Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Лег DC

Автор: M1chA
Дата сообщения: 03.03.2013 03:01
Недавно рухнул PDC.
Вторичный DC (на Hyper-V) взял на себя роль PDC.
После долгих танцев PDC загрузился (до этого даже войти в него не мог).
В логах у обоих DC имеются ошибки. Трогать что-либо сейчас боюсь.
Хочу посоветоваться с знающими людьми что и как делать.

Вот скриншоты.
PDC:
1.

2.

3.

4.

DCDIAG с PDC:
[more]
Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Users\my>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = dc
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: MyDomainServers\DC
Запуск проверки: Connectivity
......................... DC - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: MyDomainServers\DC
Запуск проверки: Advertising
......................... DC - пройдена проверка Advertising
Запуск проверки: FrsEvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... DC - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... DC - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... DC - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... DC - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... DC - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
Учетная запись DC не является доверенной для делегирования. Она не
может реплицироваться.
Учетная запись DC не является учетной записью контроллера DC. Она не
может реплицироваться.
Внимание! Атрибут userAccountControl для DC:
0x11000 = ( WORKSTATION_TRUST_ACCOUNT | DONT_EXPIRE_PASSWD )
Типовой параметр для контроллера домена -
0x82000 = ( SERVER_TRUST_ACCOUNT | TRUSTED_FOR_DELEGATION )
Это может влиять на репликацию?
......................... DC - не пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... DC - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
[DC] В учетных данных пользователя отсутствует разрешение на
выполнение данной операции.
Учетная запись, используемая для этой проверки, должна иметь права на
вход в сеть
для домена данного компьютера.
......................... DC - не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... DC - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
[Replications Check,DC] Сбой при последней попытке репликации:
Из SERVICES в DC
Контекст именования: DC=ForestDnsZones,DC=mydomain,DC=ru
При репликации возникла ошибка (8453):
Доступ к репликации отвергнут.
Сбой возник в 2013-03-03 04:50:28.
Последняя успешная операция была в 2013-02-15 22:57:42. После
последней успешной операции было
376 сбоев.
Учетная запись компьютера для назначения DC
не настроена должным образом.
Проверьте поле userAccountControl.
Ошибка Kerberos.
Учетная запись компьютера отсутствует или не соответствует на
серверах цели, источника или KDC.
Убедитесь, что раздел домена центра распространения ключей (KDC)
синхронизирован с предприятием в целом.
Для этого можно использовать инструмент repadmin/syncall.
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
Источник SERVICES
Репликация новых изменений по данному пути будет задержана.
Эта проблема будет решена автоматически при следующей периодической
синхронизации.
[Replications Check,DC] Сбой при последней попытке репликации:
Из SERVICES в DC
Контекст именования: DC=DomainDnsZones,DC=mydomain,DC=ru
При репликации возникла ошибка (8453):
Доступ к репликации отвергнут.
Сбой возник в 2013-03-03 04:50:28.
Последняя успешная операция была в 2013-02-15 22:57:42. После
последней успешной операции было
376 сбоев.
Учетная запись компьютера для назначения DC
не настроена должным образом.
Проверьте поле userAccountControl.
Ошибка Kerberos.
Учетная запись компьютера отсутствует или не соответствует на
серверах цели, источника или KDC.
Убедитесь, что раздел домена центра распространения ключей (KDC)
синхронизирован с предприятием в целом.
Для этого можно использовать инструмент repadmin/syncall.
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
Источник SERVICES
Репликация новых изменений по данному пути будет задержана.
Эта проблема будет решена автоматически при следующей периодической
синхронизации.
[Replications Check,DC] Сбой при последней попытке репликации:
Из SERVICES в DC
Контекст именования: CN=Schema,CN=Configuration,DC=mydomain,DC=ru
При репликации возникла ошибка (8453):
Доступ к репликации отвергнут.
Сбой возник в 2013-03-03 04:50:28.
Последняя успешная операция была в 2013-02-15 22:57:42. После
последней успешной операции было
376 сбоев.
Учетная запись компьютера для назначения DC
не настроена должным образом.
Проверьте поле userAccountControl.
Ошибка Kerberos.
Учетная запись компьютера отсутствует или не соответствует на
серверах цели, источника или KDC.
Убедитесь, что раздел домена центра распространения ключей (KDC)
синхронизирован с предприятием в целом.
Для этого можно использовать инструмент repadmin/syncall.
[Replications Check,DC] Сбой при последней попытке репликации:
Из SERVICES в DC
Контекст именования: CN=Configuration,DC=mydomain,DC=ru
При репликации возникла ошибка (8453):
Доступ к репликации отвергнут.
Сбой возник в 2013-03-03 04:50:28.
Последняя успешная операция была в 2013-02-15 22:57:42. После
последней успешной операции было
378 сбоев.
Учетная запись компьютера для назначения DC
не настроена должным образом.
Проверьте поле userAccountControl.
Ошибка Kerberos.
Учетная запись компьютера отсутствует или не соответствует на
серверах цели, источника или KDC.
Убедитесь, что раздел домена центра распространения ключей (KDC)
синхронизирован с предприятием в целом.
Для этого можно использовать инструмент repadmin/syncall.
[Replications Check,DC] Сбой при последней попытке репликации:
Из SERVICES в DC
Контекст именования: DC=mydomain,DC=ru
При репликации возникла ошибка (8453):
Доступ к репликации отвергнут.
Сбой возник в 2013-03-03 04:50:28.
Последняя успешная операция была в 2013-02-15 22:57:42. После
последней успешной операции было
376 сбоев.
Учетная запись компьютера для назначения DC
не настроена должным образом.
Проверьте поле userAccountControl.
Ошибка Kerberos.
Учетная запись компьютера отсутствует или не соответствует на
серверах цели, источника или KDC.
Убедитесь, что раздел домена центра распространения ключей (KDC)
синхронизирован с предприятием в целом.
Для этого можно использовать инструмент repadmin/syncall.
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
Источник SERVICES
Репликация новых изменений по данному пути будет задержана.
Эта проблема будет решена автоматически при следующей периодической
синхронизации.
......................... DC - не пройдена проверка Replications
Запуск проверки: RidManager
......................... DC - пройдена проверка RidManager
Запуск проверки: Services
Не удалось открыть службу NTDS в DC, ошибка 0x5
"Отказано в доступе."
......................... DC - не пройдена проверка Services
Запуск проверки: SystemLog
Возникло событие Error. Код события (EventID): 0x000016AD
Время создания: 03/03/2013 04:08:55
Строка события:
Не удалось выполнить проверку подлинности для сеанса компьютера TS.
Произошла следующая ошибка:
......................... DC - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... DC - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: mydomain
Запуск проверки: CheckSDRefDom
......................... mydomain - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... mydomain - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: mydomain.ru
Запуск проверки: LocatorCheck
......................... mydomain.ru - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... mydomain.ru - пройдена проверка Intersite

