» Сбои резервного контроллера домена

Добрый день! Последнее время стали возникать постоянные сбои в работе резервного КД.
1) плоохо работает (или возможно вообще не работает) репликация контроллеров;
2) я завожу пользователя в АД, авторизуюсь из под него на рабочем компьютере(папка пользователя получается с именем компа допустим comp1), на следующий день пользователь заходит в компьютер, а на рабочем столе пусто,причем на компе почему то создается новая папка позьзователя(comp1.имя_домена).
3) иногда некоторые машины неправильно получают ip.
4) иногда пытаюсь подключиться к компьютеру по сети, чтобы подключить принтер а в ответ получаю что нет доступа к сетевому ресурсу или возможно у вас не хватает прав и все такое;

Вот ошибки на резервном КД:

1) Не удалось выполнить привязку к домену autoimport.local. (Локальная ошибка). Обработка групповой политики прекращена.

2)Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе.

3)В ходе проверки согласованности знаний обнаружено, что все дальнейшие попытки репликации со следующим контроллером домена завершились неудачно.

4)Удаленный сервер, являющийся владельцем следующей роли FSMO, не отвечает. Данный сервер не выполнял репликацию с владельцем роли FSMO в последнее время.
Операции, требующие обращения к хозяину операции FSMO, не смогут выполняться, пока это состояние не будет исправлено.

5)Состояние репликации для следующего раздела каталога на локальном контроллере домена.
Раздел каталога:
DC=autoimport,DC=local
Локальный контроллер домена давно не получал данные репликации с нескольких контроллеров домена. Далее приведено количество контроллеров домена с разделением по интервалам.

6)DNS-серверу не удалось открыть Active Directory. Без этого он не сможет загружать зону. Данный DNS-сервер настроен для получения и использования информация из каталога для этой зоны. Проверьте, что Active Directory функционирует нормально и перезагрузите зону. Данные события содержат код ошибки.

7)DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для использования информации службы каталогов и не может работать без доступа к данному каталогу. Для запуска DNS-cервера необходимо дождаться доступа к каталогу. Если DNS-сервер был запущен, а соответствующее событие не отражено в журнале, это означает, что он все еще ждет получения доступа к данному каталогу, чтобы начать работу.

8)Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера host/dz1-netsrv.autoimport.local. Использовавшееся конечное имя: ldap/dz1-netsrv.autoimport.local. Это значит, что пароль, который был использован для шифрования билета службы Kerberos, отличается от пароля на конечном сервере. Обычно это происходит, если в конечной сфере (AUTOIMPORT.LOCAL) и в сфере клиента имеются учетные записи компьютеров с одинаковыми именами. Обратитесь к системному администратору.

9)При установке сеанса с компьютера ES1-097 не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи ES1-097$. Ошибка:
Отказано в доступе.

Вобщем я понимаю что сеть рушится, контроллер падает. Чтобы разобраться в данной ситуации мне бонально не хватает опыта. Если кому есть что подсказать, прошу в эту тему. Заранее всем спасибо за понимание.


Добавлено:
и вот еще один пункт похоже что служба WINS работает криво, иногда компы не отвечаю по имени

Вопрос встречный: до ввода резервного контроллера всё работало нормально?
и какие логи на основном контроллере? и проверь ntp (посмотри как запускаются сервисы NetLogon и Windows Time).

и вот еще когда захожу в AD Хозяева Операщий там в графе Хозяева написано "Ошибка"

Добавлено:

Цитата:

посмотри как запускаются сервисы NetLogon и Windows Time

на них ругается давно уже

Цитата:

до ввода резервного контроллера всё работало нормально?

резервный контроллер уже давно работает. + он работает в другой подсети

Цитата:

на них ругается давно уже

Хм.. а что у тебя выступает NTP-сервером?
И по поводу NetLogon и Windows Time тогда брось лог, чтобы видеть как именно он ругается...

и что выдаёт тебе если в командной строке набрать net time /query

все, сервер окончательно рухнул. я поднял образ,сделаный акронисом 4 месяца назад. теперь главноя проблема в том что пользователи не могут авторизоваться на компах под своими доменными именами. я вроде вчера нашел выход из ситуации... заводил поновому компьютеры в домен и люди работали, сегодня пришел на работу, а тут тоже самое. в логах нашел вот такую ошибку:
"DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке."


Добавлено:

Цитата:

а что у тебя выступает NTP-сервером?

не знаю как ответить на этот вопрос из за нехватки опыта

Добавлено:

Цитата:

и что выдаёт тебе если в командной строке набрать net time /query

C:\Documents and Settings\Администратор.AUTOIMPORT>net time /query
Текущее значение SNTP: time.windows.com,0x1

Команда выполнена успешно.

