Upper Component: Internet Protocol (TCP/IP)
Lower Component: WAN Miniport (IP)


Component Name : WebClient
Bind Name: WebClient
Binding Paths:

Component Name : Wireless Configuration
Bind Name: wzcsvc
Binding Paths:

Component Name : Network Load Balancing
Bind Name: Wlbs
Binding Paths:
Owner of the binding path : Network Load Balancing
Binding Enabled: No
Interfaces of the binding path:
-Interface Name: ndis5
Upper Component: Network Load Balancing
Lower Component: HP NC107i PCIe Gigabit Server Adapter


Component Name : Steelhead
Bind Name: RemoteAccess
Binding Paths:

Component Name : Dial-Up Server
Bind Name: msrassrv
Binding Paths:

Component Name : Remote Access Connection Manager
Bind Name: RasMan
Binding Paths:

Component Name : Dial-Up Client
Bind Name: msrascli
Binding Paths:

Component Name : File and Printer Sharing for Microsoft Networks
Bind Name: LanmanServer
Binding Paths:
Owner of the binding path : File and Printer Sharing for Microsoft Netwo
rks
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios_smb
Upper Component: File and Printer Sharing for Microsoft Networks
Lower Component: Message-oriented TCP/IP Protocol (SMB session)

Owner of the binding path : File and Printer Sharing for Microsoft Netwo
rks
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: File and Printer Sharing for Microsoft Networks
Lower Component: WINS Client(TCP/IP) Protocol
-Interface Name: tdi
Upper Component: WINS Client(TCP/IP) Protocol
Lower Component: Internet Protocol (TCP/IP)
-Interface Name: ndis5
Upper Component: Internet Protocol (TCP/IP)
Lower Component: HP NC107i PCIe Gigabit Server Adapter

Owner of the binding path : File and Printer Sharing for Microsoft Netwo
rks
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: File and Printer Sharing for Microsoft Networks
Lower Component: WINS Client(TCP/IP) Protocol
-Interface Name: tdi
Upper Component: WINS Client(TCP/IP) Protocol
Lower Component: Internet Protocol (TCP/IP)
-Interface Name: ndiswanip
Upper Component: Internet Protocol (TCP/IP)
Lower Component: WAN Miniport (IP)


Component Name : Generic Packet Classifier
Bind Name: Gpc
Binding Paths:

Component Name : Application Layer Gateway
Bind Name: ALG
Binding Paths:

Component Name : NetBIOS Interface
Bind Name: NetBIOS
Binding Paths:
Owner of the binding path : NetBIOS Interface
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: NetBIOS Interface
Lower Component: WINS Client(TCP/IP) Protocol
-Interface Name: tdi
Upper Component: WINS Client(TCP/IP) Protocol
Lower Component: Internet Protocol (TCP/IP)
-Interface Name: ndis5
Upper Component: Internet Protocol (TCP/IP)
Lower Component: HP NC107i PCIe Gigabit Server Adapter

Owner of the binding path : NetBIOS Interface
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: netbios
Upper Component: NetBIOS Interface
Lower Component: WINS Client(TCP/IP) Protocol
-Interface Name: tdi
Upper Component: WINS Client(TCP/IP) Protocol
Lower Component: Internet Protocol (TCP/IP)
-Interface Name: ndiswanip
Upper Component: Internet Protocol (TCP/IP)
Lower Component: WAN Miniport (IP)


Component Name : HP NC107i PCIe Gigabit Server Adapter
Bind Name: {A22EF1CC-A1F0-4AEB-ADF4-2C7E64576693}
Binding Paths:

Component Name : WAN Miniport (IP)
Bind Name: NdisWanIp
Binding Paths:

Component Name : Direct Parallel
Bind Name: {122797F8-6CC0-42FB-A5E2-C1AAFE98F84C}
Binding Paths:

Component Name : WAN Miniport (PPPOE)
Bind Name: {23BD07D6-4E0D-4524-BA2A-6029965EAA0D}
Binding Paths:

Component Name : WAN Miniport (PPTP)
Bind Name: {0F37850C-A4BF-459F-BAE8-AAC2FA4EE953}
Binding Paths:

Component Name : WAN Miniport (L2TP)
Bind Name: {64C26F47-CEEF-4A13-916F-969D3997C15B}
Binding Paths:

Component Name : RAS Async Adapter
Bind Name: {AABEEAE9-AEE1-41E3-A390-185E5C6CF693}
Binding Paths:



WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully
netdiag exited on server with error code 1.[/more]

Да, контроллер точно один. Когда то был вторым, потом остался один и был повышен до основного, но в журнале были ошибки ntfrs, которые я и пытался исправить.

