КД сбрасывает общий доступ с папки sysvol - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - КД сбрасывает общий доступ с папки sysvol (http://forum.oszone.net/showthread.php?t=119502)

КД сбрасывает общий доступ с папки sysvol

Ситуация такая. Есть 2 КД. Проблема с тем, что второстепенный КД сбрасывает настройки общего доступа на 2 папки: sysvol и SCRIPTS.

На всех PDC есть папка sysvol: C:\WINDOWS\SYSVOL\sysvol\. sysvol расшарена. Внутри тоже есть папка SCRIPTS: C:\WINDOWS\SYSVOL\sysvol\BEST\SCRIPTS. тоже расшарена.

На второстепенном КД есть само собой эти же папки. Я принудительно их расшириваю и даю такие же права как и на PDC. Через время шары слетают. Т.е. эти 2 папки становятся несшаренными.
Надеюсь понятно объяснил.

В журнале Службы репликации файлов куча предупреждений, не знаю, связано ли это как-то? Если нужно, то выложу.

Что посоветуете? Какая ещё информация может понадобиться?

Выкладывайте события из логов. Приведите разрешения до и после сброса.
P.S. PDC в домене один :)

Ну да, PDC один по идее. А как может быть два? Для полной уверенности как проверить?

Вот всё время такое событие на доп. КД. Через разное время происходит.

Цитата:

Тип события: Предупреждение
Источник события: NtFrs
Категория события: Отсутствует
Код события: 13508
Дата: 08.10.2008
Время: 11:58:26
Пользователь: Н/Д
Компьютер: PROLIANT
Описание:
Служба репликации файлов столкнулась с проблемами при включении репликации с "SERVER" на "PROLIANT" для "c:\windows\sysvol\domain", использующего DNS-имя "server.BEST". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.

[1] FRS не может разрешить DNS-имя "server.BEST" с этого компьютера.
[2] FRS не запущена на "server.BEST".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 00 00 00 00 ....

На PDC в этом же журнале точное такое предупреждение, весь журнал жёлтый. Время предупреждений на доп и основном контроллерах разное

SERVER - это PDC, хозяин всех операций.

Вот сообщения журнала DNS:

Цитата:

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 6702
Дата: 08.10.2008
Время: 11:59:50
Пользователь: Н/Д
Компьютер: PROLIANT
Описание:
DNS-сервер обновил свои записи узла (A). Чтобы убедиться, что с этими интегрированными в DS равноправными DNS-серверами можно провести репликацию с данным сервером, была произведена попытка их динамического обновления с новыми записями. При этом обновлении произошла ошибка. Данные записи содержат код ошибки.

Если этот DNS-сервер не имеет интегрированных в DS партнеров по репликации,
то это сообщение об ошибке можно пропустить.

Если партнеры репликации Active Directory этого DNS-cервера имеют неправильные IP-адреса этого сервера, то они не смогут проводить репликацию с ним.

Чтобы убедиться в правильном проведении репликации:
1) Найдите партнеров репликации Active Directory данного сервера, на которых запущен DNS-сервер .
2) Откройте "Диспетчер DNS" и подключитесь по очереди к каждому из партнеров по репликации.
3) На каждом сервере, проверьте регистрацию узла (запись типа A) для ЭТОГО сервера.
4) Удалите любые записи (A), которые НЕ связанны с IP-адресами этого сервера.
5) Если для этого сервера отсутствуют записи типа (A), добавьте как минимум одну запись (A), связанную с адресом этого сервера, с которой партнер по репликации может контактировать. (Другими словами, если для данного DNS-сервера существует несколько IP-адресов, добавьте по крайней мере один, который находится в той же сети, что и обновляемый Active Directory DNS-сервер.)
6) Отметьте, что не обязательно обновлять сведения КАЖДОГО партнера по репликации. Это необходимо только для тех, чьи записи исправляются, чтобы каждый сервер, реплицирующий данные этого сервера, получал после репликации новые данные.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 7c 26 00 00 |&..

Победить никак не могу. Перечитал много инфы, а толку нету.

Такие ошибки DNS на обеих серверах

хотя работает всё нормально. Если создаешь учётку пользователя на каком-либо сервере, то она появляется и на втором. Записи всех зонах DNS-серверов совпадают.

Вот данные с PDC, такие же разрешения устанавливаю и на доп. КД.
Для папки sysvol
Свойства папки, закладка Доступ, кнопка Разрешения:
Администраторы домена - полный доступ, Все - чтение, Прошедшие проверку полный доступ.

Закладка безопасность: Прошедшие проверку и операторы сервера - чтение и выполнение, Администраторы, System и владелец - полный доступ.

Переключатель "Разрешить наследование..." отмечен.

