[Oleg Krylov]

Выкладывайте события из логов. Приведите разрешения до и после сброса.
P.S. PDC в домене один

[Akella2007]

Ну да, PDC один по идее. А как может быть два? Для полной уверенности как проверить?

Вот всё время такое событие на доп. КД. Через разное время происходит.

Цитата:

Тип события: Предупреждение Источник события: NtFrs Категория события: Отсутствует Код события: 13508 Дата: 08.10.2008 Время: 11:58:26 Пользователь: Н/Д Компьютер: PROLIANT Описание: Служба репликации файлов столкнулась с проблемами при включении репликации с "SERVER" на "PROLIANT" для "c:\windows\sysvol\domain", использующего DNS-имя "server.BEST". Служба репликации файлов (FRS) продолжит повторные попытки. Ниже указаны причины, по которым может выдаваться это предупреждение. [1] FRS не может разрешить DNS-имя "server.BEST" с этого компьютера. [2] FRS не запущена на "server.BEST". [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". Данные: 0000: 00 00 00 00 ....

На PDC в этом же журнале точное такое предупреждение, весь журнал жёлтый. Время предупреждений на доп и основном контроллерах разное

SERVER - это PDC, хозяин всех операций.

Вот сообщения журнала DNS:

Цитата:

Тип события: Ошибка Источник события: DNS Категория события: Отсутствует Код события: 6702 Дата: 08.10.2008 Время: 11:59:50 Пользователь: Н/Д Компьютер: PROLIANT Описание: DNS-сервер обновил свои записи узла (A). Чтобы убедиться, что с этими интегрированными в DS равноправными DNS-серверами можно провести репликацию с данным сервером, была произведена попытка их динамического обновления с новыми записями. При этом обновлении произошла ошибка. Данные записи содержат код ошибки. Если этот DNS-сервер не имеет интегрированных в DS партнеров по репликации, то это сообщение об ошибке можно пропустить. Если партнеры репликации Active Directory этого DNS-cервера имеют неправильные IP-адреса этого сервера, то они не смогут проводить репликацию с ним. Чтобы убедиться в правильном проведении репликации: 1) Найдите партнеров репликации Active Directory данного сервера, на которых запущен DNS-сервер . 2) Откройте "Диспетчер DNS" и подключитесь по очереди к каждому из партнеров по репликации. 3) На каждом сервере, проверьте регистрацию узла (запись типа A) для ЭТОГО сервера. 4) Удалите любые записи (A), которые НЕ связанны с IP-адресами этого сервера. 5) Если для этого сервера отсутствуют записи типа (A), добавьте как минимум одну запись (A), связанную с адресом этого сервера, с которой партнер по репликации может контактировать. (Другими словами, если для данного DNS-сервера существует несколько IP-адресов, добавьте по крайней мере один, который находится в той же сети, что и обновляемый Active Directory DNS-сервер.) 6) Отметьте, что не обязательно обновлять сведения КАЖДОГО партнера по репликации. Это необходимо только для тех, чьи записи исправляются, чтобы каждый сервер, реплицирующий данные этого сервера, получал после репликации новые данные. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". Данные: 0000: 7c 26 00 00 |&..

Победить никак не могу. Перечитал много инфы, а толку нету.

Такие ошибки DNS на обеих серверах

хотя работает всё нормально. Если создаешь учётку пользователя на каком-либо сервере, то она появляется и на втором. Записи всех зонах DNS-серверов совпадают.

[Akella2007]

Вот данные с PDC, такие же разрешения устанавливаю и на доп. КД.
Для папки sysvol
Свойства папки, закладка Доступ, кнопка Разрешения:
Администраторы домена - полный доступ, Все - чтение, Прошедшие проверку полный доступ.

Закладка безопасность: Прошедшие проверку и операторы сервера - чтение и выполнение, Администраторы, System и владелец - полный доступ.

Переключатель "Разрешить наследование..." отмечен.

Для папки scripts, имя в качестве сетевой шары указано NETLOGON
Свойства папки, закладка Доступ, кнопка Разрешения:
Администраторы домена - полный доступ, Все - чтение.

Закладка безопасность: Прошедшие проверку и операторы сервера - чтение и выполнение, Администраторы, System и владелец - полный доступ.
Переключатель "Разрешить наследование..." отмечен.

И до, и после сброса на закладке Безопасность всё также, без изменений. А вот сетевых шар нету.

Теперь перезапускаю службу сетевого входа:

Цитата:

Microsoft Windows [Версия 5.2.3790] (С) Корпорация Майкрософт, 1985-2003. C:\Documents and Settings\akella>net stop netlogon && net start netlogon Служба "Сетевой вход в систему" останавливается. Служба "Сетевой вход в систему" успешно остановлена. Служба "Сетевой вход в систему" запускается. Служба "Сетевой вход в систему" успешно запущена.

