Есть Главный Домен, поднял дочерний домен, создал сайт и репликацию на дочернем и на Главном. Репликация с стороны Дочернего проходит успешно, с стороны Главного – выдает ошибку. Все DC на Win2008R2.
#####################################
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
Контекст именования: DC=msk,DC=ruelta,DC=ru
Источник: RUELTAMSK\RUELTAMSK-PDC
******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.
Предполагаю что проблема кроется в правах, но конкретно где копать?
Я делаю по этой статье. Вроде все повысилось без проблем, роли FSMO передал. Но теперь как то надо все проверить
Обновление контроллеров домена до Windows Server 2016
2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».
4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.
6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.
Repadmin /syncall /AeS
repadmin /replsum8. Перераспределяем роли FSMO:
[B]Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster[/B]9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.
10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить
repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = MSK-DC16
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: SITE\MSK-DC16
Запуск проверки: Connectivity
……………………. MSK-DC16 – пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Maslovka\MSK-DC16
Запуск проверки: Advertising
……………………. MSK-DC16 – пройдена проверка Advertising
Запуск проверки: FrsEvent
……………………. MSK-DC16 – пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
……………………. MSK-DC16 – пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
……………………. MSK-DC16 – пройдена проверка SysVolCheck
Запуск проверки: KccEvent
……………………. MSK-DC16 – пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
……………………. MSK-DC16 – пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
……………………. MSK-DC16 – пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
……………………. MSK-DC16 – пройдена проверка NCSecDesc
Запуск проверки: NetLogons
[MSK-DC16] В учетных данных пользователя отсутствует разрешение на
выполнение данной операции.
Учетная запись, используемая для этой проверки, должна иметь права на
вход в сеть
для домена данного компьютера.
……………………. MSK-DC16 – не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
……………………. MSK-DC16 – пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
[Проверка репликации,MSK-DC16] Сбой функции
DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
“Доступ к репликации отвергнут.”
……………………. MSK-DC16 – не пройдена проверка Replications
Запуск проверки: RidManager
……………………. MSK-DC16 – пройдена проверка RidManager
Запуск проверки: Services
Не удалось открыть службу NTDS в MSK-DC16, ошибка 0x5
“Отказано в доступе.”
……………………. MSK-DC16 – не пройдена проверка Services
Запуск проверки: SystemLog
……………………. MSK-DC16 – пройдена проверка SystemLog
Запуск проверки: VerifyReferences
……………………. MSK-DC16 – пройдена проверка
VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
……………………. ForestDnsZones – пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. ForestDnsZones – пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
……………………. DomainDnsZones – пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DomainDnsZones – пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
……………………. Schema – пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Schema – пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
……………………. Configuration – пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Configuration – пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DOMEN
Запуск проверки: CheckSDRefDom
……………………. DOMEN – пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DOMEN – пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: DOMEN.local
Запуск проверки: LocatorCheck
……………………. DOMEN.local – пройдена проверка LocatorCheck
Запуск проверки: Intersite
……………………. DOMEN.local – пройдена проверка Intersite
создаю дочерний домен на отдельном сайте, поднял, ввел, все нормально. но не проходят репликации.
C:\Users\Администратор>repadmin /kcc dc
Default-First-Site-Name
Текущий Параметры сайта: (none)
Процесс DsReplicaConsistencyCheck() завершился ошибкой с кодом состояния 8453 (0
x2105):
Доступ к репликации отвергнут.
но при этом
Код: 
C:\Users\Администратор>dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = dcdom
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: domodedovo\DCDOM
Запуск проверки: Connectivity
......................... DCDOM - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: domodedovo\DCDOM
Запуск проверки: Advertising
......................... DCDOM - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... DCDOM - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... DCDOM - не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... DCDOM - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... DCDOM - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... DCDOM - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... DCDOM - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... DCDOM - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... DCDOM - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... DCDOM - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... DCDOM - пройдена проверка Replications
Запуск проверки: RidManager
......................... DCDOM - пройдена проверка RidManager
Запуск проверки: Services
......................... DCDOM - пройдена проверка Services
Запуск проверки: SystemLog
......................... DCDOM - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... DCDOM - пройдена проверка VerifyReferences
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: domodedovo
Запуск проверки: CheckSDRefDom
......................... domodedovo - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... domodedovo - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: acoustic.local
Запуск проверки: LocatorCheck
......................... acoustic.local - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... acoustic.local - пройдена проверка Intersite
Код:
C:\Users\Администратор>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : dcdom
Основной DNS-суффикс . . . . . . : domodedovo.acoustic.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domodedovo.acoustic.local
acoustic.local
Ethernet adapter Подключение по локальной сети 2:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it #2
Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-60
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::48fb:1e05:94b6:6026%13(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.10.29(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
IPv4-адрес. . . . . . . . . . . . : 192.168.11.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 0.0.0.0
192.168.10.2
IAID DHCPv6 . . . . . . . . . . . : 302029826
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-86-EC-14-00-9C-02-9A-0B-61
DNS-серверы. . . . . . . . . . . : ::1
192.168.10.1
192.168.11.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it
Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-61
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{E012B555-F74E-4846-B020-024FB5728493}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{D30D534C-46AF-4669-A481-62F7E6B5ADB3}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 6:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
между основным и вторичным котролером реплицируется все без проблем. а между сайтами реплика не идет.
