Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Не забираются групповые политики!! (http://forum.oszone.net/showthread.php?t=78447)

dmon_s 29-01-2007 18:57 543176
Не забираются групповые политики!!
 
Здравствуйте, господа!

У мебя на работе наблюдается одна проблема AD, которая очень мешает работать - не забираются групповые политики с контроллера домена.

Проблема обострилась, когда купили еще один сервер. На него я поставил Win2k3_SP1. На основном контроллере домена стоит Win2k_SP4. Также поднят сервер терминалов. После того как я обновил схему на PDC, мне удалось поднять вторичный контроллер домена. Репликация прошла успешно, но в конце вылезло сообщение, что "не может загрузить групповые полики", и просьба перегрузиться.

И тут начались проблемы. Под обычным юзером на Win2k3 войти не могу, пишет мол, "нельзя осуществить интерактивный логон". Зашел, под домменым админом и полез в редактирование групповых политик и был крайне разочарон тем, что "нельзя отобразить оснастку". Хотя до повышения роли сервера gpedit.msc на win2k3_sp1 открывались.

Полазив по eventlog'у я понял, что система не может забрать в PDC эти самые груп. политики. Причем на других машинах, что входят в домен ситуация схожая - не могут загрузить групповые политики и время входа в систему порядку 2 мин.

Папка Sysvol - расшарена, и права доступа указаны согдасно рекоендация MS. Возможно какая-то из политик блочит загрузку клиентами этих политик с сервера.

Помогите разобрать. Сам два дня не вылазил с TechNet'а и ничего не помогло.

Заранее спасибо.

monkkey 30-01-2007 08:49 543375
Цитата:
нельзя осуществить интерактивный логон
Отстутствуют права локального входа на сервер. (Allow logon locally)
gpedit.msc применяется для редактирования локальной политики. Для редактирования доменных политик пользуйтесь соответствующими оснастками. Лучше скачайте с МС GPMC Коды ошибок смотрите на eventid.net

dmon_s 30-01-2007 11:06 543441
Цитата:
Отстутствуют права локального входа на сервер. (Allow logon locally)
gpedit.msc применяется для редактирования локальной политики
Я это знаю и понимаю, но никакие оснастки по работе с политиками домена, локальными политиками не работают, по той причине, что они не реплицируются с основного контроллера AD. Вопрос в том, как сделать доступ этим политикам на контроллере win2k sp4. Какие проверки помогут мне найти причину неполадки? Знающие люди - отзовитесь!!

xoxmodav 30-01-2007 11:13 543444
dmon_s ты бы послушал совет monkkey и не кричал "знающие люди - помогите". Выкладывай номера ошибок из журнала событий с источниками, логи ipconfig /all, dcdiag /v, netdiag /v с обоих контроллеров.

dmon_s 30-01-2007 20:17 543684
Выкладываю логи.
Сначала Основной контроллер домена на win2000:
Код:
Microsoft Windows 2000 [Версия 5.00.2195]
(С) Корпорация Майкрософт, 1985-2000.

C:\Documents and Settings\dmon_s>ipconfig /all

Настройка протокола IP для Windows 2000

        Имя компьютера  . . . . . . . . . : server-1s
        Основной DNS суффикс  . . . . . . : promed
        Тип узла  . . . . . . . . . . . . : Гибридный
        Включена IP-маршрутизация . . . . : Нет
        Доверенный WINS-сервер  . . . . . : Нет
        Порядок просмотра суффиксов DNS . : promed

Адаптер Ethernet Адаптер 1000 MBit:

        DNS суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connect
ion
        Физический адрес. . . . . . . . . : 00-04-23-46-DD-8B
        DHCP разрешен . . . . . . . . . . : Нет
        IP-адрес  . . . . . . . . . . . . : 192.168.0.100
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.0.1
        DNS-серверы . . . . . . . . . . . : 192.168.0.1
                                            192.168.0.100
        Основной WINS-сервер  . . . . . . : 192.168.0.1

-----------------------------------------------
       
C:\Documents and Settings\dmon_s>C:\dcdiag.exe /v

DC Diagnosis

Performing initial setup:
  * Verifing that the local machine server-1s, is a DC.
  * Connecting to directory service on server server-1s.
  * Collecting site info.
  * Identifying all servers.
  * Found 2 DC(s). Testing 1 of them.
  Done gathering initial info.