ICQman2GO netdiag у тебя что-то совсем короткий и не подробный, он должен быть большой, несколько сотен строк.
Попробуй выдать netdiag не через psexec, а в консоли самого сервера.

Value data: 1 (Default 0) - ты вернул на место этот параметр?

Проверь роли еще раз выдай -
netdom query fsmo

Какая-то проблема со временем или со службой временм есть. Убедись, что служба Windows TIME запущена,
почитай статьи
http://www.petenetlive.com/KB/Article/0000705.htm
http://blog.shiraj.com/2009/09/dcgetdcnametime_server-call-failed-error-1355/
https://support.microsoft.com/ru-ru/kb/816042

и покажи еще ipconfig /all

ipmanyak

Цитата:

netdiag у тебя что-то совсем короткий и не подробный, он должен быть большой, несколько сотен строк.
Попробуй выдать netdiag не через psexec, а в консоли самого сервера.

Вывел в файл, т.к. залогиниться локально не могу, не пускает "Domain not exist..."
netdiag
Value data вернул 0.

Цитата:

Проверь роли еще раз выдай -
netdom query fsmo

[more=net dom query fsmo]The specified domain either does not exist or could not be contacted.

The command failed to complete successfully.[/more]
[more=ipconfig /all ]

Windows IP Configuration



Host Name . . . . . . . . . . . . : server

Primary Dns Suffix . . . . . . . : ruta.ua

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : Yes

WINS Proxy Enabled. . . . . . . . : Yes

DNS Suffix Search List. . . . . . : ruta.ua



Ethernet adapter Local Area Connection:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : HP NC107i PCIe Gigabit Server Adapter

Physical Address. . . . . . . . . : 78-E7-D1-DD-15-56

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.0.3

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.0.1

DNS Servers . . . . . . . . . . . : 127.0.0.1

[/more]
Со временем разберусь со временем . Время было актуальное.

ICQman2GO Погляди системные журналы винды, журнал приложений и системы, приведи сюда номера ошибок и источник, и краткий текст. Убедись что служба времени запущена.
Не думаю, что поможет, но на всякий случай сделай:
netdiag /fix > net.txt
dcdiag /fix > dc.txt
покажи эти файлики сюда

Проверь наличие самого каталога SYSVOL в каталоге C:\WINDOWS и наличие подпапок

Убедитесь, что существуют следующие папки в дереве SYSVOL:

\SYSVOL\domain
\SYSVOL\staging\domain
\SYSVOL\staging areas
\SYSVOL\domain\Policies
\SYSVOL\domain\scripts
\SYSVOL\SYSVOL
Убедитесь, что существуют следующие точки повторной обработки:
\SYSVOL\SYSVOL\ DNS-имя домена
Эта точка повторной обработки должна быть привязана к папке \SYSVOL\domain.

\SYSVOL\staging areas\DNS-имя домена
Эта точка повторной обработки должна быть привязана к папке \SYSVOL\staging\domain.

p.s.
Бэкап сервера или SYSTEM STATE вместе с AD есть?
Когда вообще сломалось7 с чего началось? Апдэйты какие-то ставил?

ipmanyak

Цитата:

Проверь наличие самого каталога SYSVOL в каталоге C:\WINDOWS и наличие подпапок

Каталог присутствовал, но после [more=манипуляций по исправлению ошибки 13568]1. Stop FRS.
2. Start Registry Editor (Regedt32.exe).
3. Locate and click the following key in the registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
4. On the Edit menu, click Add Value, and then add the following registry value:
Value name: Enable Journal Wrap Automatic Restore
Data type: REG_DWORD
Radix: Hexadecimal
Value data: 1 (Default 0)
5. Quit Registry Editor.
6. Restart FRS.