C:\Users\my>
[/more]

Вторичный DC:

1.

2.

3.

DCDIAG с Вторичного DC
[more]
Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Users\my>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = services
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: MyDomainServers\SERVICES
Запуск проверки: Connectivity
......................... SERVICES - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: MyDomainServers\SERVICES
Запуск проверки: Advertising
......................... SERVICES - пройдена проверка Advertising
Запуск проверки: FrsEvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... SERVICES - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... SERVICES - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... SERVICES - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
Возникло событие Warning. Код события (EventID): 0x80000B46
Время создания: 03/03/2013 04:03:56
Строка события:
Безопасность данного сервера каталогов можно существенно повысить, е
сли настроить его на отклонение привязок SASL (согласование, Kerberos, NTLM или
выборка), которые не запрашивают подписи (проверки целостности) и простых привя
зок LDAP, которые выполняются для подключения LDAP с открытым (не зашифрованным
SSL/TLS) текстом. Даже если никто из клиентов такие привязки не использует, на
стройка сервера на их отклонение улучшит безопасность этого сервера.
Возникло событие Error. Код события (EventID): 0xC00006A3
Время создания: 03/03/2013 04:04:44
Строка события:
Локальному серверу службы каталогов не удалось загрузить изменения,
запрошенные для следующего раздела каталога. По этой причине не удалось отправит
ь запросы на изменения серверу службы каталогов по следующему сетевому адресу.
......................... SERVICES - не пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... SERVICES - пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... SERVICES - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... SERVICES - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
[SERVICES] В учетных данных пользователя отсутствует разрешение на
выполнение данной операции.
Учетная запись, используемая для этой проверки, должна иметь права на
вход в сеть
для домена данного компьютера.
......................... SERVICES - не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... SERVICES - пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
Источник DC
Репликация новых изменений по данному пути будет задержана.
Эта проблема будет решена автоматически при следующей периодической
синхронизации.
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
Источник DC
Репликация новых изменений по данному пути будет задержана.
Эта проблема будет решена автоматически при следующей периодической
синхронизации.
ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
Источник DC
Репликация новых изменений по данному пути будет задержана.
Эта проблема будет решена автоматически при следующей периодической
синхронизации.
[Проверка репликации,SERVICES] Сбой функции
DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
"Доступ к репликации отвергнут."
......................... SERVICES - не пройдена проверка Replications
Запуск проверки: RidManager
......................... SERVICES - пройдена проверка RidManager
Запуск проверки: Services
Не удалось открыть службу NTDS в SERVICES, ошибка 0x5
"Отказано в доступе."
......................... SERVICES - не пройдена проверка Services
Запуск проверки: SystemLog
Возникло событие Error. Код события (EventID): 0x40000004
Время создания: 03/03/2013 03:36:48
Строка события:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc$. Ис
пользовалось конечное имя cifs/dc.mydomain.ru. Это означает, что конечному сер
веру не удалось расшифровать билет, предоставленный клиентом. Это может быть из-
за того, что имя участника службы конечного сервера (SPN) зарегистрировано на уч
етной записи, отличной от учетной записи, используемой конечной службой. Убедите
сь, что конечное имя SPN зарегистрировано только на учетной записи, используемой
сервером. Причиной этой ошибки может быть еще и то, что конечная служба использ
ует другой пароль для учетной записи конечной службы, отличный от пароля центра
распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитес
ь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль.
Если имя сервера задано не полностью и конечный домен (MyDomain.RU) отличен от