Doing initial non skippeable tests

  Testing server: Default-First-Site-Name\SERVER-1S
      Starting test: Connectivity
        * Active Directory LDAP Services Check
        SERVER-1S's server GUID DNS name could not be resolved to an
        IP address.  Check the DNS server, DHCP, server name, etc
        Although the Guid DNS name
        (73ac8e18-9401-468b-999e-79bd83f8b149._msdcs.promed) couldn't be
        resolved, the server name (server-1s.promed) resolved to the IP
        address (192.168.0.100) and was pingable.  Check that the IP address
        is registered correctly with the DNS server.
        ......................... SERVER-1S failed test Connectivity

Doing primary tests

  Testing server: Default-First-Site-Name\SERVER-1S
      Skipping all tests, because server SERVER-1S is
      not responding to directory service requests
      Test omitted by user request: Topology
      Test omitted by user request: CutoffServers
      Test omitted by user request: OutboundSecureChannels

  Running enterprise tests on : promed
      Starting test: Intersite
        Skipping site Default-First-Site-Name, this site is outside the scope
        provided by the command line arguments provided.
        ......................... promed passed test Intersite
      Starting test: FsmoCheck
        GC Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        PDC Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        Time Server Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        Preferred Time Server Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        KDC Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        ......................... promed passed test FsmoCheck

---------------------------------------------------------
    Interfaces of the binding path:
        -Interface Name: ndis5
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: Intel(R) PRO/1000 MT Network Connection

        Owner of the binding path : ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: ndiswanip
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: ¦шэшяюЁЄ WAN (IP)


    Component Name : ¦ышхэЄ фы* ёхЄхщ Microsoft
    Bind Name: LanmanWorkstation
    Binding Paths:
        Owner of the binding path : ¦ышхэЄ фы* ёхЄхщ Microsoft
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios_smb
            Upper Component: ¦ышхэЄ фы* ёхЄхщ Microsoft
            Lower Component: ¦ЁюЄюъюы ёююс•хэшщ TCP/IP (ёхрэё SMB)

        Owner of the binding path : ¦ышхэЄ фы* ёхЄхщ Microsoft
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: ¦ышхэЄ фы* ёхЄхщ Microsoft
            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndis5
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: Intel(R) PRO/100 Network Connection

        Owner of the binding path : ¦ышхэЄ фы* ёхЄхщ Microsoft
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: ¦ышхэЄ фы* ёхЄхщ Microsoft
            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndis5
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: Intel(R) PRO/1000 MT Network Connection

        Owner of the binding path : ¦ышхэЄ фы* ёхЄхщ Microsoft
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: ¦ышхэЄ фы* ёхЄхщ Microsoft
            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndiswanip
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: ¦шэшяюЁЄ WAN (IP)


    Component Name : +хёяЁютюфэр* ъюэЇшуєЁрЎш*
    Bind Name: wzcsvc
    Binding Paths:

    Component Name : Steelhead
    Bind Name: RemoteAccess
    Binding Paths:

    Component Name : TхЁтхЁ єфрыхээюую фюёЄєяр
    Bind Name: msrassrv
    Binding Paths:

    Component Name : -шёяхЄўхЁ яюфъы¦ўхэшщ єфрыхээюую фюёЄєяр
    Bind Name: RasMan
    Binding Paths:

    Component Name : ¦ышхэЄ єфрыхээюую фюёЄєяр
    Bind Name: msrascli
    Binding Paths:

