DNS WS2003SP2 VS WS2012R2 - нет доступа
 

Если тема поднималась - ткните носом. Я сам не нашел.
Итак домен предприятия работал много лет на двух DC WS2003SP2, но добавили еще один DC на WS2012R2.
Зашел без ошибок, но! теперь консоль DNS с рабочего стола 2003 не может подключиться к 2012. Ошибка - отказано в доступе. Наоборот - все работает.
ИМХО поэтому не могу корректно понизить роли старых DC до рядового сервера.
dcdiag ошибок не выдает. Куда копать?
ПыСы: на 2012 есть ошибка запуска службы политики диагностики. Завершена - отказано в доступе.

Смотри настройки файервола. И если dcdiag не выдаёт ошибок, то можно понижать старые сервера, так как консоль DNS вообще тут не нужна, особенно при подключении со старого на новый сервер.

Консоль может и не нужна, а вот понижение не проходит с ошибкой - "отказано в доступе"
При первом запуске dcpromo получаем ошибку, что службу netlogon не удалось остановить из-за таймаута.
А второй раз при запуске получаю ошибку - отказано в доступе

И потом вот такая ошибка

И потом ошибка
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.ASO>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERVER-PAMIR
Starting test: Connectivity
The host aface639-9d36-4454-b850-ecdc0d8b24b6._msdcs.aso.net could not
be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(aface639-9d36-4454-b850-ecdc0d8b24b6._msdcs.aso.net) couldn't be
resolved, the server name (server-pamir.aso.net) resolved to the IP
address (192.168.1.4) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... SERVER-PAMIR failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER-PAMIR
Skipping all tests, because server SERVER-PAMIR is
not responding to directory service requests

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : aso
Starting test: CrossRefValidation
......................... aso passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... aso passed test CheckSDRefDom

Running enterprise tests on : aso.net
Starting test: Intersite
......................... aso.net passed test Intersite
Starting test: FsmoCheck
......................... aso.net passed test FsmoCheck

C:\Documents and Settings\Администратор.ASO>

На новом DC возникла вот такая ошибка
Запуск проверки: Replications
[Replications Check,DC-WS2012R2] Сбой при последней попытке
репликации:
Из SERVER-PAMIR в DC-WS2012R2
Контекст именования: DC=ForestDnsZones,DC=aso,DC=net
При репликации возникла ошибка (8439):
Для этой операции репликации указано недопустимое различающееся имя.


Сбой возник в 2021-07-12 08:55:34.
Последняя успешная операция была в 2021-07-12 07:55:34. После
последней успешной операции было
1 сбоев.
[SERVER-PAMIR] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
[Replications Check,DC-WS2012R2] Сбой при последней попытке
репликации:
Из SERVER-PAMIR в DC-WS2012R2
Контекст именования: DC=DomainDnsZones,DC=aso,DC=net
При репликации возникла ошибка (8439):
Для этой операции репликации указано недопустимое различающееся имя.


Сбой возник в 2021-07-12 08:55:34.
Последняя успешная операция была в 2021-07-12 08:06:29. После
последней успешной операции было
3 сбоев.
......................... DC-WS2012R2 - не пройдена проверка
Replications

Тогда надо начать с вывода ipconfig /all со всех трёх КД, запуска dcdiag /e /v и результатов работы repadmin /showrepl на всех трёх КД.

Тогда начнем!
три КД. один новый 2012 и два 2003.
ipconfig 2003-server.pamir
WS2021-r2

C:\Users\Администратор.ASO>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DC-WS2012R2
Основной DNS-суффикс . . . . . . : aso.net
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : aso.net

Ethernet adapter Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE
Физический адрес. . . . . . . . . : 3C-7C-3F-16-83-88
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.200
DNS-серверы. . . . . . . . . . . : 192.168.1.3
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

C:\Users\Администратор.ASO>
server-pamir
C:\Documents and Settings\Администратор.ASO>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server-pamir
Основной DNS-суффикс . . . . . . : aso.net
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : aso.net

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-15-17-46-32-3D
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.4
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.200
DNS-серверы . . . . . . . . . . . : 192.168.1.4
192.168.1.3

C:\Documents and Settings\Администратор.ASO>
server-backup
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.ASO>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server-backup
Основной DNS-суффикс . . . . . . : aso.net
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : aso.net

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT двух портовое сетево
е подключение #2
Физический адрес. . . . . . . . . : 00-0D-61-10-C4-21
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.254
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.200
DNS-серверы . . . . . . . . . . . : 192.168.1.254
192.168.1.3

C:\Documents and Settings\Администратор.ASO>

C:\Documents and Settings\Администратор.ASO>

вот со всех.