домена клиента (MyDomain.RU), проверьте, нет ли серверных учетных записей с т
аким же именем в этих двух доменах, или используйте полное имя для идентификации
сервера.
Возникло событие Error. Код события (EventID): 0x40000004
Время создания: 03/03/2013 03:50:25
Строка события:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера dc$. Ис
пользовалось конечное имя mydomain\DC$. Это означает, что конечному серверу не
удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того
, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной з
аписи, отличной от учетной записи, используемой конечной службой. Убедитесь, что
конечное имя SPN зарегистрировано только на учетной записи, используемой сервер
ом. Причиной этой ошибки может быть еще и то, что конечная служба использует дру
гой пароль для учетной записи конечной службы, отличный от пароля центра распред
еления ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что
и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если им
я сервера задано не полностью и конечный домен (mydomain.RU) отличен от домена
клиента (mydomain.RU), проверьте, нет ли серверных учетных записей с таким же
именем в этих двух доменах, или используйте полное имя для идентификации сервер
а.
Возникло событие Warning. Код события (EventID): 0x000727A5
Время создания: 03/03/2013 04:02:44
Строка события:
Служба WinRM не прослушивает запросы WS-Management.
Возникло событие Warning. Код события (EventID): 0x8000001D
Время создания: 03/03/2013 04:03:56
Строка события:
Центр распространения ключей (KDC) не может найти подходящий сертифи
кат для использования при регистрации смарт-карт или KDC-сертификат не может быт
ь проверен. Регистрация смарт-карт не может работать правильно, если данная проб
лема не разрешена. Для исправления неполадки либо проверьте существующий сертифи
кат KDC при помощи certutil.exe, либо запросите новый KDC-сертификат.
Возникло событие Error. Код события (EventID): 0xC00010E1
Время создания: 03/03/2013 04:04:08
Строка события:
Имя "AladinHaspV01.2:30" не удалось зарегистрировать на интерфейсе с
IP-адресом 10.163.0.5. Компьютер с IP-адресом 10.163.0.2 не разрешил использова
ть имя, запрошенное этим компьютером.
Возникло событие Warning. Код события (EventID): 0x00000011
Время создания: 03/03/2013 04:04:12
Строка события:
Повреждены один или несколько сертификатов лицензирования служб терм
иналов на сервере лицензирования служб терминалов "SERVICES". В связи с этим сер
вер лицензирования служб терминалов будет выдавать только временные лицензии, по
ка не будет заново активирован.
Возникло событие Warning. Код события (EventID): 0x000727AA
Время создания: 03/03/2013 04:06:35
Строка события:
Службе WinRM не удалось создать следующие имена участников-служб: WS
MAN/services.mydomain.ru, WSMAN/services.
......................... SERVICES - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... SERVICES - пройдена проверка
VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: mydomain
Запуск проверки: CheckSDRefDom
......................... mydomain - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... mydomain - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: mydomain.ru
Запуск проверки: LocatorCheck
......................... mydomain.ru - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... mydomain.ru - пройдена проверка Intersite

C:\Users\my>
[/more]
Автор: AcidSly
Дата сообщения: 03.03.2013 13:22
Руками переносить роли на вторичный, убирать на нем записи о существование второго контролера и создавать его заново.
Автор: M1chA
Дата сообщения: 03.03.2013 14:00
AcidSly
Это же полный абзац...
Неужели нет никакого другого способа?
Автор: Bezzz
Дата сообщения: 03.03.2013 14:09

Цитата:
Неужели нет никакого другого способа?

Есть конечно. Называется "резервное копирование".
Автор: M1chA
Дата сообщения: 03.03.2013 14:37
Bezzz
Это все понятно,а другой способ )?
Автор: Bezzz
Дата сообщения: 03.03.2013 14:46
M1chA
В данном случае пить боржоми поздно, нужно делать всё ручками, как написал AcidSly, после выполнения этой довольно нудной работы вспомнить о периодическом резервном копировании :)
Автор: M1chA
Дата сообщения: 03.03.2013 16:25
Bezzz
Блин... надо посмотреть,вроде был архив сделанный через виндовые средства бекапа,но он от декабря 2012г.

Страницы: 1

Предыдущая тема: Подключение к RDP через прокси


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.