Для папки scripts, имя в качестве сетевой шары указано NETLOGON
Свойства папки, закладка Доступ, кнопка Разрешения:
Администраторы домена - полный доступ, Все - чтение.

Закладка безопасность: Прошедшие проверку и операторы сервера - чтение и выполнение, Администраторы, System и владелец - полный доступ.
Переключатель "Разрешить наследование..." отмечен.

И до, и после сброса на закладке Безопасность всё также, без изменений. А вот сетевых шар нету.

Теперь перезапускаю службу сетевого входа:

Цитата:

Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\akella>net stop netlogon && net start netlogon
Служба "Сетевой вход в систему" останавливается.
Служба "Сетевой вход в систему" успешно остановлена.

Служба "Сетевой вход в систему" запускается.
Служба "Сетевой вход в систему" успешно запущена.

И шары "слетают". только что проверил.

В журнала ничего такого особенного после перезапуска службы, кроме сообщений, что служба перезапущена и работает.

Результаты netdiag доп. КД:
Всё остальное passed или skiped

Цитата:

Domain membership test . . . . . . : Failed
[WARNING] Ths system volume has not been completely replicated to the local
machine. This machine is not working properly as a DC.

Добавлю, что на доп. КД в сетевых настройках в качестве первичного ДНС сервера указано 127.0.0.1, это правильно?

Запущена ли служба FRS?
Вот еще статейка, как проверять работоспособность и какие могут быть ошибки в службе репликации файлов
http://support.microsoft.com/default...b;en-us;249256
Обратите внимание на раздел "The DSA operation is unable to proceed because of a DNS lookup failure"
У Вас случаем не single-label domain name? (т.е. имя домена состоит из одного слова, например не contoso.com, а просто contoso)

результаты dcdiag на доп. КД.

Цитата:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\PROLIANT
Starting test: Connectivity
......................... PROLIANT passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\PROLIANT
Starting test: Replications
......................... PROLIANT passed test Replications
Starting test: NCSecDesc
......................... PROLIANT passed test NCSecDesc
Starting test: NetLogons
Unable to connect to the NETLOGON share! (\\PROLIANT\netlogon)
[PROLIANT] An net use or LsaPolicy operation failed with error 1203, Ни
одна из служб доступа к сети не смогла обработать заданный сетевой путь..
......................... PROLIANT failed test NetLogons
Starting test: Advertising
Warning: DsGetDcName returned information for \\server.BEST, when we we
re trying to reach PROLIANT.
Server is not responding or is not considered suitable.
......................... PROLIANT failed test Advertising
Starting test: KnowsOfRoleHolders
......................... PROLIANT passed test KnowsOfRoleHolders
Starting test: RidManager
......................... PROLIANT passed test RidManager
Starting test: MachineAccount
......................... PROLIANT passed test MachineAccount
Starting test: Services
......................... PROLIANT passed test Services
Starting test: ObjectsReplicated
......................... PROLIANT passed test ObjectsReplicated
Starting test: frssysvol
......................... PROLIANT passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... PROLIANT failed test frsevent
Starting test: kccevent
......................... PROLIANT passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC0001F60
Time Generated: 10/08/2008 22:01:10
(Event String could not be retrieved)
......................... PROLIANT failed test systemlog
Starting test: VerifyReferences
......................... PROLIANT passed test VerifyReferences

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : BEST
Starting test: CrossRefValidation
......................... BEST passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... BEST passed test CheckSDRefDom

Running enterprise tests on : BEST
Starting test: Intersite
......................... BEST passed test Intersite
Starting test: FsmoCheck
......................... BEST passed test FsmoCheck

Цитата:

Цитата Oleg Krylov

Запущена ли служба FRS? »

а как она правильно называется в службах?

Ага, Служба репликации файлов работает на обеих серверах.

Запустите netdiag с ключом /v для более подробного вывода. У Вас после проблем с DNS FQDN обоих контроллеров разрешаются в адреса? Эти события давно возникали?
FRS - File Replication Service (Служба репликации файлов)
На вопрос об имени домена ответьте, пожалуйста. Он у Вас не просто BEST называется?

Спасибо за ссылку, читаю. Могут возникнуть непонятки и вопрос. Вот первое:

Цитата:

1. Убедитесь, что право «Сетевой доступ к этому компьютеру» в политике безопасности исходного сервера предоставлено учетной записи сервера назначения. Это можно сделать для группы «Контроллеры домена предприятия», «Все» или отдельно для сервера назначения.

Как и где это проверить?

Default Domain Controller Policy\Computer Settings\Local Policy, ну или как то так....

Цитата:

Цитата Oleg Krylov

У Вас после проблем с DNS FQDN обоих контроллеров разрешаются в адреса? »

После каких проблем?

Вот пинги с доп. КД.