    Component Name : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft
    Bind Name: LanmanServer
    Binding Paths:
        Owner of the binding path : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Mi
crosoft
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios_smb
            Upper Component: Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft

            Lower Component: ¦ЁюЄюъюы ёююс•хэшщ TCP/IP (ёхрэё SMB)

        Owner of the binding path : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Mi
crosoft
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft

            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndis5
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: Intel(R) PRO/100 Network Connection

        Owner of the binding path : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Mi
crosoft
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft

            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndis5
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: Intel(R) PRO/1000 MT Network Connection

        Owner of the binding path : Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Mi
crosoft
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: Tыєцср фюёЄєяр ъ Їрщырь ш яЁшэЄхЁрь ёхЄхщ Microsoft

            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndiswanip
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: ¦шэшяюЁЄ WAN (IP)


    Component Name : LэЄхЁЇхщё NetBIOS
    Bind Name: NetBIOS
    Binding Paths:
        Owner of the binding path : LэЄхЁЇхщё NetBIOS
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: LэЄхЁЇхщё NetBIOS
            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndis5
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: Intel(R) PRO/100 Network Connection

        Owner of the binding path : LэЄхЁЇхщё NetBIOS
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: LэЄхЁЇхщё NetBIOS
            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndis5
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: Intel(R) PRO/1000 MT Network Connection

        Owner of the binding path : LэЄхЁЇхщё NetBIOS
        Binding Enabled: Yes
    Interfaces of the binding path:
        -Interface Name: netbios
            Upper Component: LэЄхЁЇхщё NetBIOS
            Lower Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
        -Interface Name: tdi
            Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
            Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
        -Interface Name: ndiswanip
            Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
            Lower Component: ¦шэшяюЁЄ WAN (IP)


    Component Name : QoS RSVP
    Bind Name: RSVP
    Binding Paths:

    Component Name : +с•шщ ъырёёшЇшърЄюЁ яръхЄют
    Bind Name: Gpc
    Binding Paths:

    Component Name : Intel(R) PRO/100 Network Connection
    Bind Name: {18380FE0-707C-4EC3-AE5C-6A554E70973A}
    Binding Paths:

    Component Name : Intel(R) PRO/1000 MT Network Connection
    Bind Name: {A53C2EFD-CC5B-4DCA-BADB-B7CBCBB04121}
    Binding Paths:

    Component Name : ¦шэшяюЁЄ WAN (TхЄхтющ ьюэшЄюЁ)
    Bind Name: NdisWanBh
    Binding Paths:

    Component Name : ¦шэшяюЁЄ WAN (IP)
    Bind Name: NdisWanIp
    Binding Paths:

    Component Name : ¦Ё*ьющ ярЁрыыхы№эvщ яюЁЄ
    Bind Name: {AAB3C471-72A8-46D6-8DDD-E50968186139}
    Binding Paths:

    Component Name : ¦шэшяюЁЄ WAN (PPTP)
    Bind Name: {7344DFF9-B3C6-4208-BF53-C995B781E761}
    Binding Paths:

    Component Name : ¦шэшяюЁЄ WAN (L2TP)
    Bind Name: {10D3E76F-44C1-4987-BB1E-969AB91DACB8}
    Binding Paths:

    Component Name : RAS рёшэїЁюээvщ рфряЄхЁ
    Bind Name: {D531D6F9-60CC-46B1-8CCB-AF710C867FCC}
    Binding Paths:



WAN configuration test . . . . . . : Skipped
    No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Passed
    IPSec policy service is active, but no policy is assigned.

