» Два контроллера домена - два DNS

Вопрос снят
Люди! Откликнитесь, пожалуйста, у кого есть идеи... Я уже просто не знаю чего делать - перепробовал тучу всего

Итак, имеем: ЛВС, 2 сервера х64 (простенький контроллер "DC" и нормальный сервер "AS"). На обоих стоИт Enterprise Server 2003 x64, на оба накачен R2. Один сервер задумывался как контроллер домена и одновременно DNS, второй - как резервный обоих сервисов. Домен SGT.
В итоге полный полтергейст. С некоторых компов не могу войти на другие. То путь не найден, то недостаточно прав. И это с моим - админским аккаунтом! То на сервер входить начинаю (расшаренная папка) и он открывает каждый следующий каталог по 10-20 секунд. Причём сегодня гонит один набор компов, а завтра другой. На обоих серверах сыплются ошибки. На майкрософте ничего вразумительного не вычитал по ним. Возбмём второй сервер: ошибки

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1053
Date: 13.07.2006
Time: 10:10:56
User: NT AUTHORITY\SYSTEM
Computer: AS
Description:
Windows cannot determine the user or computer name. (Access is denied. ). Group Policy processing aborted.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.



Event Type: Error
Event Source: REG_MAIN
Event Category: Devices
Event ID: 150
Date: 13.07.2006
Time: 10:08:44
User: N/A
Computer: AS
Description:
Registration Server Alert
Message : Unable to Find Registration Server name.

Обратите внимание на время - эти ошибки сыпятся ПОСТОЯННО!

В Директори Сервис Постоянно вылетает
Event Type: Error
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1864
Date: 12.07.2006
Time: 19:08:19
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: AS
Description:
This is the replication status for the following directory partition on the local domain controller.

Directory partition:
CN=Schema,CN=Configuration,DC=sgt

The local domain controller has not recently received replication information from a number of domain controllers. The count of domain controllers is shown, divided into the following intervals.

More than 24 hours:
1
More than a week:
1
More than one month:
1
More than two months:
0
More than a tombstone lifetime:
0
Tombstone lifetime (days):
180
Domain controllers that do not replicate in a timely manner may encounter errors. It may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled.

To identify the domain controllers by name, install the support tools included on the installation CD and run dcdiag.exe.
You can also use the support tool repadmin.exe to display the replication latencies of the domain controllers in the forest. The command is "repadmin /showvector /latency <partition-dn>".

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

И ещё море предупреждений... В ДНСе ровно каждые 10 минут вылетает пара ошибка и предупреждение:
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4000
Date: 13.07.2006
Time: 10:04:10
User: N/A
Computer: AS
Description:
The DNS server was unable to open Active Directory. This DNS server is configured to obtain and use information from the directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and reload the zone. The event data is the error code.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2d 23 00 00 -#..


Event Type: Warning
Event Source: DNS
Event Category: None
Event ID: 4013
Date: 13.07.2006
Time: 10:04:10
User: N/A
Computer: AS
Description:
The DNS server was unable to open the Active Directory. This DNS server is configured to use directory service information and can not operate without access to the directory. The DNS server will wait for the directory to start. If the DNS server is started but the appropriate event has not been logged, then the DNS server is still waiting for the directory to start.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2d 23 00 00 -#..





dcdiag выдаёт следующее:

Код: Event Type: Warning
Event Source: DNS
Event Category: None
Event ID: 4013
Date: 13.07.2006
Time: 16:26:15
User: N/A
Computer: AS
Description:
The DNS server was unable to open the Active Directory. This DNS server is configured to use directory service information and can not operate without access to the directory. The DNS server will wait for the directory to start. If the DNS server is started but the appropriate event has not been logged, then the DNS server is still waiting for the directory to start.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2d 23 00 00 -#..

Цитата:

простенький контроллер "DC" и нормальный сервер "AS"

- это как?

Если оба работают как DNS сервера - настройки TCP/IP - в студию

Цитата:

Цитата: простенький контроллер "DC" и нормальный сервер "AS"

- это как?

Цитата:

Это DC: ASUS P5LD2 и далее по тексту... (т.е. на базе нового десктопа) AS: Intel SE7520BD2 (нормальная серверная двухпроцессорная платформа).

Это имена чтоли?

192.168.1.1 - это кто?

с репликацией как дела?

Цитата:

Это имена чтоли?

Ну да...


Цитата:

192.168.1.1 - это кто?

DNS - сервер всего предприятия. Я сам сижу в 17 подсети и живу отдельным доменом. Мы территориально далеко с 1-й подсеткой.


Цитата:

с репликацией как дела?

Вот она то и гонит, ИМХО! Что именно интересует?

ffc
Цитата:

DC: 192.168.17.1/16, шлюз 192.168.17.8, DNS 192.168.1.1, 192.168.17.1, 192.168.17.2 AS: 192.168.17.2/16, шлюз 192.168.17.8, DNS 192.168.1.1, 192.168.17.1, 192.168.17.2

выставь у своих контроллеров днс только свои!, все у тебя потому, что сперва КД обращаются к 192.168.1.1 - а он о твоем домене ничего не знает и знать не хочет
а уже в настройках самого сервиса днс в форвардерах поставь 192.168.1.1

Цитата:

выставь у своих контроллеров днс только свои!