Цитата:

ping server

Обмен пакетами с server.BEST [192.168.10.200] с 32 байт данных:

Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128

Статистика Ping для 192.168.10.200:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

C:\Documents and Settings\akella>ping server.best

Обмен пакетами с server.BEST [192.168.10.200] с 32 байт данных:

Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128
Ответ от 192.168.10.200: число байт=32 время<1мс TTL=128

Статистика Ping для 192.168.10.200:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Странно, что ответ идёт от 200, а не от 253. 192.168.10.200 - это адрес сервера ВПН, ВПН настроена на PDC 192.168.10.253. ВПН поднял недавно, а проблемы с репликацией уже очень давно.

Цитата:

Цитата Akella2007

После каких проблем? »

Вот после этих:http://forum.oszone.net/thread-119016.html
Ответьте мне на два вопроса:
1. Имя домена, смотрите вопрос выше. Я не требую реального имени, просто ответьте.
2. Результат netdiag /v

Всё, что умеслилось в буфере командной строки выглядит в виде кракозябров, вот кусок
Owner of the binding path : ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndis5
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: HP NC320i PCIe Gigabit Server Adapter

Owner of the binding path : ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Binding Enabled: Yes
Interfaces of the binding path:
-Interface Name: tdi
Upper Component: ¦ЁюЄюъюы ъышхэЄр WINS (TCP/IP)
Lower Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
-Interface Name: ndiswanip
Upper Component: ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Lower Component: ¦шэшяюЁЄ WAN (IP)

Component Name : ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)
Bind Name: Tcpip
Binding Paths:
Owner of the binding path : ¦ЁюЄюъюы LэЄхЁэхЄр (TCP/IP)

...........................
...........................
...........................

Component Name : +ы¦ч єЁютэ* яЁшыюцхэш*
Bind Name: ALG
Binding Paths:

Component Name : Intel(R) PRO/1000 MT ёхЄхтюх яюфъы¦ўхэшх
Bind Name: {5A6AD332-4C20-401F-87F6-C930010BD84F}
Binding Paths:

Component Name : HP NC320i PCIe Gigabit Server Adapter
Bind Name: {7F9B4AD2-A5AE-4F75-A751-A98747037177}
Binding Paths:

Component Name : ¦шэшяюЁЄ WAN (IP)
Bind Name: NdisWanIp
Binding Paths:

Component Name : ¦Ё*ьющ ярЁрыыхы№эvщ яюЁЄ
Bind Name: {421F04C3-5C33-48A6-A76D-28A8B37F49D8}
Binding Paths:

Component Name : ¦шэшяюЁЄ WAN (PPPoE)
Bind Name: {B0E60F43-C3DC-4B0E-9EBB-C12ADBCB04E1}
Binding Paths:

Component Name : ¦шэшяюЁЄ WAN (PPTP)
Bind Name: {31EC8EA8-7C09-44A5-A83D-CE40886971FC}
Binding Paths:

Component Name : ¦шэшяюЁЄ WAN (L2TP)
Bind Name: {A5F47BD4-8D85-41C5-935B-1A4F9F3546C6}
Binding Paths:

Component Name : RAS рёшэїЁюээvщ рфряЄхЁ
Bind Name: {5CB85306-111B-479D-9703-E9EB5A6E069E}
Binding Paths:

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

попробуйте netdiag /test:NetLogons /v
Про имя домена опять забыли??? Это не шутка, на самом деле, при использовании SLDN есть множество нюансов.

Цитата:

Цитата Oleg Krylov

Он у Вас не просто BEST называется? »

Да BEST, уже несколько лет так, проблемы начались примерно несколько месяцев назад. Были сервера без SP, потом sp1, в итоге щас sp2. Проблемы начались до установки sp2. Из-за чего были проблемы, вот краткая история.
Улетел в тёплые края PDC (Proliant ранее был в качестве PDC). Принудительно захватил все роли на сервер SERVER. Со временем отремонтировали Proliant и включил в домен. Забыл, что он был ранее PDC и сразу включил сервер и подключил к домену. Не знаю, как там серверы дрались между собой за права... но начались проблемы. Я вывел из домена Proliant, опять его ввёл в домен в качестве доп. контроллера. Проблем уменьшилось, всё зараотало более-менее нормально, но вот остались проблемы с DNS и репликацией FRS.

Цитата:

Цитата Oleg Krylov

Про имя домена опять забыли??? Это не шутка, на самом деле, при использовании SLDN есть множество нюансов. »

Ответил: BEST. Про возможные проблемы с одиночным названием домена тоже ранее читал, но было уже поздно. Но по началу всё работало отлично. Было время, что без единой ошибки домен проработал почти год.

Цитата:

Цитата Oleg Krylov

Default Domain Controller Policy\Computer Settings\Local Policy »

Вы уверены, что этого оно?