    IPSec Statistics

    Oakley Main Modes            : 0
    Oakley Quick Modes            : 0
    Active Associations          : 0
    Soft Associations            : 0
    Authenticated Bytes Sent      : 0
    Authenticated Bytes Received  : 0
    Confidential Bytes Sent      : 0
    Confidential Bytes Received  : 0
    ReKeys                        : 0

    Authentication Failures      : 0
    Negotiation Failures          : 0
    Packets not decrypted        : 0
    Packets not authenticated    : 0
    Invalid Cookies Rcvd          : 0
    Acquire fail                  : 0
    Receive fail                  : 0
    Send fail                    : 0
    GetSpiFail                    : 0
    KeyAddFail                    : 0
    KeyUpdateFail                : 0

    Active Acquire                : 1
    Active Rcv                    : 0
    Active Send                  : 0
    Total Acquire                : 0
    TotalGetSpi                  : 0
    TotalKeyAdd                  : 0
    TotalKeyUpdate                : 0
    Inactive Associations        : 0
    Dead Associations            : 0
    Pending Keys                  : 0
    Key Flushes                  : 0
    Key Additions                : 0
    Key Deletes                  : 0

    Phase 1 offers count is 4
    OFFER #1:
    PFS : No, Encryption : 3DES, Hash : SHA1, Group : Medium (2)
    Quickmodes per MainMode : 0, Lifetime Seconds : 28800
    OFFER #2:
    PFS : No, Encryption : 3DES, Hash : MD5, Group : Medium (2)
    Quickmodes per MainMode : 0, Lifetime Seconds : 28800
    OFFER #3:
    PFS : No, Encryption : DES, Hash : SHA1, Group : Low (1)
    Quickmodes per MainMode : 0, Lifetime Seconds : 28800
    OFFER #4:
    PFS : No, Encryption : DES, Hash : MD5, Group : Low (1)
    Quickmodes per MainMode : 0, Lifetime Seconds : 28800

    Current Phase 1 SAs:
    No SAs.


    Current Phase 2 SAs:
    No SAs.


The command completed successfully
Теперь смотрим логи доп. контроллера домена win2k3_sp1
Код:
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\dmon_s>ipconfig /all

Windows IP Configuration

  Host Name . . . . . . . . . . . . : file-server
  Primary Dns Suffix  . . . . . . . : promed
  Node Type . . . . . . . . . . . . : Unknown
  IP Routing Enabled. . . . . . . . : No
  WINS Proxy Enabled. . . . . . . . : No
  DNS Suffix Search List. . . . . . : promed

Ethernet adapter Подключение по локальной сети:

  Connection-specific DNS Suffix  . :
  Description . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration
  Physical Address. . . . . . . . . : 00-15-17-11-C4-C0
  DHCP Enabled. . . . . . . . . . . : No
  IP Address. . . . . . . . . . . . : 192.168.0.200
  Subnet Mask . . . . . . . . . . . : 255.255.255.0
  Default Gateway . . . . . . . . . : 192.168.0.1
  DNS Servers . . . . . . . . . . . : 192.168.0.100

-----------------------------------------------

C:\Documents and Settings\dmon_s>D:\dcdiag.exe /v

Domain Controller Diagnosis

Performing initial setup:
  * Verifying that the local machine file-server, is a DC.
  * Connecting to directory service on server file-server.
на этом повисло 
-----------------------------------------------

C:\Documents and Settings\dmon_s>D:\netdiag.exe /v

    Gathering IPX configuration information.
    Querying status of the Netcard drivers... Passed
    Testing Domain membership... Passed
    Gathering NetBT configuration information.
    Testing for autoconfiguration... Passed
    Testing IP loopback ping... Passed
    Testing default gateways... Passed
    Enumerating local and remote NetBT name cache... Passed
    Testing the WINS server
        ¦юфъы¦ўхэшх яю ыюъры№эющ ёхЄш
            There is no primary WINS server defined for this adapter.
            There is no secondary WINS server defined for this adapter.
    Gathering Winsock information.
    Testing DNS
    [WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.0.100'. Please wait for 30 minutes for DNS server replication.
        [FATAL] No DNS servers have the DNS records for this DC registered.
    Testing redirector and browser... Passed
    Testing DC discovery.
        Looking for a DC
        Looking for a PDC emulator
        Looking for a Windows 2000 DC
    Gathering the list of Domain Controllers for domain 'PROMED'
    Testing trust relationships... Passed
    Testing Kerberos authentication... Failed
    Testing LDAP servers in Domain PROMED ...
на этом повисло
Невооруженным глазом видно, что не все впорядке. Подскажите, что делать. Если можно, давайте конкретные рекомендации, а не "иди читай статьи", времени не очень много, да и надоела мне эта вся возня.

