Есть Главный Домен, поднял дочерний домен, создал сайт и репликацию на дочернем и на Главном. Репликация с стороны Дочернего проходит успешно, с стороны Главного – выдает ошибку. Все DC на Win2008R2.
#####################################
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
Контекст именования: DC=msk,DC=ruelta,DC=ru
Источник: RUELTAMSK\RUELTAMSK-PDC
******* Предупреждение: KCC не удалось добавить эту ССЫЛКУ РЕПЛИКИ из-за ошибки.
Предполагаю что проблема кроется в правах, но конкретно где копать?
Я делаю по этой статье. Вроде все повысилось без проблем, роли FSMO передал. Но теперь как то надо все проверить
Обновление контроллеров домена до Windows Server 2016
2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».
4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.
6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.
Repadmin /syncall /AeS
repadmin /replsum
8. Перераспределяем роли FSMO:
[B]Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster[/B]
9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.
10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить
repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum
11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = MSK-DC16
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: SITE\MSK-DC16
Запуск проверки: Connectivity
……………………. MSK-DC16 – пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Maslovka\MSK-DC16
Запуск проверки: Advertising
……………………. MSK-DC16 – пройдена проверка Advertising
Запуск проверки: FrsEvent
……………………. MSK-DC16 – пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
……………………. MSK-DC16 – пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
……………………. MSK-DC16 – пройдена проверка SysVolCheck
Запуск проверки: KccEvent
……………………. MSK-DC16 – пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
……………………. MSK-DC16 – пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
……………………. MSK-DC16 – пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
……………………. MSK-DC16 – пройдена проверка NCSecDesc
Запуск проверки: NetLogons
[MSK-DC16] В учетных данных пользователя отсутствует разрешение на
выполнение данной операции.
Учетная запись, используемая для этой проверки, должна иметь права на
вход в сеть
для домена данного компьютера.
……………………. MSK-DC16 – не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
……………………. MSK-DC16 – пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
[Проверка репликации,MSK-DC16] Сбой функции
DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
“Доступ к репликации отвергнут.”
……………………. MSK-DC16 – не пройдена проверка Replications
Запуск проверки: RidManager
……………………. MSK-DC16 – пройдена проверка RidManager
Запуск проверки: Services
Не удалось открыть службу NTDS в MSK-DC16, ошибка 0x5
“Отказано в доступе.”
……………………. MSK-DC16 – не пройдена проверка Services
Запуск проверки: SystemLog
……………………. MSK-DC16 – пройдена проверка SystemLog
Запуск проверки: VerifyReferences
……………………. MSK-DC16 – пройдена проверка
VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
……………………. ForestDnsZones – пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. ForestDnsZones – пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
……………………. DomainDnsZones – пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DomainDnsZones – пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
……………………. Schema – пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Schema – пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
……………………. Configuration – пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. Configuration – пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DOMEN
Запуск проверки: CheckSDRefDom
……………………. DOMEN – пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
……………………. DOMEN – пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: DOMEN.local
Запуск проверки: LocatorCheck
……………………. DOMEN.local – пройдена проверка LocatorCheck
Запуск проверки: Intersite
……………………. DOMEN.local – пройдена проверка Intersite
создаю дочерний домен на отдельном сайте, поднял, ввел, все нормально. но не проходят репликации.
C:\Users\Администратор>repadmin /kcc dc
Default-First-Site-Name
Текущий Параметры сайта: (none)
Процесс DsReplicaConsistencyCheck() завершился ошибкой с кодом состояния 8453 (0
x2105):
Доступ к репликации отвергнут.