Вот репликация

Я бы начал с того, что проверил, запущены ли службы AD на server-pamir.aso.net.

Если запущены, то прописал бы все DNS-сервера на всех КД. При этом указав другие dns первыми, и свой последним.
На следующий день попытался бы решить эту проблему: PS. Вообще есть подозрение, что понижение сервера прошло частично, оставив мусор в AD.

Отчет по результатам проверки DNS:

Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: aso.net
DC-WS2012R2 PASS PASS PASS PASS PASS PASS n/a
server-pamir PASS FAIL PASS PASS PASS FAIL n/a
server-backup PASS PASS PASS PASS PASS PASS n/a
Я правильно понял, что как-то так....

результаты выполнения "dcdiag /s:server-pamir /fix" на server-pamir ( server-pamir_loc) и ws-dc2012r2 (server-pamir_Dcdiag)

PS C:\Users\Администратор.ASO> dcdiag /s:server-pamir /q
Узел aface639-9d36-4454-b850-ecdc0d8b24b6._msdcs.aso.net не удается разрешить в IP-адрес. Проверьте
DNS-сервер, DHCP, имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра.
......................... SERVER-PAMIR - не пройдена проверка Connectivity
Внимание! Сбой при вызове функции DcGetDcName(GC_SERVER_REQUIRED), ошибка 1717
Не удается найти сервер глобального каталога - все глобальные каталоги отключены.
Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1717
Не удается найти основной контроллер домена.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1717
Не удается найти сервер времени.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1717
Не удается найти сервер точного времени.
Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка 1717
Не удается найти центр распространения ключей (KDC) - все KDC отключены.
......................... aso.net - не пройдена проверка LocatorCheck
PS C:\Users\Администратор.ASO> dcdiag /s:server-backup /q
[SERVER-PAMIR] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
......................... SERVER-BACKUP - не пройдена проверка Replications
Недопустимый тип службы: RpcSs на SERVER-BACKUP, текущее значение - WIN32_OWN_PROCESS, ожидаемое значение -
WIN32_SHARE_PROCESS
......................... SERVER-BACKUP - не пройдена проверка Services
PS C:\Users\Администратор.ASO> dcdiag /s:dc-ws2012r2 /q
[SERVER-PAMIR] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
......................... DC-WS2012R2 - не пройдена проверка Replications
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 07/14/2021 08:24:30
Строка события:
Не удалось установить связь DCOM с компьютером 192.168.1.200 через какой-либо из настроенных протоколов; зап
рос от PID 114c (C:\Windows\system32\dcdiag.exe).
......................... DC-WS2012R2 - не пройдена проверка SystemLog
PS C:\Users\Администратор.ASO>

Что говорит команда netdom query fsmo запущенная на КД?

Это на server-pamir
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.ASO>netdom query fsmo
Schema owner DC-WS2012R2.aso.net

Domain role owner DC-WS2012R2.aso.net

PDC role DC-WS2012R2.aso.net

RID pool manager DC-WS2012R2.aso.net

Infrastructure owner DC-WS2012R2.aso.net

The command completed successfully.


C:\Documents and Settings\Администратор.ASO>

Это на DC-WS2012R2
Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Users\Администратор.ASO>netdom query fsmo
Хозяин схемы DC-WS2012R2.aso.net
Хозяин именования доменов DC-WS2012R2.aso.net
PDC DC-WS2012R2.aso.net
Диспетчер пула RID DC-WS2012R2.aso.net
Хозяин инфраструктуры DC-WS2012R2.aso.net
Команда выполнена успешно.


C:\Users\Администратор.ASO>

Все, вроде, хорошо и правильно....

Я с понедельника в отпуске....не хочу оставлять сеть без присмотра в таком состоянии. Вроде ничего критичного, а неприятно.

В общем, если на проблемном сервере службы AD не запущены и удалены (прошло частичное понижение), то нужно ручками вычищать AD от остатков. Мануалов по этому делу полно в Интернете, и про бэкап AD не забываем.

Это на рабочем (новом) ДК, а что с неисправным делать?

Удалить DNS-службу, если она там ещё есть. Убрать все ссылки на этот ДНС в сети. Затем просто удалить Винду.
Но это всё только после того, как будет 100% уверенность в том, что было частичное понижение КД до рядового сервера.