Спасибо!!!

xoxmodav 31-01-2007 08:27 543872
1. Этим же самым невооружённым глазом видно, что у тебя имя домена состоит всего из одной метки. В связи с этим может (и обычно возникает) ряд трудностей.
Почитай вот эту статью - Сведения о настройке Windows для доменов с DNS-именем, состоящим из одной метки .

2. Опиши более подробно структуру своей сети. Всё написанное мной ниже - без этого, только догадки.

3. Что у тебя находится по адресу "192.168.0.1"? Компьютер, выполняющий функции интернет-шлюза и основного DNS-сервера предприятия? Укажи на конроллере домена W2000 в настройках сетевого интерфейса первым DNS-сервером - его собственный адрес, дабы он обращался к другому DNS-серверу только в том случае, когда не может сам у себя найти запись.

4. Проверь, чтобы на DNS-серверах включено и разрешено динамическое обновление адресов, так как ни основной на "192.168.0.1", ни дополнительный на "192.168.0.100" не смогли зарегистрироваться.

5. В настройках дополнительного контроллера добавь адрес своего WINS-сервера.

Цитата:
Если можно, давайте конкретные рекомендации, а не "иди читай статьи", времени не очень много, да и надоела мне эта вся возня.
Без обид - не надо ёрничать. Если бы перед тем как задать вопрос, ты сначала соизволил прочитай правила данного раздела форума и согласно им изначально описал проблему, то скорость её решения сразу же возрасла в разы.

Да и номера ошибок из системного "Просмотра событий" (Журнала событий) с их источниками с обоих контроллеров ты так и не указал.

dmon_s 31-01-2007 17:37 544139
Выкладываю номера ошибок из журнала основного контроллера:

Код:
Тип события:        Предупреждение
Источник события:        SceCli
Категория события:        Отсутствует
Код события:        1202
Дата:                31.01.2007
Время:                16:14:09
Пользователь:                Нет данных
Компьютер:        SERVER-1S
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.

--------

Тип события:        Предупреждение
Источник события:        MRxSmb
Категория события:        Отсутствует
Код события:        3019
Дата:                31.01.2007
Время:                16:06:35
Пользователь:                Нет данных
Компьютер:        SERVER-1S
Описание:
Перенаправитель не смог определить тип подключения.

-----------

Тип события:        Предупреждение
Источник события:        NTDS KCC
Категория события:        Проверка согласованности знаний
Код события:        1265
Дата:                31.01.2007
Время:                16:32:05
Пользователь:                Нет данных
Компьютер:        SERVER-1S
Описание:
Неудачная попытка установить связь репликации с параметрами
 
 Раздел: CN=Schema,CN=Configuration,DC=promed
 DN исходного DSA: CN=NTDS Settings,CN=FILE-SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=promed
 Адрес исходного DSA: e7429f61-0947-4b26-ab18-21b7f2c5e0ef._msdcs.promed
 Межсайтовый транспорт (если есть):
 
 прервана в следующем состоянии:
 
 Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.
 