а ИМХО лучше у обоих убрать днс вообще, винда предложит использовать локальный днс сервер. кроме того, опять же ИМХО, в форвард на 192.168.1.1 нужно настраивать только у одного сервера, а у второго в форварде поставить первый сервер.

Ща попробую. Но это не решит проблем репликации между ними самими

drros

Цитата:

а у второго в форварде поставить первый сервер

нафига тогда вообще днс на втором КД? если отвалится первый - днс не будет корректно работать

ffc
если проблемы с репликацией были из за днс, то решит.

Добавлено:
nickloayev
внутренние будет резолвить.
но это я действительно погорячился.

Выставь в свойствах TCP/IP на серверах в кач-ве DNS самого себя, в свойствах службы DNS - форвард на
Цитата:

DNS - сервер всего предприятия

Еще время проверь на всяк случай чтобы одинаковое было

Добавлено:

Цитата:

Цитата:Это имена чтоли?

Ну да...

А я подумал, что DC - Domain Controller, AS - Advanced Server

Цитата:

AS - Advanced Server

AS - Applications Server ))

Добавлено:

Цитата:

Еще время проверь на всяк случай чтобы одинаковое было

И время и часовой пояс одинаковые...



Добавлено:
Каждые 5 минут на AS ошибка:

Код: Event Type:    Error
Event Source:    Userenv
Event Category:    None
Event ID:    1053
Date:        13.07.2006
Time:        16:23:11
User:        NT AUTHORITY\SYSTEM
Computer:    AS
Description:
Windows cannot determine the user or computer name. (Access is denied. ). Group Policy processing aborted.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

что думают dcdiag & netdiag по этому поводу?

И ещё: AS -> dnsmgmt -> AS -> Properties -> Monitoring ->
A simple query - Pass
A recursive query - Не проходило

Когда выкинул неродной DNS - проходит. Это если кто по поиску найдёт эту тему в будущем. Неочевидное для меня действие повлекло приятный результат Но пока проблемы остаются. Ошибки на AS.

Добавлено:

Цитата:

что думают dcdiag & netdiag по этому поводу?

dcdiag - в шапке результат. Я не стал уж постить ещё раз эти ошибки - я просто обновил код в шапке...

Добавлено:

Код: Computer Name: AS
DNS Host Name: AS.sgt
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : EM64T Family 15 Model 4 Stepping 3, GenuineIntel
List of installed hotfixes :
Q147222


Netcard queries test . . . . . . . : Passed



Per interface results:

Adapter : Static Link Aggregation

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : AS
IP Address . . . . . . . . : 192.168.17.2
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . : 192.168.17.8
Dns Servers. . . . . . . . : 192.168.17.1
192.168.17.2


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Failed
[WARNING] Ths system volume has not been completely replicated to the local
machine. This machine is not working properly as a DC.


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{4395F060-4253-4FF7-8739-C837B8C0F684}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.17.1
' and other DCs also have some of the names registered.
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.17.2'. Please wait for 30 minutes for DNS server replication.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{4395F060-4253-4FF7-8739-C837B8C0F684}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{4395F060-4253-4FF7-8739-C837B8C0F684}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Failed
[FATAL] Secure channel to domain 'SGT' is broken. [ERROR_ACCESS_DENIED]


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed
[WARNING] The default SPN registration for 'HOST/AS.sgt' is missing on DC 'd
c.sgt'.
[WARNING] The default SPN registration for 'HOST/AS' is missing on DC 'dc.sg
t'.


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

ffc

Цитата:

Host Name. . . . . . . . . : AS  
Dns Servers. . . . . . . . : 192.168.17.1
192.168.17.2

на AS поставь первым днс 192.168.17.2 а вторым 192.168.17.1

Цитата:

а вторым 192.168.17.1

- это вообще лучше убрать


Добавлено:
Это проходили:


Цитата:

Trust relationship test. . . . . . : Failed
[FATAL] Secure channel to domain 'SGT' is broken. [ERROR_ACCESS_DENIED]

1. останови службу Kerberos Key Distribution Center (KDC)

2. в командной строке netdom resetpwd /server:<replication_partner_server_name>
/userd:<domain_name>\<admin_user> /passwordd:*

3. перегружайся

Добавлено:
А вообще проще всего правильно настроить TCP/IP, понизить AS до рядового сервера, затем поднять до контроллера домена

Цитата:

на AS поставь первым днс 192.168.17.2 а вторым 192.168.17.1

Не помогло. Ошибки 150 и 1053 (я приводил их выше) остались со своеё периодичностью - раз в 3 минуты


Цитата:

Цитата: а вторым 192.168.17.1

- это вообще лучше убрать

Цитата:

Что конкретно подразумевается под "правильно настроить"? Я это и спрашивал изначально Я же понимаю, что это я где-то накосячил изначально

Цитата:

Выставь в свойствах TCP/IP на серверах в кач-ве DNS самого себя, в свойствах службы DNS - форвард на
Цитата:DNS - сервер всего предприятия

Цитата:

netdom resetpwd /server:AS /userd:sgt\Administrator /passwordd:*


Цитата: Перегружается...