но при этом
Код:
C:\Users\Администратор>dcdiag Диагностика сервера каталогов Выполнение начальной настройки: Выполняется попытка поиска основного сервера... Основной сервер = dcdom * Идентифицирован лес AD. Сбор начальных данных завершен. Выполнение обязательных начальных проверок Сервер проверки: domodedovo\DCDOM Запуск проверки: Connectivity ......................... DCDOM - пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: domodedovo\DCDOM Запуск проверки: Advertising ......................... DCDOM - пройдена проверка Advertising Запуск проверки: FrsEvent ......................... DCDOM - пройдена проверка FrsEvent Запуск проверки: DFSREvent За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. ......................... DCDOM - не пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... DCDOM - пройдена проверка SysVolCheck Запуск проверки: KccEvent ......................... DCDOM - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... DCDOM - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... DCDOM - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... DCDOM - пройдена проверка NCSecDesc Запуск проверки: NetLogons ......................... DCDOM - пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... DCDOM - пройдена проверка ObjectsReplicated Запуск проверки: Replications ......................... DCDOM - пройдена проверка Replications Запуск проверки: RidManager ......................... DCDOM - пройдена проверка RidManager Запуск проверки: Services ......................... DCDOM - пройдена проверка Services Запуск проверки: SystemLog ......................... DCDOM - пройдена проверка SystemLog Запуск проверки: VerifyReferences ......................... DCDOM - пройдена проверка VerifyReferences Выполнение проверок разделов на: DomainDnsZones Запуск проверки: CheckSDRefDom ......................... DomainDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... DomainDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: domodedovo Запуск проверки: CheckSDRefDom ......................... domodedovo - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... domodedovo - пройдена проверка CrossRefValidation Выполнение проверок разделов на: ForestDnsZones Запуск проверки: CheckSDRefDom ......................... ForestDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... ForestDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Schema Запуск проверки: CheckSDRefDom ......................... Schema - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Schema - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Configuration Запуск проверки: CheckSDRefDom ......................... Configuration - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Configuration - пройдена проверка CrossRefValidation Выполнение проверок предприятия на: acoustic.local Запуск проверки: LocatorCheck ......................... acoustic.local - пройдена проверка LocatorCheck Запуск проверки: Intersite ......................... acoustic.local - пройдена проверка Intersite
Код:
C:\Users\Администратор>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : dcdom Основной DNS-суффикс . . . . . . : domodedovo.acoustic.local Тип узла. . . . . . . . . . . . . : Гибридный IP-маршрутизация включена . . . . : Нет WINS-прокси включен . . . . . . . : Нет Порядок просмотра суффиксов DNS . : domodedovo.acoustic.local acoustic.local Ethernet adapter Подключение по локальной сети 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab it #2 Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-60 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Локальный IPv6-адрес канала . . . : fe80::48fb:1e05:94b6:6026%13(Основной) IPv4-адрес. . . . . . . . . . . . : 192.168.10.29(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 IPv4-адрес. . . . . . . . . . . . : 192.168.11.1(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : 0.0.0.0 192.168.10.2 IAID DHCPv6 . . . . . . . . . . . : 302029826 DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-86-EC-14-00-9C-02-9A-0B-61 DNS-серверы. . . . . . . . . . . : ::1 192.168.10.1 192.168.11.1 NetBios через TCP/IP. . . . . . . . : Включен Ethernet adapter Подключение по локальной сети: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab it Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-61 DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да Туннельный адаптер isatap.{E012B555-F74E-4846-B020-024FB5728493}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Туннельный адаптер isatap.{D30D534C-46AF-4669-A481-62F7E6B5ADB3}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2 Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Туннельный адаптер Подключение по локальной сети* 6: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да
между основным и вторичным котролером реплицируется все без проблем. а между сайтами реплика не идет.
делал как описано здесь: http://sensoft2000-sharepoint.blogsp…as-denied.html
результат нету.
создаю дочерний домен на отдельном сайте, поднял, ввел, все нормально. но не проходят репликации.
C:\Users\Администратор>repadmin /kcc dc
Default-First-Site-Name
Текущий Параметры сайта: (none)
Процесс DsReplicaConsistencyCheck() завершился ошибкой с кодом состояния 8453 (0
x2105):
Доступ к репликации отвергнут.
