Всем привет!
Ситуация у меня следующая:
В сети имеются 2 контроллера домена на Win2к3, DC1 и DC2. Роли распределены следующим образом:
У DC2 только роль глобального каталога, e DC1 все оставшиеся 5 кроме каталога. В ручную репликация проходит без ошибок.
Что мне нужно: хотелось бы чтобы DC2 был резервным контроллером на случай выхода из строя первого.
В данной ситуации с таким распределением ролей в логах на обоих контроллерах никаких обшибок нет, все работает хорошо. Но вот если выключить DC1 , DC2 на себя роли не возьмет, AD будет недоступна, вход в сисстему невозможен. А ведь мне именно нужно чтобы DC2 брал на себя все роли в критичной ситуации.
Если делаю DC1 тоже владельцем каталога, то при выключении Dc1 , DC2 берет на себя все роли и сеть работает в обыном режиме. Козалось бы что все так как мне и нужно было. Но вот в логах появляются следюошибки :
Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.
Исходный контроллер домена:
dc2
Ошибочное имя узла DNS:
a0cd641d-266f-4898-afed-e0408aebaf32._msdcs.kaskad-m.local
Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Действие пользователя:
1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду "net view \\<source DC name>" или "ping <source DC name>".
3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns
dcdiag /test:dns
4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
dcdiag /test:dns
5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449
Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.
Драйвер обнаружил ошибку контроллера \Device\Harddisk0.
DNS-сервер обновил свои записи узла (A). Чтобы убедиться, что с этими интегрированными в DS равноправными DNS-серверами можно провести репликацию с данным сервером, была произведена попытка их динамического обновления с новыми записями. При этом обновлении произошла ошибка. Данные записи содержат код ошибки.
Если этот DNS-сервер не имеет интегрированных в DS партнеров по репликации,
то это сообщение об ошибке можно пропустить.
Если партнеры репликации Active Directory этого DNS-cервера имеют неправильные IP-адреса этого сервера, то они не смогут проводить репликацию с ним.
Чтобы убедиться в правильном проведении репликации:
1) Найдите партнеров репликации Active Directory данного сервера, на которых запущен DNS-сервер .
2) Откройте "Диспетчер DNS" и подключитесь по очереди к каждому из партнеров по репликации.
3) На каждом сервере, проверьте регистрацию узла (запись типа A) для ЭТОГО сервера.
4) Удалите любые записи (A), которые НЕ связанны с IP-адресами этого сервера.
5) Если для этого сервера отсутствуют записи типа (A), добавьте как минимум одну запись (A), связанную с адресом этого сервера, с которой партнер по репликации может контактировать. (Другими словами, если для данного DNS-сервера существует несколько IP-адресов, добавьте по крайней мере один, который находится в той же сети, что и обновляемый Active Directory DNS-сервер.)
6) Отметьте, что не обязательно обновлять сведения КАЖДОГО партнера по репликации. Это необходимо только для тех, чьи записи исправляются, чтобы каждый сервер, реплицирующий данные этого сервера, получал после репликации новые данные.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
_____________________________________________________________________________________
Не могу понять в чем дело. Если кто нибудь знает как выйти из данной ситуации, буду очень рад получить совет
Ситуация у меня следующая:
В сети имеются 2 контроллера домена на Win2к3, DC1 и DC2. Роли распределены следующим образом:
У DC2 только роль глобального каталога, e DC1 все оставшиеся 5 кроме каталога. В ручную репликация проходит без ошибок.
Что мне нужно: хотелось бы чтобы DC2 был резервным контроллером на случай выхода из строя первого.
В данной ситуации с таким распределением ролей в логах на обоих контроллерах никаких обшибок нет, все работает хорошо. Но вот если выключить DC1 , DC2 на себя роли не возьмет, AD будет недоступна, вход в сисстему невозможен. А ведь мне именно нужно чтобы DC2 брал на себя все роли в критичной ситуации.
Если делаю DC1 тоже владельцем каталога, то при выключении Dc1 , DC2 берет на себя все роли и сеть работает в обыном режиме. Козалось бы что все так как мне и нужно было. Но вот в логах появляются следюошибки :
Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.
Исходный контроллер домена:
dc2
Ошибочное имя узла DNS:
a0cd641d-266f-4898-afed-e0408aebaf32._msdcs.kaskad-m.local
Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Действие пользователя:
1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду "net view \\<source DC name>" или "ping <source DC name>".
3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns
dcdiag /test:dns
4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
dcdiag /test:dns
5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449
Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.
Драйвер обнаружил ошибку контроллера \Device\Harddisk0.
DNS-сервер обновил свои записи узла (A). Чтобы убедиться, что с этими интегрированными в DS равноправными DNS-серверами можно провести репликацию с данным сервером, была произведена попытка их динамического обновления с новыми записями. При этом обновлении произошла ошибка. Данные записи содержат код ошибки.
Если этот DNS-сервер не имеет интегрированных в DS партнеров по репликации,
то это сообщение об ошибке можно пропустить.
Если партнеры репликации Active Directory этого DNS-cервера имеют неправильные IP-адреса этого сервера, то они не смогут проводить репликацию с ним.
Чтобы убедиться в правильном проведении репликации:
1) Найдите партнеров репликации Active Directory данного сервера, на которых запущен DNS-сервер .
2) Откройте "Диспетчер DNS" и подключитесь по очереди к каждому из партнеров по репликации.
3) На каждом сервере, проверьте регистрацию узла (запись типа A) для ЭТОГО сервера.
4) Удалите любые записи (A), которые НЕ связанны с IP-адресами этого сервера.
5) Если для этого сервера отсутствуют записи типа (A), добавьте как минимум одну запись (A), связанную с адресом этого сервера, с которой партнер по репликации может контактировать. (Другими словами, если для данного DNS-сервера существует несколько IP-адресов, добавьте по крайней мере один, который находится в той же сети, что и обновляемый Active Directory DNS-сервер.)
6) Отметьте, что не обязательно обновлять сведения КАЖДОГО партнера по репликации. Это необходимо только для тех, чьи записи исправляются, чтобы каждый сервер, реплицирующий данные этого сервера, получал после репликации новые данные.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
_____________________________________________________________________________________
Не могу понять в чем дело. Если кто нибудь знает как выйти из данной ситуации, буду очень рад получить совет