И шары "слетают". только что проверил.

В журнала ничего такого особенного после перезапуска службы, кроме сообщений, что служба перезапущена и работает.

Результаты netdiag доп. КД:
Всё остальное passed или skiped

Цитата:

Domain membership test . . . . . . : Failed [WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.

Добавлю, что на доп. КД в сетевых настройках в качестве первичного ДНС сервера указано 127.0.0.1, это правильно?

[Oleg Krylov]

Запущена ли служба FRS?
Вот еще статейка, как проверять работоспособность и какие могут быть ошибки в службе репликации файлов
http://support.microsoft.com/default...b;en-us;249256
Обратите внимание на раздел "The DSA operation is unable to proceed because of a DNS lookup failure"
У Вас случаем не single-label domain name? (т.е. имя домена состоит из одного слова, например не contoso.com, а просто contoso)

[Akella2007]

результаты dcdiag на доп. КД.

Цитата:

Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\PROLIANT Starting test: Connectivity ......................... PROLIANT passed test Connectivity Doing primary tests Testing server: Default-First-Site-Name\PROLIANT Starting test: Replications ......................... PROLIANT passed test Replications Starting test: NCSecDesc ......................... PROLIANT passed test NCSecDesc Starting test: NetLogons Unable to connect to the NETLOGON share! (\\PROLIANT\netlogon) [PROLIANT] An net use or LsaPolicy operation failed with error 1203, Ни одна из служб доступа к сети не смогла обработать заданный сетевой путь.. ......................... PROLIANT failed test NetLogons Starting test: Advertising Warning: DsGetDcName returned information for \\server.BEST, when we we re trying to reach PROLIANT. Server is not responding or is not considered suitable. ......................... PROLIANT failed test Advertising Starting test: KnowsOfRoleHolders ......................... PROLIANT passed test KnowsOfRoleHolders Starting test: RidManager ......................... PROLIANT passed test RidManager Starting test: MachineAccount ......................... PROLIANT passed test MachineAccount Starting test: Services ......................... PROLIANT passed test Services Starting test: ObjectsReplicated ......................... PROLIANT passed test ObjectsReplicated Starting test: frssysvol ......................... PROLIANT passed test frssysvol Starting test: frsevent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... PROLIANT failed test frsevent Starting test: kccevent ......................... PROLIANT passed test kccevent Starting test: systemlog An Error Event occured. EventID: 0xC0001F60 Time Generated: 10/08/2008 22:01:10 (Event String could not be retrieved) ......................... PROLIANT failed test systemlog Starting test: VerifyReferences ......................... PROLIANT passed test VerifyReferences Running partition tests on : DomainDnsZones Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : BEST Starting test: CrossRefValidation ......................... BEST passed test CrossRefValidation Starting test: CheckSDRefDom ......................... BEST passed test CheckSDRefDom Running enterprise tests on : BEST Starting test: Intersite ......................... BEST passed test Intersite Starting test: FsmoCheck ......................... BEST passed test FsmoCheck

Цитата Oleg Krylov:

Запущена ли служба FRS? »

а как она правильно называется в службах?

Ага, Служба репликации файлов работает на обеих серверах.

[Oleg Krylov]

Запустите netdiag с ключом /v для более подробного вывода. У Вас после проблем с DNS FQDN обоих контроллеров разрешаются в адреса? Эти события давно возникали?
FRS - File Replication Service (Служба репликации файлов)
На вопрос об имени домена ответьте, пожалуйста. Он у Вас не просто BEST называется?

[Akella2007]

Спасибо за ссылку, читаю. Могут возникнуть непонятки и вопрос. Вот первое:

Цитата:

1. Убедитесь, что право «Сетевой доступ к этому компьютеру» в политике безопасности исходного сервера предоставлено учетной записи сервера назначения. Это можно сделать для группы «Контроллеры домена предприятия», «Все» или отдельно для сервера назначения.

Как и где это проверить?

[Oleg Krylov]

Default Domain Controller Policy\Computer Settings\Local Policy, ну или как то так....

[Akella2007]

Цитата Oleg Krylov:

У Вас после проблем с DNS FQDN обоих контроллеров разрешаются в адреса? »

После каких проблем?

Вот пинги с доп. КД.

Цитата:

ping server Обмен пакетами с server.BEST [192.168.10.200] с 32 байт данных: Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128 Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128 Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128 Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128 Статистика Ping для 192.168.10.200: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек C:\Documents and Settings\akella>ping server.best Обмен пакетами с server.BEST [192.168.10.200] с 32 байт данных: Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128 Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128 Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128 Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128 Статистика Ping для 192.168.10.200: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Странно, что ответ идёт от 200, а не от 253. 192.168.10.200 - это адрес сервера ВПН, ВПН настроена на PDC 192.168.10.253. ВПН поднял недавно, а проблемы с репликацией уже очень давно.