Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] ошибки dcdiag (http://forum.oszone.net/showthread.php?t=146463)

podbot 28-07-2009 15:23 1179833
ошибки dcdiag
 
Всех приветствую, история моя такова:
Изначально существовал корневой домен (DC1) с тремя КД
dc1_1 (PDC,RID,Infrastructure), dc1_2 (Scheme master, Domain naming master), dc1_3 (без ролей).
Недавно установил второй домен (DC2) в этом лесу, отдельное дерево, на КД dc2_1,
в него мигрировал юзверей и компьютеры с третьего домена
и после этого поднял во втором домене дополнительный контроллер домена dc2_2

На всех КД ошибок в dcdiag нет, репликации проходят (repadmin -syncall проходит с 0 ошибок)
Но! на КД dc2_2 валится вот это:

Код:
Domain Controller Diagnosis

Performing initial setup:
  Done gathering initial info.

Doing initial required tests

  Testing server: DC2\dc2_2
      Starting test: Connectivity
        ......................... dc2_2 passed test Connectivity

Doing primary tests

  Testing server: DC2\dc2_2
      Starting test: Replications
        ......................... dc2_2 passed test Replications
      Starting test: NCSecDesc
        ......................... dc2_2 passed test NCSecDesc
      Starting test: NetLogons
        ......................... dc2_2 passed test NetLogons
      Starting test: Advertising
        ......................... dc2_2 passed test Advertising
      Starting test: KnowsOfRoleHolders
        [dc1_2] DsBindWithSpnEx() failed with error -2146892976,
        Win32 Error -2146892976.
        Warning: dc1_2 is the Schema Owner, but is not responding to DS RPC Bin
d.
        [dc1_2] LDAP bind failed with error 8341,
        Win32 Error 8341.
        Warning: dc1_2 is the Schema Owner, but is not responding to LDAP Bind.

        [dc1_1] DsBindWithSpnEx() failed with error -2146892976,
        Win32 Error -2146892976.
        Warning: dc1_1 is the Domain Owner, but is not responding to DS RPC Bind.
        [dc1_1] LDAP bind failed with error 8341,
        Win32 Error 8341.
        Warning: dc1_1 is the Domain Owner, but is not responding to LDAP Bind.
        ......................... dc2_2 failed test KnowsOfRoleHolders
      Starting test: RidManager
        ......................... dc2_2 passed test RidManager
      Starting test: MachineAccount
        ......................... dc2_2 passed test MachineAccount
      Starting test: Services
        ......................... dc2_2 passed test Services
      Starting test: ObjectsReplicated
        ......................... dc2_2 passed test ObjectsReplicated
      Starting test: frssysvol
        ......................... dc2_2 passed test frssysvol
      Starting test: frsevent
        ......................... dc2_2 passed test frsevent
      Starting test: kccevent
        ......................... dc2_2 passed test kccevent
      Starting test: systemlog
        ......................... dc2_2 passed test systemlog
      Starting test: VerifyReferences
        ......................... dc2_2 passed test VerifyReferences

  Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
        ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... DomainDnsZones passed test CheckSDRefDom

  Running partition tests on : DC2
      Starting test: CrossRefValidation
        ......................... DC2 passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... DC2 passed test CheckSDRefDom

  Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
        ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... ForestDnsZones passed test CheckSDRefDom

  Running partition tests on : Schema
      Starting test: CrossRefValidation
        ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... Schema passed test CheckSDRefDom

  Running partition tests on : Configuration
      Starting test: CrossRefValidation
        ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... Configuration passed test CheckSDRefDom

  Running enterprise tests on : DC1
      Starting test: Intersite
        ......................... DC1 passed test Intersite
      Starting test: FsmoCheck
        ......................... DC1 passed test FsmoCheck
подумал, что ошибку 8341 устраню передав роли с DC1_2 на DC1_1, но не помогло, мало того, DC2_2 до сих пор считает, что Scheme Owner это DC1_2, хотя все 5 ролей FSMO сейчас на DC1_1.

Топология сети такая - все КД находятся в одной сети кроме DC2_2, между сетями настроена маршрутизация, порты 88, 389 не закрыты.

В общем то ошибки себя никак не проявляют, кроме того, что пользвоатели из DC1 не могут зайти по RDP на терминальный сервер в DC2, после 2 минутной паузы после ввода пароля получают ошибку access denied.

На DC2_2 в системлогах есть ошибки LsaSrv ID 40960

The Security System detected an authentication error for the server ldap/a023ac6c-79b2-4830-ad25-d5aad580358d._msdcs.core.ufanet.ru. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".

monkkey 28-07-2009 15:46 1179849
Цитата:
Цитата podbot
Но! на КД dc2_2 валится вот это: »
Цитата:
Цитата podbot
все КД находятся в одной сети кроме DC2_2 »
Значит, не все порты открыты
Цитата:
Цитата podbot
порты 88, 389 не закрыты. »
Этого недостаточно.
Для примера Настройка брандмауэра для установления доверительных отношений между доменами

podbot 29-07-2009 09:12 1180397
Проверили маршрутизатор, ничего не блокируется, но при запуске dcdiag на dc2_2 корневой домен не отвечает на запрос по 88 порту.

podbot 29-07-2009 15:39 1180723
попробовал сбросить пароль для учётки dc2_2 ничего не изменилось.

podbot 30-07-2009 12:04 1181378
больше ни у кого идей нет? :(

Dimas_83 31-07-2009 22:10 1182732
А что говорит repadmin?

podbot 03-08-2009 07:56 1184017
Цитата:
Цитата Dimas_83
А что говорит repadmin? »
принудительная репликация repadmin на всех контроллерах проходит без ошибок

podbot 04-08-2009 10:57 1185043
Сегодня попробую опустить роль АД на DC2_2, перевонать его в домен и заново поднять на нём допольнительный КД.

podbot 05-08-2009 13:17 1186165
О ужас.
Цитата:
Цитата podbot
Сегодня попробую опустить роль АД на DC2_2, перевонать его в домен и заново поднять на нём допольнительный КД. »
Не помогло.
Дело оказалось в том, что маршрутизатор не пропускал фрагментированные пакетики UDP. Стоило увеличить макс. величину пакета, проблема исчезла. Кстати, при запуске dcdiag с контроллера DC2_1 для удалённой проверки DC2_2 не наблюдалось :)


Время: 23:00.

Время: 23:00.
© OSzone.net 2001-2025