Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Работа контроллеров домена после восстановления HDD

Автор: NickB
Дата сообщения: 29.08.2012 09:38
Не могу сообразить что делать чтоб все заработало.

Есть :
NPDC – основной DC (192.168.0.253)
NDC – дополнительный DC (192.168.0.252)

На NPDC помер HDD c системой

HDD был заменен и восстановлен Acronis но копия была только недельной давности (с этого и все проблемы я думаю)

После чего NPDC выдает в журналах :
При первом запуске после восстановления :

Журнал System
27.08.2012,21:54:57,LSASRV,Предупреждение,SPNEGO (согласователь) ,40960,Н/Д,NPDC,"Система безопасности обнаружила ошибку проверки подлинности сервера ldap/npdc.kdom.local. Полученный от протокола проверки подлинности Kerberos код ошибки: ""Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные. (0xc000006d)""."

27.08.2012,21:54:50,LSASRV,Предупреждение,SPNEGO (согласователь) ,40960,Н/Д,NPDC,"Система безопасности обнаружила ошибку проверки подлинности сервера cifs/ndc.kdom.local. Полученный от протокола проверки подлинности Kerberos код ошибки: ""Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные. (0xc000006d)""."

Журнал служба каталогов
27.08.2012,21:59:31,NTDS KCC,Предупреждение,Проверка согласованности знаний ,1308,NT AUTHORITY\АНОНИМНЫЙ ВХОД,NPDC,"В ходе проверки согласованности знаний обнаружено, что все дальнейшие попытки репликации со следующим контроллером домена завершились неудачно.
Попыток:
1
Контроллер домена:
CN=NTDS Settings,CN=NDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=kdom,DC=local
Интервал (мин):
160
Объект подключения для этого контроллера домена будет проигнорирован, а для гарантии продолжения репликации будет установлено новое временное подключение. Как только репликация с этим контроллером домена возобновится, временное подключение будет удалено.

Дополнительные данные
Значение ошибки:
5 Отказано в доступе."

27.08.2012,22:54:31,NTDS Replication,Предупреждение,Репликация ,2092,NT AUTHORITY\АНОНИМНЫЙ ВХОД,NPDC,"
Этот сервер является владельцем следующей роли FSMO, но не считает назначение правильным. Для раздела, содержащего FSMO, этот сервер не выполнил успешной репликации ни с одним из партнеров репликации с момента перезапуска этого сервера. Ошибки репликации мешают выполнению проверки для этой роли.
Операции, требующие обращения к хозяину операции FSMO, не смогут выполняться, пока это состояние не будет исправлено.
Роль FSMO: DC=kdom,DC=local
Действие пользователя:
1. Начальная синхронизация является самой первой репликацией, выполняемой системой при запуске. Ошибка при выполнении начальной синхронизации может быть причиной того, что роль FSMO не может быть проверена. Описание этого процесса содержится в статье базы знаний 305476.
2. Этот сервер имеет одного или несколько партнеров репликации, и репликация завершается ошибкой для всех этих партнеров. Используйте команду ""repadmin /showrepl"" для отображения ошибок репликации. Исправьте соответствующую ошибку. Например, это могут быть проблемы связи IP, разрешения DNS-имен, проверки подлинности, которые мешают успешному выполнению репликации.
3. В том редком случае, если известно, что все партнеры репликации были неработоспособны, возможно, из-за выполнения обслуживания или восстановления после ошибки, можно принудительно выполнить проверку роли. Это можно сделать с помощью утилиты NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-узле http://support.microsoft.com.
Могут быть затронуты следующие операции:
Схема: нельзя будет изменять схему для этого леса.
Именование доменов: нельзя будет добавлять или удалять домены из этого леса.
PDC: нельзя будет выполнять операции, исполняемые основным контроллером домена, например, обновление групповой политики и сброс паролей для учетных записей, не принадлежащих Active Directory.
RID: нельзя будет выделять новые SID для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности.
Инфраструктура: междоменные ссылки на имена, например, членство в универсальных группах, не будут правильно обновляться, если конечный объект будет перемещен или переименован."

28.08.2012,15:31:09,NTDS Replication,Предупреждение,DS RPC-клиент ,2088,NT AUTHORITY\АНОНИМНЫЙ ВХОД,NPDC,"Active Directory не может использовать DNS для разрешения указанного ниже IP—адреса исходного контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютеров и их паролей, Active Directory была успешно реплицирована с помощью NetBIOS или полное доменное имя исходного контроллера домена.