делал как описано здесь: http://sensoft2000-sharepoint.blogsp…as-denied.html
результат нету.
создаю дочерний домен на отдельном сайте, поднял, ввел, все нормально. но не проходят репликации.
C:\Users\Администратор>repadmin /kcc dc
Default-First-Site-Name
Текущий Параметры сайта: (none)
Процесс DsReplicaConsistencyCheck() завершился ошибкой с кодом состояния 8453 (0
x2105):
Доступ к репликации отвергнут.
но при этом
Код:
C:\Users\Администратор>dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = dcdom
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: domodedovo\DCDOM
Запуск проверки: Connectivity
......................... DCDOM - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: domodedovo\DCDOM
Запуск проверки: Advertising
......................... DCDOM - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... DCDOM - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... DCDOM - не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... DCDOM - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... DCDOM - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... DCDOM - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... DCDOM - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... DCDOM - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... DCDOM - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... DCDOM - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... DCDOM - пройдена проверка Replications
Запуск проверки: RidManager
......................... DCDOM - пройдена проверка RidManager
Запуск проверки: Services
......................... DCDOM - пройдена проверка Services
Запуск проверки: SystemLog
......................... DCDOM - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... DCDOM - пройдена проверка VerifyReferences
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: domodedovo
Запуск проверки: CheckSDRefDom
......................... domodedovo - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... domodedovo - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: acoustic.local
Запуск проверки: LocatorCheck
......................... acoustic.local - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... acoustic.local - пройдена проверка Intersite
Код:
C:\Users\Администратор>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : dcdom
Основной DNS-суффикс . . . . . . : domodedovo.acoustic.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domodedovo.acoustic.local
acoustic.local
Ethernet adapter Подключение по локальной сети 2:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it #2
Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-60
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::48fb:1e05:94b6:6026%13(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.10.29(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
IPv4-адрес. . . . . . . . . . . . : 192.168.11.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 0.0.0.0
192.168.10.2
IAID DHCPv6 . . . . . . . . . . . : 302029826
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-86-EC-14-00-9C-02-9A-0B-61
DNS-серверы. . . . . . . . . . . : ::1
192.168.10.1
192.168.11.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it
Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-61
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{E012B555-F74E-4846-B020-024FB5728493}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{D30D534C-46AF-4669-A481-62F7E6B5ADB3}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 6:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
между основным и вторичным котролером реплицируется все без проблем. а между сайтами реплика не идет.
делал как описано здесь: http://sensoft2000-sharepoint.blogsp…as-denied.html
результат нету.
Старожил
Сообщения: 471
Благодарности: 11
Профиль
|
Отправить PM
| Цитировать
Всем доброго времени суток!!!!
Нужна помощь в решении проблем с репликациями, не понятно по какой причине начались проблемы. Вот на что обратил внимание, на DC-02 не смог зайти в оснастку ДНС, выходит ошибкаФайл 116870
В остнастке ДНС на сервере DC-01 Файл 116871. Отмечена запись – старый кд, его я использовал как промежуточное звено. Сейчас этот кд отключен (странно видимо я забыл его понизить и вывести из домена). Но это не главное, главное куда делись записи текущих КД, я думаю они здесь должны присутствовать. Так же на обоих КД куча ругани в евентах.