 В данных содержится ход состояния. Операция будет повторена.
Данные:
0000: 4c 21 00 00              L!..
Логи доп. контроллера куда долее посущественней:
Код:
Тип события:        Ошибка
Источник события:        Userenv
Категория события:        Отсутствует
Код события:        1030
Дата:                31.01.2007
Время:                16:17:09
Пользователь:                NT AUTHORITY\SYSTEM
Компьютер:        FILE-SERVER
Описание:
Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

--------------

Тип события:        Ошибка
Источник события:        Userenv
Категория события:        Отсутствует
Код события:        1097
Дата:                31.01.2007
Время:                16:22:09
Пользователь:                NT AUTHORITY\SYSTEM
Компьютер:        FILE-SERVER
Описание:
Не удалось найти учетную запись компьютера, Не удается установить связь с локальным администратором безопасности .

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

------------

Тип события:        Ошибка
Источник события:        Userenv
Категория события:        Отсутствует
Код события:        1090
Дата:                31.01.2007
Время:                16:22:40
Пользователь:                NT AUTHORITY\SYSTEM
Компьютер:        FILE-SERVER
Описание:
Windows не удалось записать в журнал состояние сеанса RSoP. Попытка подключения к WMI не удалась. Дальнейшее протоколирование RSoP не будет выполняться для этого применения политики.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

-------------

Тип события:        Ошибка
Источник события:        DCOM
Категория события:        Отсутствует
Код события:        10005
Дата:                31.01.2007
Время:                14:25:45
Пользователь:                PROMED\vika
Компьютер:        FILE-SERVER
Описание:
Ошибка DCOM "Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены. " при попытке запуска службы StiSvc с аргументами "" для запуска сервера:
{A1F4E726-8CF1-11D1-BF92-0060081ED811}

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

----------------

Тип события:        Ошибка
Источник события:        NTDS Replication
Категория события:        Репликация
Код события:        1864
Дата:                31.01.2007
Время:                10:26:35
Пользователь:                NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер:        FILE-SERVER
Описание:
Состояние репликации для следующего раздела каталога на локальном контроллере домена.
 
Раздел каталога:
CN=Configuration,DC=promed
 
Локальный контроллер домена давно не получал данные репликации с нескольких контроллеров домена.  Далее приведено количество контроллеров домена с разделением по интервалам.
 
Более 24 часов:
1
Более недели:
1
Более месяца:
0
Более двух месяцев:
0
Более времени жизни захоронения:
0
Время жизни захоронения (в днях):
60
 Возможно, контроллеры домена не выполняют репликацию вовремя из-за ошибок. Возможно, они пропустили смену пароля и не могут пройти проверку подлинности. Возможно, контроллер домена, не выполнивший репликацию в течение времени жизни захоронения, пропустил удаление некоторых объектов и был автоматически заблокирован до согласования.
 
Чтобы идентифицировать контроллеры домена по именам, установите средства поддержки с установочного  компакт-диска и запустите программу dcdiag.exe.
Также можно использовать средство поддержки repadmin.exe для отображения задержек репликации контроллеров домена в лесе.  Команда: "repadmin /showvector /latency <partition-dn>".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

-------------------

Тип события:        Ошибка
Источник события:        NTDS Inter-site Messaging
Категория события:        Служба межсайтовых сообщений
Код события:        1824
Дата:                31.01.2007
Время:                9:29:13
Пользователь:                Н/Д
Компьютер:        FILE-SERVER
Описание:
Служба межсайтовых сообщений получила указание выполнить операцию привязки LDAP.  Операция не выполнена.
 Сообщение об ошибке:
 
Служба не ответила на запрос своевременно.
 
Дополнительные данные
Значение ошибки:
1053

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

-----------------

Тип события:        Предупреждение
Источник события:        DNS
Категория события:        Отсутствует
Код события:        4013
Дата:                31.01.2007
Время:                16:11:38
Пользователь:                Н/Д
Компьютер:        FILE-SERVER
Описание:
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для использования информации службы каталогов и не может работать без доступа к данному каталогу. Для запуска DNS-cервера необходимо дождаться доступа  к каталогу. Если DNS-сервер был запущен, а соответствующее событие не отражено  в журнале, это означает, что он все еще ждет получения доступа к данному каталогу, чтобы начать работу.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: f5 25 00 00              õ%..   