но при этом
Код:
C:\Users\Администратор>dcdiag Диагностика сервера каталогов Выполнение начальной настройки: Выполняется попытка поиска основного сервера... Основной сервер = dcdom * Идентифицирован лес AD. Сбор начальных данных завершен. Выполнение обязательных начальных проверок Сервер проверки: domodedovo\DCDOM Запуск проверки: Connectivity ......................... DCDOM - пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: domodedovo\DCDOM Запуск проверки: Advertising ......................... DCDOM - пройдена проверка Advertising Запуск проверки: FrsEvent ......................... DCDOM - пройдена проверка FrsEvent Запуск проверки: DFSREvent За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. ......................... DCDOM - не пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... DCDOM - пройдена проверка SysVolCheck Запуск проверки: KccEvent ......................... DCDOM - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... DCDOM - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... DCDOM - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... DCDOM - пройдена проверка NCSecDesc Запуск проверки: NetLogons ......................... DCDOM - пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... DCDOM - пройдена проверка ObjectsReplicated Запуск проверки: Replications ......................... DCDOM - пройдена проверка Replications Запуск проверки: RidManager ......................... DCDOM - пройдена проверка RidManager Запуск проверки: Services ......................... DCDOM - пройдена проверка Services Запуск проверки: SystemLog ......................... DCDOM - пройдена проверка SystemLog Запуск проверки: VerifyReferences ......................... DCDOM - пройдена проверка VerifyReferences Выполнение проверок разделов на: DomainDnsZones Запуск проверки: CheckSDRefDom ......................... DomainDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... DomainDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: domodedovo Запуск проверки: CheckSDRefDom ......................... domodedovo - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... domodedovo - пройдена проверка CrossRefValidation Выполнение проверок разделов на: ForestDnsZones Запуск проверки: CheckSDRefDom ......................... ForestDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... ForestDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Schema Запуск проверки: CheckSDRefDom ......................... Schema - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Schema - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Configuration Запуск проверки: CheckSDRefDom ......................... Configuration - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Configuration - пройдена проверка CrossRefValidation Выполнение проверок предприятия на: acoustic.local Запуск проверки: LocatorCheck ......................... acoustic.local - пройдена проверка LocatorCheck Запуск проверки: Intersite ......................... acoustic.local - пройдена проверка Intersite
Код:
C:\Users\Администратор>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : dcdom Основной DNS-суффикс . . . . . . : domodedovo.acoustic.local Тип узла. . . . . . . . . . . . . : Гибридный IP-маршрутизация включена . . . . : Нет WINS-прокси включен . . . . . . . : Нет Порядок просмотра суффиксов DNS . : domodedovo.acoustic.local acoustic.local Ethernet adapter Подключение по локальной сети 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab it #2 Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-60 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Локальный IPv6-адрес канала . . . : fe80::48fb:1e05:94b6:6026%13(Основной) IPv4-адрес. . . . . . . . . . . . : 192.168.10.29(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 IPv4-адрес. . . . . . . . . . . . : 192.168.11.1(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : 0.0.0.0 192.168.10.2 IAID DHCPv6 . . . . . . . . . . . : 302029826 DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-86-EC-14-00-9C-02-9A-0B-61 DNS-серверы. . . . . . . . . . . : ::1 192.168.10.1 192.168.11.1 NetBios через TCP/IP. . . . . . . . : Включен Ethernet adapter Подключение по локальной сети: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab it Физический адрес. . . . . . . . . : 00-9C-02-9A-0B-61 DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да Туннельный адаптер isatap.{E012B555-F74E-4846-B020-024FB5728493}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Туннельный адаптер isatap.{D30D534C-46AF-4669-A481-62F7E6B5ADB3}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2 Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Туннельный адаптер Подключение по локальной сети* 6: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да
между основным и вторичным котролером реплицируется все без проблем. а между сайтами реплика не идет.
делал как описано здесь: http://sensoft2000-sharepoint.blogsp…as-denied.html
результат нету.
Старожил
Сообщения: 471
Благодарности: 11
Профиль
|
Отправить PM
| Цитировать
Всем доброго времени суток!!!!