Логи с TNS-DC-01
Код:
Имя журнала: DNS Server
Источник: Microsoft-Windows-DNS-Server-Service
Дата: 09.09.2014 21:25:41
Код события: 4015
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: TNS-DC-01.intec.tns-intec.kz
Описание:
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: "0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'" (может отсутствовать). Данные о событии содержат сведения об ошибке.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DNS-Server-Service" Guid="{71A551F5-C893-4849-886B-B5EC8502641E}" EventSourceName="DNS" />
<EventID Qualifiers="49152">4015</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-09-09T15:25:41.000000000Z" />
<EventRecordID>450</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>DNS Server</Channel>
<Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
<Security />
</System>
<EventData Name="DNS_EVENT_DS_INTERFACE_ERROR">
<Data Name="param1">0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'</Data>
<Binary>52000000</Binary>
</EventData>
</Event>
Код:
Имя журнала: System
Источник: Microsoft-Windows-Security-Kerberos
Дата: 09.09.2014 21:26:08
Код события: 4
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: TNS-DC-01.intec.tns-intec.kz
Описание:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера tns-dc-02$. Использовалось целевое имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (INTEC.TNS-INTEC.KZ) отличается от домена клиента (INTEC.TNS-INTEC.KZ), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />
<EventID Qualifiers="16384">4</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-09-09T15:26:08.000000000Z" />
<EventRecordID>29234</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
<Security />
</System>
<EventData>
<Data Name="Server">tns-dc-02$</Data>
<Data Name="TargetRealm">INTEC.TNS-INTEC.KZ</Data>
<Data Name="Targetname">E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz</Data>
<Data Name="ClientRealm">INTEC.TNS-INTEC.KZ</Data>
<Binary>
</Binary>
</EventData>
</Event>
Код:
Имя журнала: System
Источник: Microsoft-Windows-DistributedCOM
Дата: 10.09.2014 19:35:31
Код события: 10028
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: INTEC\x.viktor
Компьютер: TNS-DC-01.intec.tns-intec.kz
Описание:
Не удалось установить связь DCOM с компьютером TNS-DC-02.intec.tns-intec.kz через какой-либо из настроенных протоколов; запрос от PID 13c4 (C:\Windows\system32\ServerManager.exe).
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="0">10028</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2014-09-10T13:35:31.818973700Z" />
<EventRecordID>30424</EventRecordID>
<Correlation />
<Execution ProcessID="628" ThreadID="716" />
<Channel>System</Channel>
<Computer>TNS-DC-01.intec.tns-intec.kz</Computer>
<Security UserID="S-1-5-21-1521604521-4016093352-2431814431-1668" />
</System>
<EventData>
<Data Name="param1">TNS-DC-02.intec.tns-intec.kz</Data>
<Data Name="param2"> 13c4</Data>
<Data Name="param3">C:\Windows\system32\ServerManager.exe</Data>
<Binary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inary>
</EventData>
</Event>
вывод repadmin
Код:
C:\Users\x.viktor>repadmin /showrepl
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
тупом
Default-First-Site-Name\TNS-DC-01
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 4c330cbc-ea76-48e4-8891-f19b85ffef75
DSA - код вызова: 0a8b4e90-4ec4-45ed-930e-fee3e039c257
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=intec,DC=tns-intec,DC=kz
Default-First-Site-Name\TNS-DC-02 через RPC
DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
Главное конечное имя неверно.
3562 последовательных ошибок.
Последний успех @ 2014-09-09 16:25:08.
CN=Configuration,DC=intec,DC=tns-intec,DC=kz
Default-First-Site-Name\TNS-DC-02 через RPC
DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
Главное конечное имя неверно.
34 последовательных ошибок.
Последний успех @ 2014-09-09 15:59:49.
CN=Schema,CN=Configuration,DC=intec,DC=tns-intec,DC=kz
Default-First-Site-Name\TNS-DC-02 через RPC
DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат -
2146893022 (0x80090322):
Главное конечное имя неверно.
33 последовательных ошибок.
Последний успех @ 2014-09-09 15:59:49.
DC=DomainDnsZones,DC=intec,DC=tns-intec,DC=kz
Default-First-Site-Name\TNS-DC-02 через RPC
DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1
256 (0x4e8):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
35 последовательных ошибок.
Последний успех @ 2014-09-09 15:59:49.
DC=ForestDnsZones,DC=intec,DC=tns-intec,DC=kz
Default-First-Site-Name\TNS-DC-02 через RPC
DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0
Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1
256 (0x4e8):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
33 последовательных ошибок.
Последний успех @ 2014-09-09 15:59:49.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
и dcdiag
Код:
C:\Users\x.viktor>dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = TNS-DC-01
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\TNS-DC-01
Запуск проверки: Connectivity
Узел 4c330cbc-ea76-48e4-8891-f19b85ffef75._msdcs.intec.tns-intec.kz не
удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте
параметры брандмауэра.