С маршрутизацией между подсетями все корректно?

Плюс, выложи вывод команды: dcdiag /e

Ну смотри, у меня такая ситуация уже была:
Был основной контроллер домена на одном предприятии и был филиал на котором дочерний. Так вот начал у меня дочерний ложиться - отрубался NetLogon и Windows Time. Как потом оказалось, я забыл на дочернем настроить сервер времени, а это достаточно важно в доменной структуре.


Цитата:

Текущее значение SNTP: time.windows.com,0x1

это значение стоит по умолчанию, поэтому для начала нужно настроить на основном контроллере домена NTP сервер, как это делается... Ну для начала в инете ищешь список NTP серверов первого уровня (для примера, у меня стоит time-a.nist.gov) потом в командной строке на основном контроллере набираешь net time /setsntp:time-a.nist.gov и всё, твой контроллер выступает и сервером времени. Теперь на всех серверах сети и клиетских станциях нужно пройти и набрать команду net time /setsntp:[имя твоего контроллера]
Тоже самое касается и дочернего контроллера: на нём можно указать как сервер времени твой основной контроллер, или же если он недоступен в сети (тогда твой дочерний становится вообщем-то основным...) то тогда всё выше перечисленное применимо к нему самому, и он в сети будет выступать сервером времени для всех остальных клиентов.

небольшая шпаргалка:
net time /setsntp:[NTP сервер (IP или доменное имя)] - установка службы времени
net time /set - синхронизация времени с NTP сервером
net time /query - выдаёт текущую настройку службы

Вот после этого можно и отслеживать поведение службы Windows Time и связанной с ней
NetLogon...

Кстати, NetLogon может зависать по непонятной причине, но чётко подмеченой, на тех машинах (я имею в виду именно контроллер домена), которые были восстановлены с помощью акрониса или других аналогичных продуктов. Кстати, для удобства администрирования и отказоустойчивости (пока не поздно) сконвертируй свой физический контроллер в виртуальный (VMWare для примера) сам такое делал, ть-фу-тьфу, второй год работает...

Спасибо, дружище! буду пробовать

xXxJurneoxXx

Да не за что, сам знаю какая неприятная штука умирающий контроллер, когда ночами сидишь и пытаешься завести, а утром приходишь а он или окончательно сдыхает или работает, как-будто ничего и не было...


Цитата:

NetLogon может зависать по непонятной причине

А в таком случае мне приходилось вручную перезапускать службу каждое утро..

Так что лучше сразу конвертируй, даю слово, не пожалеешь, а руки себе развяжешь однозначно. Или если уже точно определился, что отправляешь его в утиль, то новый поднимай сразу на виртуальной машине, это точно стабильнее будет...

Удачи!


Добавлено:

Цитата:

и вот еще один пункт похоже что служба WINS работает криво, иногда компы не отвечаю по имени

только обратил внимание.... а DNS сервер у тебя поднят? что логи про него пишут?

DNS поднят и вроде работает. за вчера было 2 ошибки:

DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.

DNS-сервер обнаружил значительное число событий времени выполнения. Чтобы определить причину возникновения этих событий, обратитесь к записям журнала DNS-сервера, предшествовавшим этим событиям. Для предотвращения переполнения журнала DNS-cервера, последующие события с кодом события больше 3000 будут подавляться, пока события не перестанут возникать со столь высокой частотой.

щас вроде по имени норм работает, но вот осталось машин 20 которые надо каждое утро вводить заного в домен


Добавлено:
вот что с SNTP на тех машинах которые надо вводить в домен поновому

C:\Documents and Settings\Администратор>net time /query
Текущее значение SNTP: time.windows.com,0x1

Команда выполнена успешно.

хотя на обоих DNS серверах
C:\Documents and Settings\Администратор.AUTOIMPORT>net time /query
Текущее значение SNTP: time.windows.com
это верно? или надо на всех этих машинах прописывать :
net time /setsntp:адрес_КД ??????

а в домен вводятся нормально, без выкаблучивания, или приходится шаманить?

Добавлено:

Цитата:

хотя на обоих DNS серверах  
C:\Documents and Settings\Администратор.AUTOIMPORT>net time /query
Текущее значение SNTP: time.windows.com
это верно? или надо на всех этих машинах прописывать :
net time /setsntp:адрес_КД

кстати, если у тебя днс сервера подняты отдельно, то один из них и сделай сервером времени, т.к. именно днс зависит от синхронности в сети а актив директори от стабильности работы днс...