Цитата:

Цитата Oleg Krylov

попробуйте netdiag /test:NetLogons /v »

Цитата:

netdiag /test:NetLogons /v

Gathering IPX configuration information.
Querying status of the Netcard drivers... Passed
Testing Domain membership... Passed
Gathering NetBT configuration information.

Tests complete.

Computer Name: PROLIANT
DNS Host Name: proliant.BEST
DNS Domain Name: BEST
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 6 Model 15 Stepping 6, GenuineIntel
Hotfixes :
Installed? Name
Yes Q147222

Netcard queries test . . . . . . . : Passed

Information of Netcard drivers:

---------------------------------------------------------------------------
Description: ¦Ё*ьющ ярЁрыыхы№эvщ яюЁЄ
Device: \DEVICE\{421F04C3-5C33-48A6-A76D-28A8B37F49D8}
GetStats failed for '¦Ё*ьющ ярЁрыыхы№эvщ яюЁЄ'. [ERROR_NOT_SUPPORTED]
---------------------------------------------------------------------------
Description: ¦шэшяюЁЄ WAN (PPTP)
Device: \DEVICE\{31EC8EA8-7C09-44A5-A83D-CE40886971FC}

Media State: Connected

Device State: Connected
Connect Time: 00:00:00
Media Speed: 0 bps

Packets Sent: 0
Bytes Sent (Optional): 0

Packets Received: 0
Directed Pkts Recd (Optional): 0
Bytes Received (Optional): 0
Directed Bytes Recd (Optional): 0

[WARNING] The net card '¦шэшяюЁЄ WAN (PPTP)' may not be working because it h
as not received any packets.
---------------------------------------------------------------------------
Description: ¦шэшяюЁЄ WAN (PPPoE)
Device: \DEVICE\{B0E60F43-C3DC-4B0E-9EBB-C12ADBCB04E1}

Media State: Connected

Device State: Connected
Connect Time: 00:00:00
Media Speed: 0 bps

Packets Sent: 0
Bytes Sent (Optional): 0

Packets Received: 0
Directed Pkts Recd (Optional): 0
Bytes Received (Optional): 0
Directed Bytes Recd (Optional): 0

[WARNING] The net card '¦шэшяюЁЄ WAN (PPPoE)' may not be working because it
has not received any packets.
---------------------------------------------------------------------------
Description: ¦шэшяюЁЄ WAN (IP)
Device: \DEVICE\NDISWANIP

Media State: Connected

Device State: Connected
Connect Time: 1 days, 12:07:50
Media Speed: 28 Kbps

Packets Sent: 0
Bytes Sent (Optional): 0

Packets Received: 0
Directed Pkts Recd (Optional): 0
Bytes Received (Optional): 0
Directed Bytes Recd (Optional): 0

[WARNING] The net card '¦шэшяюЁЄ WAN (IP)' may not be working because it has
not received any packets.
---------------------------------------------------------------------------
Description: ¦шэшяюЁЄ WAN (L2TP)
Device: \DEVICE\{A5F47BD4-8D85-41C5-935B-1A4F9F3546C6}
GetStats failed for '¦шэшяюЁЄ WAN (L2TP)'. [ERROR_NOT_SUPPORTED]
---------------------------------------------------------------------------
Description: HP NC320i PCIe Gigabit Server Adapter
Device: \DEVICE\{7F9B4AD2-A5AE-4F75-A751-A98747037177}

Media State: Connected

Device State: Connected
Connect Time: 1 days, 12:07:50
Media Speed: 100 Mbps

Packets Sent: 33979096
Bytes Sent (Optional): 0

Packets Received: 41079020
Directed Pkts Recd (Optional): 40856618
Bytes Received (Optional): 0
Directed Bytes Recd (Optional): 0

---------------------------------------------------------------------------
[PASS] - At least one netcard is in the 'Connected' state.

Per interface results:

Adapter : ¦юфъы¦ўхэшх яю ыюъры№эющ ёхЄш
Adapter ID . . . . . . . . : {7F9B4AD2-A5AE-4F75-A751-A98747037177}

Netcard queries test . . . : Passed

Global results:

Domain membership test . . . . . . : Failed
[WARNING] Ths system volume has not been completely replicated to the local
machine. This machine is not working properly as a DC.
Machine is a . . . . . . . . . : Domain Controller
Netbios Domain name. . . . . . : BEST
Dns domain name. . . . . . . . : BEST
Dns forest name. . . . . . . . : BEST
Domain Guid. . . . . . . . . . : {4D598EF0-64D4-47E3-BCEA-EC15871F9429}
Domain Sid . . . . . . . . . . : S-1-5-21-1882749080-570166038-803007639
Logon User . . . . . . . . . . : Akella
Logon Domain . . . . . . . . . : BEST

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{7F9B4AD2-A5AE-4F75-A751-A98747037177}
1 NetBt transport currently configured.