[/more] шара SYSVOL перестала быть шарой , хотя папка и ее структура осталась на месте, в чем я мог убедиться подключившись через c$.
Паника возникла, когда один из доменных юзеров не смог получить доступ к подключенной сетевой папке с сервера, а я не смог залогиниться на сервер ни через RDP ни через консоль.

Включил мозги и с помощью
1. Stop FRS.
2. Start Registry Editor (Regedt32.exe).
3. Locate and click the following key in the registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore/Process at Startup
4. On the Edit menu, click Add Value, and then add the following registry value:
Value name: BurFlags
Data type: REG_DWORD
Radix: Hexadecimal
Value data: D4
5. Quit Registry Editor.
6. Restart FRS.
восстановил шару SYSVOL - она стала видна в сети.
[more=net share]Share name Resource Remark

-------------------------------------------------------------------------------
C$ C:\ Default share
E$ E:\ Default share
ADMIN$ C:\WINDOWS Remote Admin
IPC$ Remote IPC

SYSVOL C:\WINDOWS\SYSVOL\sysvol Logon server share

The command completed successfully.[/more]
А вот папка NETLOGON не появилась и я не могу зайти на сервер через консоль - только через RDP.

[more=netdiag /fix]
....................................

Computer Name: SERVER
DNS Host Name: server.ruta.ua
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 6 Model 26 Stepping 5, GenuineIntel
List of installed hotfixes :
KB2079403
KB2115168
KB2160329
KB2183461
KB2229593
KB2286198
KB2296011
KB2345886
KB2347290
KB2360937
KB2378111
KB2387149
KB2393802
KB2412687
KB2416451
KB2419635
KB2423089
KB2440591
KB2443105
KB2443685
KB2467659
KB2476490
KB2478953
KB2478960
KB2478971
KB2483185
KB2485663
KB2503665
KB2506212
KB2507618
KB2507938
KB2508272
KB2508429
KB2509553
KB2510531-IE8
KB2510587
KB2524375
KB2535512
KB2536276
KB2536276-v2
KB2544521
KB2544893
KB2544893-v2
KB2555917
KB2559049-IE8
KB2564958
KB2566454
KB2570947
KB2584146
KB2598479
KB2603381
KB2618451
KB2620712
KB2624667
KB2631813
KB2638806
KB2644615
KB2647170
KB2653956
KB2655992
KB2656358
KB2659262
KB2661254
KB2676562
KB2685939
KB2686509
KB2691442
KB2698365
KB2705219-v2
KB2712808
KB2719985
KB2727528
KB2742604
KB2748349
KB2749655
KB2753842-v2
KB2758857
KB2770660
KB2772930
KB2779562
KB2780091
KB2803821-v2
KB2807986
KB2820197
KB2820917
KB2829361
KB2833949
KB2834886
KB2845187
KB2847311
KB2849470
KB2850851
KB2850869
KB2859537
KB2862152
KB2862330
KB2862335
KB2862772-IE8
KB2863058
KB2864058
KB2864063
KB2868038
KB2868626
KB2870699-IE8
KB2876217
KB2876315
KB2876331
KB2879017-IE8
KB2883150
KB2888505-IE8
KB2892076
KB2893294
KB2893984
KB2894845
KB2898715
KB2898785-IE8
KB2898860
KB2900986
KB2901115
KB2904266
KB2909210-IE8
KB2909921-IE8
KB2914368
KB2916036
KB2922229
KB2923392
KB2926765
KB2929961
KB2930275
KB2931352
KB2936068-IE8
KB2939576
KB2957503
KB2957509
KB2957689-IE8
KB2961072
KB2972207
KB2978114
KB2981580
KB2989935
KB2993254
KB2993651
KB2993958
KB2998579
KB3006226
KB3011780
KB3013126
KB923561
KB924667-v2
KB925398_WMP64
KB925902-v2
KB926122
KB927891
KB929123
KB930178
KB932168
KB933854
KB936357
KB938127
KB941569
KB942288-v4
KB943055
KB944338-v2
KB944653
KB945553
KB946026
KB948496
KB950760
KB950762
KB950974
KB951748
KB952004
KB952069
KB952954
KB953298
KB954155
KB955759
KB956572
KB956802
KB956803
KB956844
KB958469
KB958644
KB958869
KB959426
KB960803
KB960859
KB961501
KB967715
KB967723
KB968389
KB969059
KB970238
KB970430
KB971029
KB971032
KB971657
KB971737
KB971961
KB972270
KB973507
KB973540
KB973815
KB973825
KB973869
KB973904
KB974112
KB974318
KB974392
KB974571
KB975025
KB975467
KB975558_WM8
KB975560
KB975562
KB975713
KB977816
KB977914
KB978037
KB978338
KB978542
KB978601
KB978695
KB978706
KB979309
KB979482
KB979683
KB979687
KB979907
KB980195
KB980218
KB980232
KB980436
KB981322
KB981350
KB981793
KB982132
KB982214
KB982381-IE8
KB982632-IE8
Q147222