Добавлено:
и ещё небольшое наблюдение из личного опыта... на КД в свойствах сетевого подключения проверь галочку File and Printer Sharing, он должна быть активной. а то у меня валиться домен стал, точнее машины выпадать, а назад ввести не могу, захожу на КД всё перерыл, а потом зашёл в настройки сети, думая чем черт не шутит, и оказалось что галочка то слетела... правда при такой симптоматике я вообще машину обратно ввести в домен не мог, а после активации мне даже перевводить не пришлось..

Цитата:

а в домен вводятся нормально, без выкаблучивания, или приходится шаманить?

тут все окей. вывел из домена,ребут, ввел в домен

Цитата:

один из них и сделай сервером времени

тоесть основной КД получает время из интернета, а второй с основного КД. значит те тачки что в одной подсети со вторым КД получают время со второго КД соответственно. это я так понимаю?

Цитата:

File and Printer Sharing

долго искал, но так и не нашел эту галочку. к КД же не прицеплено ни одного принтера

Добавлено:

Цитата:

dcdiag /e

тут пишет типа не является внутринней командой, а маршрутизация вроде впорядке

xXxJurneoxXx

Цитата:

Цитата:File and Printer Sharing


долго искал, но так и не нашел эту галочку. к КД же не прицеплено ни одного принтера

В свойствах сетевого подключения находится, там же, где и протокол TCP/IP , принтеры не принципиальны, а вот "File Sharing" обязателен.



Цитата:

Цитата:dcdiag /e


тут пишет типа не является внутринней командой, а маршрутизация вроде впорядке

dcdiag берется из Support Tools на диске с дистрибутивом windows

так как образ, который я поднял на втором КД был 4 месячной давности, соответственно репликации небыло больше месяца и теперь она не идет. можно ли настроить репликацию между основным и резервным КД? вот логи по репликации

*************************
служба репликации файлов


Цитата:

Служба репликации файлов столкнулась с проблемами при включении репликации с "DZ1-NETSRV" на "ES1-NETSRV" для "c:\windows\sysvol\domain", использующего DNS-имя "dz1-netsrv.autoimport.local". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.

[1] FRS не может разрешить DNS-имя "dz1-netsrv.autoimport.local" с этого компьютера.
[2] FRS не запущена на "dz1-netsrv.autoimport.local".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.
.....

************************
служба каталогов


Цитата:

Этот раздел каталога не архивировался по крайней мере указанное количество дней.
Раздел каталога:
DC=ForestDnsZones,DC=autoimport,DC=local
Интервал задержки архивации (дней): 30
....

Цитата:

Состояние репликации для следующего раздела каталога на локальном контроллере домена.

Раздел каталога:
DC=ForestDnsZones,DC=autoimport,DC=local

Локальный контроллер домена давно не получал данные репликации с нескольких контроллеров домена. Далее приведено количество контроллеров домена с разделением по интервалам.

Более 24 часов:
1
Более недели:
1
Более месяца:
1
Более двух месяцев:
1
Более времени жизни захоронения:
1
Время жизни захоронения (в днях):
60
Возможно, контроллеры домена не выполняют репликацию вовремя из-за ошибок. Возможно, они пропустили смену пароля и не могут пройти проверку подлинности. Возможно, контроллер домена, не выполнивший репликацию в течение времени жизни захоронения, пропустил удаление некоторых объектов и был автоматически заблокирован до согласования.

Чтобы идентифицировать контроллеры домена по именам, установите средства поддержки с установочного компакт-диска и запустите программу dcdiag.exe.
Также можно использовать средство поддержки repadmin.exe для отображения задержек репликации контроллеров домена в лесе. Команда: "repadmin /showvector /latency <partition-dn>".

Добавлено:

Цитата:

File Sharing

нашел, галочка стоит. в оптимизации выбрана максимальная пропускная способность доступа к общим файлам

Вообщем это
Цитата:

4 месячной давности

не важно, т.к. при первом запуске он же стучится на КД основной и пытается синхронизировать своё состояние, но у тебя похоже проблема с сетевой маршрутизацией и ДНС серверами... а от туда уже ноги растут и у проблем с доменной структурой... может ещё файерволлы у тебя есть?

Цитата:

может ещё файерволлы у тебя есть?

нет

Тогда для начала добейся стабильной работы ДНС, без ошибок...

вообще щас еще увидел что в сети появилось пару вирусов :
Win32.HLLW.Shadow.based


Добавлено:
Program.SrvAny

Добавлено:
Win32.HLLW.Kati

может быть причиной?

вообщем-то конечно может... но ДНС проконтролируй всё-таки.