The command completed successfully

http://support.microsoft.com/kb/300684
Выполните рекомендации. Это опять похоже на проблемы с DNS.
По поводу скриншота: подпункт Локальные политики.
Но, провторюсь, проблемы опять с DNS.

По Вашей ссылке прочёл на сайте M$:

Цитата:

5. Убедитесь, что установлен флажок Доверять компьютеру права представителя на вкладке Общие в диалоговом окне Контроллер_домена: Свойства оснастки «Active Directory — пользователи и компьютеры».

Что-то не нахожу я такого флажка :((

Цитата:

Настройка клиентского компьютера под управлением Windows для выполнения динамического обновления зон DNS с однокомпонентными именами

Выполнил, завтра перезапущу оба сервера, посмотрим.
В любом случае выражаю Вам, Олег особую благодарность. Большое человеческое СПАСИБО!

Интересно, а серверы можно перезагружать одновременно? Или лучше в какой-либо последовательности?

В общем перезапустил сразу оба сервера, перезапускались долго, минут 5, может больше. Зря конечно я сразу оба начал перезапускать. В журналах были ошибки, разные. Не понял сразу - это ошибки до или после перезапуска серверов. Поэтому почистил все журналы и пустил на перезапуск только PDC для начала. PDC перезапустился уже значительно быстрее, минуты две прошло, может меньше. Потом перезапустил доп. КД. Тоже быстро перезапустился. Вот выкладываю ошибки после перезапуска, блин ошибок море:
Ошибки PDC:

Цитата:

Тип события: Предупреждение
Источник события: LSASRV
Категория события: SPNEGO (согласователь)
Код события: 40960
Дата: 09.10.2008
Время: 8:00:18
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Система безопасности обнаружила ошибку проверки подлинности сервера LDAP/SERVER. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 5e 00 00 c0 ^..A

Цитата:

Тип события: Предупреждение
Источник события: NtFrs
Категория события: Отсутствует
Код события: 13508
Дата: 09.10.2008
Время: 8:06:34
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Служба репликации файлов столкнулась с проблемами при включении репликации с "PROLIANT" на "SERVER" для "c:\windows\sysvol\domain", использующего DNS-имя "proliant.BEST". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.

[1] FRS не может разрешить DNS-имя "proliant.BEST" с этого компьютера.
[2] FRS не запущена на "proliant.BEST".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 00 00 00 00 ....

Цитата:

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4015
Дата: 09.10.2008
Время: 7:57:59
Пользователь: Н/Д
Компьютер: SERVER
Описание:
DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 51 00 00 00 Q...

Цитата:

Тип события: Предупреждение
Источник события: DNS
Категория события: Отсутствует
Код события: 409
Дата: 09.10.2008
Время: 7:59:56
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Список ограниченных интерфейсов DNS-cервера содержит IP-адреса, которые не настроены для использования на этом компьютере сервера.

Чтобы проверить и переустановить IP-адреса, которые DNS-сервер должен прослушивать, используйте диспетчер DNS, свойства сервера, диалог интерфейсов. Более подробную информацию можно найти в разделе "Прослушивание ограниченного диапазона IP-адресов DNS-сервером" встроенной справки.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Цитата:

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4010
Дата: 09.10.2008
Время: 8:01:02
Пользователь: Н/Д
Компьютер: SERVER
Описание:
DNS-серверу не удалось создать запись ресурса (RR) для b026f7bf-c047-4dcc-95a6-ccde4c30503e._msdcs.best. в зоне best. Определение Active Directory для этой записи ресурса повреждено или содержит недопустимое DNS-имя. Данные события содержат сведения об ошибке.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 7b 00 00 00 {...

b026f7bf-c047-4dcc-95a6-ccde4c30503e - это запись для server.best.

Цитата:

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4010
Дата: 09.10.2008
Время: 8:01:02
Пользователь: Н/Д
Компьютер: SERVER
Описание:
DNS-серверу не удалось создать запись ресурса (RR) для ffcb5628-c5fe-40dc-be48-0f09c5265378._msdcs.best. в зоне best. Определение Active Directory для этой записи ресурса повреждено или содержит недопустимое DNS-имя. Данные события содержат сведения об ошибке.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 7b 00 00 00 {...

ffcb5628-c5fe-40dc-be48-0f09c5265378 - это запись для proliant.best.

Цитата:

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 6702
Дата: 09.10.2008
Время: 8:01:02
Пользователь: Н/Д
Компьютер: SERVER
Описание:
DNS-сервер обновил свои записи узла (A). Чтобы убедиться, что с этими интегрированными в DS равноправными DNS-серверами можно провести репликацию с данным сервером, была произведена попытка их динамического обновления с новыми записями. При этом обновлении произошла ошибка. Данные записи содержат код ошибки.