Netcard queries test . . . . . . . : Passed



Per interface results:

Adapter : Local Area Connection

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : server
IP Address . . . . . . . . : 192.168.0.3
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.1
Dns Servers. . . . . . . . : 127.0.0.1


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Failed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{A22EF1CC-A1F0-4AEB-ADF4-2C7E64576693}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '127.0.0.1' and other DCs also have some of the names registered.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{A22EF1CC-A1F0-4AEB-ADF4-2C7E64576693}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{A22EF1CC-A1F0-4AEB-ADF4-2C7E64576693}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Skipped


LDAP test. . . . . . . . . . . . . : Passed
[WARNING] You are logged on as a local user. (RUTA\admin)
Cannot test NTLM Authentication to 'server.ruta.ua'.


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully
[/more]
[more=dcdiag /fix]
Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERVER
Starting test: Connectivity
......................... SERVER passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER
Starting test: Replications
......................... SERVER passed test Replications
Starting test: NCSecDesc
......................... SERVER passed test NCSecDesc
Starting test: NetLogons
Unable to connect to the NETLOGON share! (\\SERVER\netlogon)
[SERVER] An net use or LsaPolicy operation failed with error 1203, Win32 Error 1203.
......................... SERVER failed test NetLogons
Starting test: Advertising
......................... SERVER passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVER passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVER passed test RidManager
Starting test: MachineAccount
......................... SERVER passed test MachineAccount
Starting test: Services
......................... SERVER passed test Services
Starting test: ObjectsReplicated
......................... SERVER passed test ObjectsReplicated
Starting test: frssysvol
......................... SERVER passed test frssysvol
Starting test: frsevent
......................... SERVER passed test frsevent
Starting test: kccevent
......................... SERVER passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x0000164A
Time Generated: 04/27/2015 16:03:07
Event String: The Netlogon service could not create server

......................... SERVER failed test systemlog
Starting test: VerifyReferences
......................... SERVER passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : ruta
Starting test: CrossRefValidation
......................... ruta passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ruta passed test CheckSDRefDom

Running enterprise tests on : ruta.ua
Starting test: Intersite
......................... ruta.ua passed test Intersite
Starting test: FsmoCheck
......................... ruta.ua passed test FsmoCheck
[/more]


Цитата:

Бэкап сервера или SYSTEM STATE вместе с AD есть?

Бэкапа скорее всего нет, по крайней мере при мне ни разу его не делали.

Цитата:

Когда вообще сломалось7 с чего началось? Апдэйты какие-то ставил?

Начал приводить в порядок сервер постепенно шаг за шагом и исправлять ошибки.
Сначала принудительно присвоил ему роли FSMO, потом настраивал зоны DNS. После этого некоторое время работал нормально, но часто блокировались доменные пользователи, у которых подключена как сетевой диск расшаренная папка с сервера.
Поэтому устанавливал апдейты и решил исправить ошибку 13568.

верни Value data: D4 на D2 и перегрузи систему

проверь службу netlogon
выполни
net stop netlogon
net start netlogon

если не стартует, смотри ошибки системного журнала

ipmanyak

Цитата:

Проверь наличие самого каталога SYSVOL в каталоге C:\WINDOWS и наличие подпапок

Убедитесь, что существуют следующие папки в дереве SYSVOL:

\SYSVOL\domain
\SYSVOL\staging\domain
\SYSVOL\staging areas
\SYSVOL\domain\Policies
\SYSVOL\domain\scripts
\SYSVOL\SYSVOL
Убедитесь, что существуют следующие точки повторной обработки:
\SYSVOL\SYSVOL\ DNS-имя домена
Эта точка повторной обработки должна быть привязана к папке \SYSVOL\domain.