......................... TNS-DC-01 - не пройдена проверка
Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\TNS-DC-01
Пропуск всех проверок, так как сервер TNS-DC-01 не отвечает на запросы
службы каталогов.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: intec
Запуск проверки: CheckSDRefDom
......................... intec - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... intec - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: intec.tns-intec.kz
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка
1355
Не удается найти основной контроллер домена.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
1355
Не удается найти сервер времени.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции
DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
Не удается найти сервер точного времени.
......................... intec.tns-intec.kz - не пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... intec.tns-intec.kz - пройдена проверка
Intersite
Постановка задачи
В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.
Предположим:
- MYDOMAIN.LOCAL – наш домен под управлением Active Directory в Windows 2012 Server
- DC1 – единственный контроллер домена
- DC2 – новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций
Добавление контроллера домена
После установки на Windows 2012 Server роли “Доменные службы Active Directory” и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.
Затем следует проверить насколько гладко новый котроллер вошёл в домен.
C:\Windows\system32>nltest /dclist:mydomain.local
Получить список контроллеров домена в домене "mydomain.local" из "\\dc1.mydomain.local".
dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name
DC2.mydomain.local [DS] Сайт: Default-First-Site-Name
Команда выполнена успешно.
Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:
C:\Windows\system32>dsquery server "CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local" "CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"
Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:
repadmin /replsummary repadmin /queue repadmin /showrepl
Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:
repadmin /syncall
Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)
Перенос роли хозяина операций
Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!
Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.
Посмотрим список контроллеров домена mydomain.local:
nltest /dclist:mydomain.local
Выясняем, кто из контроллеров является хозяином операций:
C:\Users\pnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.
Перенос ролей можно сделать двумя способами:
1. через оснастку “Active Directory – Домены и доверие”, открыв её из Диспетчера серверов – Средства.
2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:
C:\Users\pnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 ... Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit
Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.
В случае успешного захвата мы должны увидеть следующее
C:\Users\pnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.
Работа над ошибками
Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag
DNS не удаётся разрешить IP-адрес
dcdiag выдаёт ошибку DNS:
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\DC2
Запуск проверки: Connectivity
Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается
разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры
брандмауэра.
......................... DC2 - не пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\DC2
Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.
РЕШЕНИЕ:
Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.
- Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
- Рекомендации по настройке службы DNS на контроллере домена
- DNScmd – консольная утилита для управления DNS сервером (офиц. описание)
Ошибка репликации 8453
repadmin /showrepl выдаёт ошибку:
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
РЕШЕНИЕ:
Запустить репликацию вручную и командной строки с административными правами
repadmin /syncall
На контроллере нет сетевых ресурсов NetLogon и SysVol
Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.
Доступность сетевых ресурсов можно проверить командой:
net share
Исправность ресурсов SysVol и NetLogon можно проверить командой:
dcdiag /test:netlogons
Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.
Постановка задачи
В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.
Предположим:
- MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
- DC1 — единственный контроллер домена
- DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций
Добавление контроллера домена
После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.
Затем следует проверить насколько гладко новый котроллер вошёл в домен.
C:\Windows\system32>nltest /dclist:mydomain.local Получить список контроллеров домена в домене «mydomain.local» из «\\dc1.mydomain.local». dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name DC2.mydomain.local [DS] Сайт: Default-First-Site-Name Команда выполнена успешно.
Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:
C:\Windows\system32>dsquery server «CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local» «CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local»
Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:
repadmin /replsummary repadmin /queue repadmin /showrepl
Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:
repadmin /syncall
Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)
Перенос роли хозяина операций
Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!
Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.
Посмотрим список контроллеров домена mydomain.local:
nltest /dclist:mydomain.local
Выясняем, кто из контроллеров является хозяином операций:
C:\Users\pnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.
Перенос ролей можно сделать двумя способами:
1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.
2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:
C:\Users\pnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 … Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit
Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.
В случае успешного захвата мы должны увидеть следующее
C:\Users\pnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.
Работа над ошибками
Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag
DNS не удаётся разрешить IP-адрес
dcdiag выдаёт ошибку DNS:
Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Connectivity Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ……………………. DC2 — не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\DC2 Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.
РЕШЕНИЕ:
Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.
- Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
- Рекомендации по настройке службы DNS на контроллере домена
- DNScmd — консольная утилита для управления DNS сервером (офиц. описание)
Ошибка репликации 8453
repadmin /showrepl выдаёт ошибку:
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.
РЕШЕНИЕ:
Запустить репликацию вручную и командной строки с административными правами
repadmin /syncall
На контроллере нет сетевых ресурсов NetLogon и SysVol
Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.
Доступность сетевых ресурсов можно проверить командой:
net share
Исправность ресурсов SysVol и NetLogon можно проверить командой:
dcdiag /test:netlogons
Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.