Если этот DNS-сервер не имеет интегрированных в DS партнеров по репликации,
то это сообщение об ошибке можно пропустить.

Если партнеры репликации Active Directory этого DNS-cервера имеют неправильные IP-адреса этого сервера, то они не смогут проводить репликацию с ним.

Чтобы убедиться в правильном проведении репликации:
1) Найдите партнеров репликации Active Directory данного сервера, на которых запущен DNS-сервер .
2) Откройте "Диспетчер DNS" и подключитесь по очереди к каждому из партнеров по репликации.
3) На каждом сервере, проверьте регистрацию узла (запись типа A) для ЭТОГО сервера.
4) Удалите любые записи (A), которые НЕ связанны с IP-адресами этого сервера.
5) Если для этого сервера отсутствуют записи типа (A), добавьте как минимум одну запись (A), связанную с адресом этого сервера, с которой партнер по репликации может контактировать. (Другими словами, если для данного DNS-сервера существует несколько IP-адресов, добавьте по крайней мере один, который находится в той же сети, что и обновляемый Active Directory DNS-сервер.)
6) Отметьте, что не обязательно обновлять сведения КАЖДОГО партнера по репликации. Это необходимо только для тех, чьи записи исправляются, чтобы каждый сервер, реплицирующий данные этого сервера, получал после репликации новые данные.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 7c 26 00 00 |&..

В журналах Служба каталогов и Репликация DFS ошибок нет.

Цитата:

Тип события: Предупреждение
Источник события: MSDTC
Категория события: SVC
Код события: 53258
Дата: 09.10.2008
Время: 7:59:52
Пользователь: Н/Д
Компьютер: SERVER
Описание:
MS DTC не удалось правильно обработать событие повышения или понижения уровня контроллера домена. MS DTC продолжит работу и будет использовать текущие настройки безопасности. Сведения об ошибке: d:\srvrtm\com\complus\dtc\dtc\adme\uiname.cpp:9280, Pid: 440
No Callstack,
CmdLine: C:\WINDOWS\system32\msdtc.exe
Данные:
0000: 05 00 07 80 ...?

Цитата:

В общем хотя бы посоветуйте с чего начинать?

СТОП!! Я обратил внимание, что на обеих серверах установлены только SP1. Видать я хотел когда-то установить SP2, но что-то помешало или передумал. Сейчас установлю.
На обеих серверах ещё R2 есть.

Установил, перезапустил оба сервера. Ошибки остались.
В службе репликации файлов ошибка с кодом 13508.
В ДНС 4010 и 6702.

Вот что увидел до установки sp2 в журнале "Служба каталогов"

Цитата:

Тип события: Предупреждение
Источник события: NTDS Replication
Категория события: Репликация
Код события: 2092
Дата: 09.10.2008
Время: 8:59:35
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER
Описание:

Этот сервер является владельцем следующей роли FSMO, но не считает назначение правильным. Для раздела, содержащего FSMO, этот сервер не выполнил успешной репликации ни с одним из партнеров репликации с момента перезапуска этого сервера. Ошибки репликации мешают выполнению проверки для этой роли.

Операции, требующие обращения к хозяину операции FSMO, не смогут выполняться, пока это состояние не будет исправлено.

Роль FSMO: CN=Schema,CN=Configuration,DC=BEST

Действие пользователя:

1. Начальная синхронизация является самой первой репликацией, выполняемой системой при запуске. Ошибка при выполнении начальной синхронизации может быть причиной того, что роль FSMO не может быть проверена. Описание этого процесса содержится в статье базы знаний 305476.
2. Этот сервер имеет одного или несколько партнеров репликации, и репликация завершается ошибкой для всех этих партнеров. Используйте команду "repadmin /showrepl" для отображения ошибок репликации. Исправьте соответствующую ошибку. Например, это могут быть проблемы связи IP, разрешения DNS-имен, проверки подлинности, которые мешают успешному выполнению репликации.
3. В том редком случае, если известно, что все партнеры репликации были неработоспособны, возможно, из-за выполнения обслуживания или восстановления после ошибки, можно принудительно выполнить проверку роли. Это можно сделать с помощью утилиты NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-узле http://support.microsoft.com.

Могут быть затронуты следующие операции:
Схема: нельзя будет изменять схему для этого леса.
Именование доменов: нельзя будет добавлять или удалять домены из этого леса.
PDC: нельзя будет выполнять операции, исполняемые основным контроллером домена, например, обновление групповой политики и сброс паролей для учетных записей, не принадлежащих Active Directory.
RID: нельзя будет выделять новые SID для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности.
Инфраструктура: междоменные ссылки на имена, например, членство в универсальных группах, не будут правильно обновляться, если конечный объект будет перемещен или переименован.