Нужна помощь в решении проблем с репликациями, не понятно по какой причине начались проблемы. Вот на что обратил внимание, на DC-02 не смог зайти в оснастку ДНС, выходит ошибкаФайл 116870
В остнастке ДНС на сервере DC-01 Файл 116871. Отмечена запись – старый кд, его я использовал как промежуточное звено. Сейчас этот кд отключен (странно видимо я забыл его понизить и вывести из домена). Но это не главное, главное куда делись записи текущих КД, я думаю они здесь должны присутствовать. Так же на обоих КД куча ругани в евентах.
Логи с TNS-DC-01
Код:
Имя журнала: DNS Server Источник: Microsoft-Windows-DNS-Server-Service Дата: 09.09.2014 21:25:41 Код события: 4015 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова:Классический Пользователь: Н/Д Компьютер: TNS-DC-01.intec.tns-intec.kz Описание: DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: "0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'" (может отсутствовать). Данные о событии содержат сведения об ошибке. Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-DNS-Server-Service" Guid="{71A551F5-C893-4849-886B-B5EC8502641E}" EventSourceName="DNS" /> <EventID Qualifiers="49152">4015</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2014-09-09T15:25:41.000000000Z" /> <EventRecordID>450</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>DNS Server</Channel> <Computer>TNS-DC-01.intec.tns-intec.kz</Computer> <Security /> </System> <EventData Name="DNS_EVENT_DS_INTERFACE_ERROR"> <Data Name="param1">0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=TNS-DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=intec,DC=tns-intec,DC=kz'</Data> <Binary>52000000</Binary> </EventData> </Event>
Код:
Имя журнала: System Источник: Microsoft-Windows-Security-Kerberos Дата: 09.09.2014 21:26:08 Код события: 4 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова:Классический Пользователь: Н/Д Компьютер: TNS-DC-01.intec.tns-intec.kz Описание: Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера tns-dc-02$. Использовалось целевое имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (INTEC.TNS-INTEC.KZ) отличается от домена клиента (INTEC.TNS-INTEC.KZ), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя. Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" /> <EventID Qualifiers="16384">4</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2014-09-09T15:26:08.000000000Z" /> <EventRecordID>29234</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>System</Channel> <Computer>TNS-DC-01.intec.tns-intec.kz</Computer> <Security /> </System> <EventData> <Data Name="Server">tns-dc-02$</Data> <Data Name="TargetRealm">INTEC.TNS-INTEC.KZ</Data> <Data Name="Targetname">E3514235-4B06-11D1-AB04-00C04FC2DCD2/86d3e9ba-78b7-47e4-9544-93adb1c434c0/intec.tns-intec.kz@intec.tns-intec.kz</Data> <Data Name="ClientRealm">INTEC.TNS-INTEC.KZ</Data> <Binary> </Binary> </EventData> </Event>
Код:
Имя журнала: System Источник: Microsoft-Windows-DistributedCOM Дата: 10.09.2014 19:35:31 Код события: 10028 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова:Классический Пользователь: INTEC\x.viktor Компьютер: TNS-DC-01.intec.tns-intec.kz Описание: Не удалось установить связь DCOM с компьютером TNS-DC-02.intec.tns-intec.kz через какой-либо из настроенных протоколов; запрос от PID 13c4 (C:\Windows\system32\ServerManager.exe). Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" /> <EventID Qualifiers="0">10028</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8080000000000000</Keywords> <TimeCreated SystemTime="2014-09-10T13:35:31.818973700Z" /> <EventRecordID>30424</EventRecordID> <Correlation /> <Execution ProcessID="628" ThreadID="716" /> <Channel>System</Channel> <Computer>TNS-DC-01.intec.tns-intec.kz</Computer> <Security UserID="S-1-5-21-1521604521-4016093352-2431814431-1668" /> </System> <EventData> <Data Name="param1">TNS-DC-02.intec.tns-intec.kz</Data> <Data Name="param2"> 13c4</Data> <Data Name="param3">C:\Windows\system32\ServerManager.exe</Data> <Binary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inary> </EventData> </Event>
вывод repadmin
Код:
C:\Users\x.viktor>repadmin /showrepl Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос тупом Default-First-Site-Name\TNS-DC-01 Параметры DSA: IS_GC Параметры сайта: (none) DSA - GUID объекта: 4c330cbc-ea76-48e4-8891-f19b85ffef75 DSA - код вызова: 0a8b4e90-4ec4-45ed-930e-fee3e039c257 ==== ВХОДЯЩИЕ СОСЕДИ ====================================== DC=intec,DC=tns-intec,DC=kz Default-First-Site-Name\TNS-DC-02 через RPC DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0 Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат - 2146893022 (0x80090322): Главное конечное имя неверно. 3562 последовательных ошибок. Последний успех @ 2014-09-09 16:25:08. CN=Configuration,DC=intec,DC=tns-intec,DC=kz Default-First-Site-Name\TNS-DC-02 через RPC DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0 Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат - 2146893022 (0x80090322): Главное конечное имя неверно. 34 последовательных ошибок. Последний успех @ 2014-09-09 15:59:49. CN=Schema,CN=Configuration,DC=intec,DC=tns-intec,DC=kz Default-First-Site-Name\TNS-DC-02 через RPC DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0 Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат - 2146893022 (0x80090322): Главное конечное имя неверно. 33 последовательных ошибок. Последний успех @ 2014-09-09 15:59:49. DC=DomainDnsZones,DC=intec,DC=tns-intec,DC=kz Default-First-Site-Name\TNS-DC-02 через RPC DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0 Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1 256 (0x4e8): Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows. 35 последовательных ошибок. Последний успех @ 2014-09-09 15:59:49. DC=ForestDnsZones,DC=intec,DC=tns-intec,DC=kz Default-First-Site-Name\TNS-DC-02 через RPC DSA - GUID объекта: 86d3e9ba-78b7-47e4-9544-93adb1c434c0 Последняя попытка @ 2014-09-10 19:58:10 завершена с ошибкой, результат 1 256 (0x4e8): Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows. 33 последовательных ошибок. Последний успех @ 2014-09-09 15:59:49. Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.
и dcdiag
Код:
C:\Users\x.viktor>dcdiag Диагностика сервера каталогов Выполнение начальной настройки: Выполняется попытка поиска основного сервера... Основной сервер = TNS-DC-01 * Определен лес AD. Сбор начальных данных завершен. Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\TNS-DC-01 Запуск проверки: Connectivity Узел 4c330cbc-ea76-48e4-8891-f19b85ffef75._msdcs.intec.tns-intec.kz не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ......................... TNS-DC-01 - не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\TNS-DC-01 Пропуск всех проверок, так как сервер TNS-DC-01 не отвечает на запросы службы каталогов. Выполнение проверок разделов на: ForestDnsZones Запуск проверки: CheckSDRefDom ......................... ForestDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... ForestDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: DomainDnsZones Запуск проверки: CheckSDRefDom ......................... DomainDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... DomainDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Schema Запуск проверки: CheckSDRefDom ......................... Schema - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Schema - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Configuration Запуск проверки: CheckSDRefDom ......................... Configuration - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Configuration - пройдена проверка CrossRefValidation Выполнение проверок разделов на: intec Запуск проверки: CheckSDRefDom ......................... intec - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... intec - пройдена проверка CrossRefValidation Выполнение проверок предприятия на: intec.tns-intec.kz Запуск проверки: LocatorCheck Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355 Не удается найти основной контроллер домена. Сервер, которому принадлежит роль PDC, отключен. Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1355 Не удается найти сервер времени. Сервер, которому принадлежит роль PDC, отключен. Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355 Не удается найти сервер точного времени. ......................... intec.tns-intec.kz - не пройдена проверка LocatorCheck Запуск проверки: Intersite ......................... intec.tns-intec.kz - пройдена проверка Intersite
Постановка задачи
В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.