\SYSVOL\staging areas\DNS-имя домена
Эта точка повторной обработки должна быть привязана к папке \SYSVOL\staging\domain.

Сегодня на свежую голову просмотрел каталог C:\WINDOWS\SYSVOL и таки да, в нем не оказалось подкаталогов \SYSVOL\domain\Policies и \SYSVOL\domain\scripts, хотя \SYSVOL\domain\ присутствовал.
Опишу все действия по порядку:
1. Остановил службу репликации файлов (т.к.контроллер только один, то выполнил эту команду только на нем)
net stop ntfrs
2. Проверил структуру папок службы репликации файлов.
\SYSVOL
\SYSVOL\domain
\SYSVOL\staging\domain
\SYSVOL\staging areas
\SYSVOL\domain\Policies
\SYSVOL\domain\scripts
\SYSVOL\SYSVOL
Папок \SYSVOL\domain\Policies и \SYSVOL\domain\scripts не оказалось, поэтому создал их вручную.
3. Установил авторитетный режим главного контроллера домена.
На основном (и единственном) контроллере домена установил значение ключа BurFlags D4 в разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID
где GUID такой же как GUID в разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

4. Определил пути для сопряженных точек (junction points).
Определил root и stage пути для точек сопряжения реплик на основном (и единственном) контроллере домена
[more=ntfrsutl ds |findstr /i "root stage"]C:\Documents and Settings\Администратор>psexec \\server ntfrsutl ds |findstr /i
"root stage"

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

Starting ntfrsutl on server... on server...
ntfrsutl exited on server with error code 0.[/more]
Определить их, как видно из вывода команды, не удалось, но я их знал, поэтому исходил из того, что
Root : c:\windows\sysvol\domain
Stage : c:\windows\sysvol\staging\domain

5. Выполнил сопряжение root-точки.
Установил на сервере Windows Resource Kit Tools, в состав которого входит утилита linkd
Выполнил без кавычек
linkd C:\WINDOWS\sysvol\sysvol\domain.local source
где вместо source подставил root-путь c:\windows\sysvol\domain
[more=В результате получил]C:\Documents and Settings\Администратор>psexec \\server linkd C:\WINDOWS\SYSVOL\sysvol\domen.xx c:\windows\sysvol\domain

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com


Link created at: C:\WINDOWS\SYSVOL\sysvol\domen.xx
linkd exited on server with error code 0.[/more]

6.Выполнил сопряжение stage-точки.
выполнил с кавычками

linkd “C:\WINDOWS\sysvol\staging areas\domain.local” source
где вместо source подставил stage-путь c:\windows\sysvol\staging\domain
[more=В результате получил]C:\Documents and Settings\Администратор>psexec \\server linkd "C:\WINDOWS\SYSVOL\staging areas\domen.xx" c:\windows\sysvol\staging\domain

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com


Link created at: C:\WINDOWS\SYSVOL\staging areas\domen.xx
linkd exited on server with error code 0.[/more]

7. Запустил службу репликации на главном (и единственном) контроллере домена
net start ntfrs

8. Проверил результат на на главном (и единственном) контроллере домена.
[more=net share]
C:\Documents and Settings\Администратор>psexec \\server net share

PsExec v2.11 - Execute processes remotely
Copyright (C) 2001-2014 Mark Russinovich
Sysinternals - www.sysinternals.com



Share name Resource Remark

-------------------------------------------------------------------------------
C$ C:\ Default share
E$ E:\ Default share
ADMIN$ C:\WINDOWS Remote Admin
IPC$ Remote IPC
NETLOGON C:\WINDOWS\SYSVOL\sysvol\domen.xx\SCRIPTS
Logon server share
SYSVOL C:\WINDOWS\SYSVOL\sysvol Logon server share

The command completed successfully.

net exited on server with error code 0.[/more]

ICQman2GO Как я понимаю шары sysvol и netlogon на месте и теперь все в норме ?

ipmanyak

Цитата:

Как я понимаю шары sysvol и netlogon на месте и теперь все в норме ?

Да, шары на месте. Теперь можно и в отпуск
Спасибо за помощь!