По этой ссылке
http://support.microsoft.com/kb/914032

Цитата:

MORE INFORMATION
...
The operations master role owner does not respond
The operations master role is assigned to a domain controller, but the domain controller has not responded recently. The response is determined by the delta of the last response and by the latency threshold. The default latency threshold is 24 hours. This setting is configurable by modifying the following registry subkey:
HKEY_LOCAL_MACHINE\System\CCS\Services\NTDS\Parameters\

В параметре Src Root Domain Srv записано значение proliant.best, т.е. доп. КД. А должен быть записан PDC?

The response of a domain controller that is not a direct replication partner of an operations master owner is determined by using time stamps on the up-to-date vector updates. Physical remote procedure call (RPC) connectivity between a domain controller and an operations master role owner is not verified.

Вот ещё нашёл, читаю.
http://support.microsoft.com/kb/305476

Я открыл AD - сайты и службы. Там 2 сервера, у каждого есть NTDS Settings. В свойства только у PDC был отмечен флажок, Глобальный каталог, должен ли быть отмечен фалажок на всех КД, в том числе и на доп. КД?

Цитата:

Цитата Oleg Krylov

У Вас после проблем с DNS FQDN обоих контроллеров разрешаются в адреса? »

то были проблемы в другом домене msk.local, там один КД.
А сейчас речь идёт о домене BEST.

Цитата:

Цитата Akella2007

Глобальный каталог, должен ли быть отмечен фалажок на всех КД, в том числе и на доп. КД? »

это как вы захотите.

Цитата:

Цитата Akella2007

На второстепенном КД есть само собой эти же папки. Я принудительно их расшириваю и даю такие же права как и на PDC. »

вообще-то странно что вы их сами принудительно расшариваете. У меня два ДК, и папки расшаривались вместе с установкой обоих ДК.

Цитата:

Цитата exo

вообще-то странно что вы их сами принудительно расшариваете. »

Это только на доп. КД. Мне тоже это кажется странным. Почему служба netlogon сбрасывает шары?

Цитата:

Цитата exo

Цитата Akella2007:
Глобальный каталог, должен ли быть отмечен фалажок на всех КД, в том числе и на доп. КД? »
это как вы захотите. »

тогда спрошу по другому, а как порекомендуют более опытные специалисты, нежели я?

Глобальный каталог должен быть один в сайте, зачем Вам репликация контекста именования в одном сайте? Проблему позже рассмотрю подробнее. Порядок перезагрузки - первым должен прогружаться PDC.

После перезапуска DNS сервера появляются две записи описанные выше с номерами 4010

Цитата:

Цитата Oleg Krylov

Глобальный каталог должен быть один в сайте, »

а по умолчанию сайт один в домене, правильно?

По умолчанию да. А вы проверьте через Active Directory Sites and Services

Вижу только один сайт: Default-First-Site-Name

Все правильно, ну и зачем Вам в нем второй глобальный каталог?
Плюс общая рекомендация выставить зависимость службы Netlogon от DNS. Чтобы первая не стартовала раньше второй. Часть ошибок исчезнет.

Цитата:

Цитата Oleg Krylov

выставить зависимость службы Netlogon от DNS. Чтобы первая не стартовала раньше второй. »

Ну сразу и посоветовали способ, как это сделать. В настройках службы не могу найти.

В реестре ищите. Google в помощь

Цитата:

Цитата Oleg Krylov

Порядок перезагрузки - первым должен прогружаться PDC. »

Точнее, первым должен прогружаться сервер, на котором висит DNS, дабы другие контроллеры подхватили его. Это, конечно, верно только в том случае, если добавочный контроллер является тоже глобальным каталогом :)
А вообще, ситуация, когда добавочный контроллер сбрасывает шары, говорит больше об ошибке в работе AD на данном контроллере, чем на DNS, ведь, когда DNS недоступен, шары же не сбрасываются на серверах :)

Цитата:

Цитата Oleg Krylov

и зачем Вам в нем второй глобальный каталог? »

У меня тоже 2 глобальных каталога, очень удобно при остановке первого контроллера для логона пользователей.

Цитата:

Цитата Akella2007

Добавлю, что на доп. КД в сетевых настройках в качестве первичного ДНС сервера указано 127.0.0.1, это правильно? »

А на этом контроллере установлена служба DNS ? Если нет, то в корне неверно, надо выставлять DNS первичного контроллера.

addiag проводили?

Скажу даже больше, Microsoft рекомендует при наличии двух контроллеров, а это штатная конфигурация, иметь на обоих службу DNS интегрированную в AD. И в качестве DNS-серверов ервым указывается другой контроллер, вторым сам, но не по localhost, а просто его IP.