Предположим:
- MYDOMAIN.LOCAL – наш домен под управлением Active Directory в Windows 2012 Server
- DC1 – единственный контроллер домена
- DC2 – новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций
Добавление контроллера домена
После установки на Windows 2012 Server роли “Доменные службы Active Directory” и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.
Затем следует проверить насколько гладко новый котроллер вошёл в домен.
C:\Windows\system32>nltest /dclist:mydomain.local Получить список контроллеров домена в домене "mydomain.local" из "\\dc1.mydomain.local". dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name DC2.mydomain.local [DS] Сайт: Default-First-Site-Name Команда выполнена успешно.
Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:
C:\Windows\system32>dsquery server "CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local" "CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"
Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:
repadmin /replsummary repadmin /queue repadmin /showrepl
Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:
repadmin /syncall
Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)
Перенос роли хозяина операций
Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!
Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.
Посмотрим список контроллеров домена mydomain.local:
nltest /dclist:mydomain.local
Выясняем, кто из контроллеров является хозяином операций:
C:\Users\pnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.
Перенос ролей можно сделать двумя способами:
1. через оснастку “Active Directory – Домены и доверие”, открыв её из Диспетчера серверов – Средства.
2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:
C:\Users\pnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 ... Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit
Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.
В случае успешного захвата мы должны увидеть следующее
C:\Users\pnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.
Работа над ошибками
Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag
DNS не удаётся разрешить IP-адрес
dcdiag выдаёт ошибку DNS:
Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Connectivity Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ......................... DC2 - не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\DC2 Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.
РЕШЕНИЕ:
Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.
- Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
- Рекомендации по настройке службы DNS на контроллере домена
- DNScmd – консольная утилита для управления DNS сервером (офиц. описание)
Ошибка репликации 8453
repadmin /showrepl выдаёт ошибку:
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.
РЕШЕНИЕ:
Запустить репликацию вручную и командной строки с административными правами
repadmin /syncall
На контроллере нет сетевых ресурсов NetLogon и SysVol
Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.
Доступность сетевых ресурсов можно проверить командой:
net share
Исправность ресурсов SysVol и NetLogon можно проверить командой:
dcdiag /test:netlogons
Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.
Постановка задачи
В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.
Предположим:
- MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
- DC1 — единственный контроллер домена
- DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций
Добавление контроллера домена
После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.
Затем следует проверить насколько гладко новый котроллер вошёл в домен.
C:\Windows\system32>nltest /dclist:mydomain.local Получить список контроллеров домена в домене «mydomain.local» из «\\dc1.mydomain.local». dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name DC2.mydomain.local [DS] Сайт: Default-First-Site-Name Команда выполнена успешно.
Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:
C:\Windows\system32>dsquery server «CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local» «CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local»
Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:
repadmin /replsummary repadmin /queue repadmin /showrepl
Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:
repadmin /syncall
Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)
Перенос роли хозяина операций
Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!
Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.
Посмотрим список контроллеров домена mydomain.local:
nltest /dclist:mydomain.local
Выясняем, кто из контроллеров является хозяином операций:
C:\Users\pnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.
Перенос ролей можно сделать двумя способами:
1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.
2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:
C:\Users\pnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 … Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit
Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.
В случае успешного захвата мы должны увидеть следующее
C:\Users\pnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.
Работа над ошибками
Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag
DNS не удаётся разрешить IP-адрес
dcdiag выдаёт ошибку DNS:
Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\DC2 Запуск проверки: Connectivity Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д. Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра. ……………………. DC2 — не пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\DC2 Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.
РЕШЕНИЕ:
Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.
- Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
- Рекомендации по настройке службы DNS на контроллере домена
- DNScmd — консольная утилита для управления DNS сервером (офиц. описание)
Ошибка репликации 8453
repadmin /showrepl выдаёт ошибку:
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут.
РЕШЕНИЕ:
Запустить репликацию вручную и командной строки с административными правами
repadmin /syncall
На контроллере нет сетевых ресурсов NetLogon и SysVol
Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.
Доступность сетевых ресурсов можно проверить командой:
net share
Исправность ресурсов SysVol и NetLogon можно проверить командой:
dcdiag /test:netlogons
Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.