----------

Тип события:        Предупреждение
Источник события:        NtFrs
Категория события:        Отсутствует
Код события:        13565
Дата:                31.01.2007
Время:                9:26:49
Пользователь:                Н/Д
Компьютер:        FILE-SERVER
Описание:
Служба репликации файлов инициализирует системный том с помощью данных с другого контроллера домена. Компьютер FILE-SERVER не может принять роль контроллера домена, пока этот процесс не будет завершен. Этот системный том станет общим ресурсом под именем SYSVOL.
 
Чтобы проверить наличие общего ресурса SYSVOL, введите:
net share
 
После завершения процесса инициализации службой репликации файлов должен появиться общий ресурс SYSVOL.
 
Для инициализации системного тома требуется некоторое время. Оно зависит от объема данных на системном томе, от наличия других контроллеров домена, и от частоты репликаций между контроллерами доменов.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

dmon_s 31-01-2007 20:04 544199
Цитата:
Что у тебя находится по адресу "192.168.0.1"? Компьютер, выполняющий функции интернет-шлюза и основного DNS-сервера предприятия?
Да инет-шлюз (kerio winroute 6). DNS-сервака нет.
Цитата:
Укажи на конроллере домена W2000 в настройках сетевого интерфейса первым DNS-сервером - его собственный адрес, дабы он обращался к другому DNS-серверу только в том случае, когда не может сам у себя найти запись
Указал. Только помоему толку мало:
Код:
Microsoft Windows 2000 [Версия 5.00.2195]
(С) Корпорация Майкрософт, 1985-2000.

C:\Documents and Settings\dmon_s>ipconfig /all

Настройка протокола IP для Windows 2000

        Имя компьютера  . . . . . . . . . : server-1s
        Основной DNS суффикс  . . . . . . : promed
        Тип узла  . . . . . . . . . . . . : Широковещательный
        Включена IP-маршрутизация . . . . : Нет
        Доверенный WINS-сервер  . . . . . : Нет
        Порядок просмотра суффиксов DNS . : promed

Адаптер Ethernet Адаптер 1000 MBit:

        DNS суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connect
ion
        Физический адрес. . . . . . . . . : 00-04-23-46-DD-8B
        DHCP разрешен . . . . . . . . . . : Нет
        IP-адрес  . . . . . . . . . . . . : 192.168.0.100
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.0.1
        DNS-серверы . . . . . . . . . . . : 192.168.0.100

------------------------

C:\Documents and Settings\dmon_s>c://dcdiag /v

DC Diagnosis

Performing initial setup:
  * Verifing that the local machine server-1s, is a DC.
  * Connecting to directory service on server server-1s.
  * Collecting site info.
  * Identifying all servers.
  * Found 2 DC(s). Testing 1 of them.
  Done gathering initial info.

Doing initial non skippeable tests

  Testing server: Default-First-Site-Name\SERVER-1S
      Starting test: Connectivity
        * Active Directory LDAP Services Check
        SERVER-1S's server GUID DNS name could not be resolved to an
        IP address.  Check the DNS server, DHCP, server name, etc
        Although the Guid DNS name
        (73ac8e18-9401-468b-999e-79bd83f8b149._msdcs.promed) couldn't be
        resolved, the server name (server-1s.promed) resolved to the IP
        address (192.168.0.100) and was pingable.  Check that the IP address
        is registered correctly with the DNS server.
        ......................... SERVER-1S failed test Connectivity

Doing primary tests

  Testing server: Default-First-Site-Name\SERVER-1S
      Skipping all tests, because server SERVER-1S is
      not responding to directory service requests
      Test omitted by user request: Topology
      Test omitted by user request: CutoffServers
      Test omitted by user request: OutboundSecureChannels