Спасибо. Так и сделаю.

Цитата:

Цитата Delirium

Точнее, первым должен прогружаться сервер, на котором висит DNS, дабы другие контроллеры подхватили его. »

DNS может висеть на нескольких КД, не правда ли?

Цитата:

Цитата Delirium

У меня тоже 2 глобальных каталога, очень удобно при остановке первого контроллера для логона пользователей. »

Т.е. одновременно 2 глобальных каталога? Или доп. КД Вы делаете ГК только после остановки PDC?

Цитата:

Цитата Delirium

А на этом контроллере установлена служба DNS ? Если нет, то в корне неверно, надо выставлять DNS первичного контроллера. »

Ну конечно установлена.... иначе какой смысл ставить указывать адрес несуществующего DNS ;)

Цитата:

Цитата Delirium

addiag проводили? »

нет ещё, Вас интересуют результаты?

GC назначается при работающем PDC. Чтобы контекст именования было откуда взять. А нужен для логона пользователей при недоступности PDC, чтобы проверить членство в универсальных группах.
Еще парни из Microsoft не ресомендуют делать глобальным каталогом сервер несущий роль Infrastructure Master. Но при установке первого контроллера обе роли на нем. Парадокс.

Цитата:

Цитата Oleg Krylov

Еще парни из Microsoft не ресомендуют делать глобальным каталогом сервер несущий роль Infrastructure Master. »

получается что PDC не должен быть GC?

Или я Вас недопонял?

Да может конечно. в 2003 сервере все сервера являются PDC, вторичных нет. ПРосто если на контроллере не выставлена опция глобального каталога, то он является всего лишь репликацией AD, но авторизацию проводить не сможет. Ну и роли между ними можно разнести.
P.S. Знаю, что нельзя делать, как у меня сейчас, но у меня 2 контроллера, оба глобальные каталоги, на обоих DNS, а все роли только на одном сервере :) Главное, что работает... :)

Цитата:

Цитата Akella2007

Добавлю, что на доп. КД в сетевых настройках в качестве первичного ДНС сервера указано 127.0.0.1, это правильно? »

Цитата:

Цитата Delirium

на форуме есть пару тем, где подробно описывается как настроить свойства TCP/IP с двумя ДК.
И, пожалуйста, забудьте о адресе 127.0.0.1. Грубо говоря, этот адрес нужен лишь системе для внутренних нужд! то что вы его использовали, как уже сказанно, в корне не правильно!

Цитата:

Цитата Delirium

Просто если на контроллере не выставлена опция глобального каталога, то он является всего лишь репликацией AD, но авторизацию проводить не сможет. Ну и роли между ними можно разнести. »

а теперь представим у нас мульён пользователей!!! нагрузка на один ДК будет ооочень большая!
А если подразделения ещё находятся на разных этажах\зданиях?
Вот для этого и "заводим" второй глобальный каталог.
у меня тоже два ДК и два ГК и два ДНС и всё работает кроме ошибки

exo, а ведь я как-то Вашу проблему победил. Не помню. Но очень постараюсь вспомнить.

Akella2007, статью KB257338 читали?

Oleg Krylov, буду ждать. я вроде её победил с помощью DisableDFS 0, но сегодня глянул - опять 25...

Petya V4sechkin, спасибо, уже читаю.

2all, ставлю 2 GC.

Цитата:

Цитата Delirium

в 2003 сервере все сервера являются PDC, вторичных нет. »

да, все PDC равнозначны ну там всё равно есть мастер операций.

на доп КД (proliant) addiag зависает на

Цитата:

C:\Documents and Settings\akella>addiag

Microsoft (R) Software Installation Diagnostics. Version 1.00
Copyright (C) Microsoft Corp 1998-1999. All rights reserved.

Collecting info...

Initializing Remote DS Data...
Initializing Local AppMgmt Registry Data...
Initializing Local AppMgmt File Data...
Initializing Local Windows Installer Data...

Решил поднять тему. Может кому поможет.

Прочитав эту статью
http://support.microsoft.com/kb/316790

Выполнил манипуляции с реестром. На pdc поставил D4, на втором (проблемном) D2 соответственно.
Теперь проблема в следующем (я создал новую тему):
http://forum.oszone.net/showthread.p...95#post1046295

Цитата:

Цитата Akella2007

Akella2007 »

Эх 2009 давно это было, первый курс и все дела.... Отвлёкся!))) Как залечили, если помните?

Цитата:

Цитата Akella2007

http://support.microsoft.com/kb/316790 »

??? Сервер у меня правда 2012. Ручками выставлял, покуда папки сразу не создались, скорей всего из-за неправильной настройки dns, но теперь с dns разобрался, папки создал вручную.