Цитата:

Код:Event Type: Error
Event Source: REG_MAIN
Event Category: Devices
Event ID: 150
Date: 14.07.2006
Time: 11:57:54
User: N/A
Computer: AS
Description:
Registration Server Alert
Message : Unable to Find Registration Server name.

Это что-то с дровами, полагаю что от сетевухи или от рэйда


Цитата:

Код:Event Type: Error
Event Source: NTDS Replication
Event Category: DS RPC Client
Event ID: 1645
Date: 14.07.2006
Time: 11:58:15
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: DC
Description:
Active Directory did not perform an authenticated remote procedure call (RPC) to another domain controller because the desired service principal name (SPN) for the destination domain controller is not registered on the Key Distribution Center (KDC) domain controller that resolves the SPN.

Destination domain controller:
837215c8-8fbc-4c3d-9922-1a9dbcd44699._msdcs.sgt
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/837215c8-8fbc-4c3d-9922-1a9dbcd44699/sgt@sgt

User Action
Verify that the names of the destination domain controller and domain are correct. Also, verify that the SPN is registered on the KDC domain controller. If the destination domain controller has been recently promoted, it will be necessary for the local domain controller’s computer account data to replicate to the KDC before this computer can be authenticated.

Удали из DNS на DC все записи о AS и перезапусти службу Netlogon

Цитата:

Выставь в свойствах TCP/IP на серверах в кач-ве DNS самого себя, в свойствах службы DNS - форвард на DNS - сервер всего предприятия

Опа... Это как? Получится, что вообще не будет репликачии между моими DNSами? Это было бы нежелательно. Хотелось бы отгородиться и работать в самостоятельном таком домене. А 192.168.1.1 - он знает об остальной сети. Он мне нужен только для того, чтобы лазить на остальные компы (вне домена) - да и то это почти неактуально.

Цитата:

не будет репликачии между моими DNSами

Кудаж она денется!? На всех DNS серверах в домене есть информация о всех компьютерах домена, которая автоматически синхронизируется. Форвард нужен как раз для
Цитата:

для того, чтобы лазить на остальные компы (вне домена)

Добавлено:
ffc
Матчасть подучить не помешает

Цитата:

Цитата: Код:Event Type: Error
Event Source: REG_MAIN
Event Category: Devices
Event ID: 150
Date: 14.07.2006
Time: 11:57:54
User: N/A
Computer: AS
Description:
Registration Server Alert
Message : Unable to Find Registration Server name.

Это что-то с дровами, полагаю что от сетевухи или от рэйда

Цитата:

Да. Действительно есть рэйд. Внешний. А чего он мне сказать то этим хочет?

Службы NetRAID_SERVER случайно нет?


Цитата:

но тут я нить логики твоей упустил

При перезапуке Netlogon должен пересоздать записи о DNS серверах.


Цитата:

в dnsmgmt в левой половине окна должно быть что?

Должна быть по крайней мере прямая зона с записями о соответствии имен адресам компьютеров в домене. Рекомендую создать еще и реверсную зону.

не по теме, но пока тема живая хочу спросить такую вещь...
предистория...
было два контролера допустим 192.168.0.3 и 192.168.0.130 и на каждом ДНС
расположены в разных сетях
пришло время переезда и пришлось завалить 192.168.0.3...
после этого поднял еще один контроллер в другой сети 192.168.1.3
вроде все работает, только клиенты новой сети не регистрируются в DNS
вопрос...
nslookup выдает по имени домена два контроллера 192.168.0.3 192.168.0.130
как сделать чтоб он при этом запросе выдавал 192.168.0.130 192.168.1.3 (т.е. убить старый ДНС и прикрутить новый ДНС)
где копать? (третий день бьюсь не нашел...)

Цитата:

Цитата: Да. Действительно есть рэйд. Внешний. А чего он мне сказать то этим хочет?

Службы NetRAID_SERVER случайно нет?

В выходные появилась такая ошибка:

Код: Event Type:    Error
Event Source:    DNS
Event Category:    None
Event ID:    4000
Date:        17.07.2006
Time:        9:54:11
User:        N/A
Computer:    AS
Description:
The DNS server was unable to open Active Directory. This DNS server is configured to obtain and use information from the directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and reload the zone. The event data is the error code.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2a 23 00 00 *#..

По поводу твоей последней ошибки ДНС, у меня такие же ошибки, появляются только после каждой перезагрузки сервера, как сказал микрософт, такая проблема возникает, если раньше у вас был windows 2000 Serv. , а вы его проапдейтили до 2003

John Yta
Странно. У меня изначально сразу был поставлен 2003. В выходные, правда, вырубали свет, но у меня бесперебойники... Не было перезагрузок серверов - только кое-какие машины и все свичи.