  Running enterprise tests on : promed
      Starting test: Intersite
        Skipping site Default-First-Site-Name, this site is outside the scope
        provided by the command line arguments provided.
        ......................... promed passed test Intersite
      Starting test: FsmoCheck
        GC Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        PDC Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        Time Server Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        Preferred Time Server Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        KDC Name: \\server-1s.promed
        Locator Flags: 0xe00001fd
        ......................... promed passed test FsmoCheck
Цитата:
Проверь, чтобы на DNS-серверах включено и разрешено динамическое обновление адресов, так как ни основной на "192.168.0.1", ни дополнительный на "192.168.0.100" не смогли зарегистрироваться.
Проверил. На 192.168.0.100 включил на зоне ".".

xoxmodav 01-02-2007 08:41 544334
Ссылки по ошибкам:
1202
3019
1265
1542
1097
1090
10005
1864
1824
4013
13565

Статью, ссылку на которую давал тебе выше читал?

Динамическое обновление надо было включать на зоне, которая к твоей локальной сети относится, а не на корне ("."). Кстати - так и не понял, для чего ты добавил на свой локальный сервер корневую зону, если не трудно - поясни.

Подозреваю, что на шлюзе и WINS-сервер не установлен, если это так - вбей в настройки сетевого интерфейса правильный адрес или убери его вообще, если WINS-сервера нет.

По-моему все твои проблемы из-за неправильно настроенного DNS.

dmon_s 01-02-2007 13:41 544469
Цитата:
Статью, ссылку на которую давал тебе выше читал?
Да, сегодня поэкспериментирую.
Цитата:
Динамическое обновление надо было включать на зоне, которая к твоей локальной сети относится, а не на корне ("."). Кстати - так и не понял, для чего ты добавил на свой локальный сервер корневую зону, если не трудно - поясни.
На зоне promed я включил динамическое обновление перед установкой доп. контроллера. А корневая зона была создана еще до меня. Кто и как настраивал - неясно.
Цитата:
Подозреваю, что на шлюзе и WINS-сервер не установлен, если это так - вбей в настройки сетевого интерфейса правильный адрес или убери его вообще, если WINS-сервера нет.
WINS-сервера нет. С настроек убрал, что и видно с последних логов.
Цитата:
По-моему все твои проблемы из-за неправильно настроенного DNS.
Однозначно сказать нельзя, но буду копать в этом направлении.
О результатах обязательно расскажу.

dmon_s 15-02-2007 14:27 550380
После длительных експериментов, я могу сделать вывод, что 90% ошибок AD - это ошибки DNS. Разрешение динамического обновления убрало кучу ошибок.
Но тем не менее, мне остаются непонятными некоторые вещи, которые возникают на доп. контроллере домена :
1. Почему при диагностике dcdiag.exe /v выдает результат, что не может подключится к локальному LDAP сервису.
В журнале ошибок я не нашел инф. про ошибки LDAP.
2. Почему когда я создал в DNS зону основного просмотра и стянул ее с основного сервера, после перезагрузки все слетело.
3. Папка Sysvol до сих пор пуста и не реплицируется с основного сервера.

Возможно мне стоит скачать и поставить пре-SP2 для win2k3 с официального сайта? Что еще посоветуете?

Ferum01 15-02-2007 20:19 550543
Я конечно не специалист в таком вопросе, но судя по такому количеству проблем, лучше с нуля поднять два контроллера домена (при чем, оба желательно с сервер 2003)... На это есть несколько причин, собственно исправить проблему, второе репликации на вин 2003 более оптимизированы (меньше трафика кушают), третье полная репликация DNS сервера...

dmon_s 19-02-2007 14:34 552434
Цитата:
судя по такому количеству проблем, лучше с нуля поднять два контроллера домена (при чем, оба желательно с сервер 2003)
Похоже так и сделаю. Мне проще будет создать новый домен типа domen.local и при помощи ADMT стянуть аккаунты юзеров, чем рыться в глюках репликации и еще хрен знает чего! Тема закрывается.


Время: 16:38.

Время: 16:38.
© OSzone.net 2001-