Неправильная настройка DNS может влиять на другие важные операции на рядовых компьютерах, контроллерах домена или серверах приложений в лесе этой службы каталогов Active Directory, включая проверку подлинности при входе или доступ к сетевым ресурсам.
Следует как можно скорее исправить ошибку настройки DNS, чтобы этот контроллер домена мог выполнять разрешение IP—адреса исходного контроллера домена с помощью DNS.
Имя альтернативного сервера:
ndc
Ошибочное имя узла DNS:
d9b32349-7f5e-4877-a68a-f9162174ab34._msdcs.kdom.local
Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12—часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Действие пользователя:
1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду ""net view \\<source DC name>"" или ""ping <source DC name>"".
3) Проверьте, что исходный контроллер домена использует правильный DNS—сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns
dcdiag /test:dns
4) Проверьте, что конечный контроллер домена использует правильный DNS—сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
dcdiag /test:dns
5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449
Дополнительные данные:
Ошибка:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.
"

Журнал Служба репликации файлов
27.08.2012,21:56:47,NtFrs,Предупреждение,Отсутствует,13508,Н/Д,NPDC,"Служба репликации файлов столкнулась с проблемами при включении репликации с ""NDC"" на ""NPDC"" для ""e:\sysvol\domain"", использующего DNS-имя ""ndc.kdom.local"". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.
[1] FRS не может разрешить DNS-имя ""ndc.kdom.local"" с этого компьютера.
[2] FRS не запущена на ""ndc.kdom.local"".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.
Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено."

По командам :
Все выполняю на NDC (дополнительный DC)

repadmin /showrepl

Код:
repadmin running command /showrepl against server localhost

Default-First-Site-Name\NDC
DC Options: IS_GC
Site Options: (none)
DC object GUID: d9b32349-7f5e-4877-a68a-f9162174ab34
DC invocationID: 298d2e64-541c-43d8-a12c-fdac5233ec30

==== INBOUND NEIGHBORS ======================================

DC=kdom,DC=local
Default-First-Site-Name\NPDC via RPC
DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
Last attempt @ 2012-08-29 12:13:33 failed, result -2146893022 (0x80090322):
Главное конечное имя неверно.
720 consecutive failure(s).
Last success @ 2012-08-27 19:19:21.

CN=Configuration,DC=kdom,DC=local
Default-First-Site-Name\NPDC via RPC
DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
Last attempt @ 2012-08-29 11:45:35 failed, result -2146893022 (0x80090322):
Главное конечное имя неверно.
45 consecutive failure(s).
Last success @ 2012-08-27 17:46:01.

CN=Schema,CN=Configuration,DC=kdom,DC=local
Default-First-Site-Name\NPDC via RPC
DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
Last attempt @ 2012-08-29 11:45:35 failed, result -2146893022 (0x80090322):
Главное конечное имя неверно.
41 consecutive failure(s).
Last success @ 2012-08-27 17:46:01.

DC=DomainDnsZones,DC=kdom,DC=local
Default-First-Site-Name\NPDC via RPC
DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
Last attempt @ 2012-08-29 11:45:35 failed, result 1256 (0x4e8):
Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.
79 consecutive failure(s).
Last success @ 2012-08-27 19:18:02.

DC=ForestDnsZones,DC=kdom,DC=local
Default-First-Site-Name\NPDC via RPC
DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
Last attempt @ 2012-08-29 11:45:35 failed, result 1256 (0x4e8):
Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.
44 consecutive failure(s).
Last success @ 2012-08-27 19:17:47.

Source: Default-First-Site-Name\NPDC
******* 716 CONSECUTIVE FAILURES since 2012-08-27 19:19:21
Last error: -2146893022 (0x80090322):
Главное конечное имя неверно.
Автор: kerberosV5
Дата сообщения: 29.08.2012 13:48
Помню, однажды умер у меня DC, он же хозяин всего, пришлось руками переносить роли с помощью ntdsutil. Так что, возможно, это тот самый редкий случай:

Цитата:
3. В том редком случае, если известно, что все партнеры репликации были неработоспособны, возможно, из-за выполнения обслуживания или восстановления после ошибки, можно принудительно выполнить проверку роли. Это можно сделать с помощью утилиты NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-узле http://support.microsoft.com.

Страницы: 1

Предыдущая тема: Код: 1202 Источник: ADWS


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.