Некоректно работает доменная структура, проблемы с АД.
 

Здравствуйте, прошу помочь или советами, или своими мыслями по поводу моей проблемы.
Итак, имеется 3 сервера, 1 из них находится в отдельном здании, остальные в головном офисе. Все затянуты в АД, и сделаны контроллерами домена, по старшинству, 1 главный остальные резервные.
Плюс на одном установлена почтовая программа, и является также прокси сервером.
Суть Server 1 - Server 2 - Server 3.
На первом используются пара расшареных папок для юзеров, с разными правами доступа, Является DHCP-сервером и DNS-сервером. На втором только общие папки, и принт сервер, на третьем только почта и прокся. Начались проблемы после странной перезагрузки первого сервера (самого главного), и было это сделано в связи с установкой Админ Кит от Касперского. После перезагрузки, сбросилась Дата на 2006 год, большинство пользователей заведённых в АД на этом сервере, попросту отпали и не могут войти в домен под своими логинами и паролями, у некоторых не воспринимается соединение до почтового сервера (но это скорее проблема в паролях, хотя подозреваю что проблема в настройках АД именно у него).
Сетевые ресурсы сервера 1го недоступны, Хотя, я как админ захожу на него и никаких проблем не испытываю, но сами пользователи при обращении к нему, сразу выдаётся сообщение что недостаточно прав на использование этих сетевых ресурсов.
Я перепробовал переоснастить сервер, пробовал перезатянуть Актив директори с бэкапов, но ничего не помогает, после, в некоторых случаях, в течении дня, заметил закономерность, почему то перезагрузив компьютер юзера, связь и работа возобновляется у него, а вот с сервером никаких манипуляций не произвожу. В АД так же имеются сетевые принтеры, но при поиске на машинах юзера они не видны, опять если ребут поможет всё увидит.
В домене более 150 юзеров, как исправить уже не знаю.
В ДНС у каждого юзера указаны первый и третий сервера.

Оказалось что теперь 2 из 3х серверов работают некорректно, по сети теперь и второй не виден для обычных пользователей. 3ий, почта и прокся пока стабильно держится.
При открытии второго сервера через сетевое окружение выдаётся ошибка: Сеть недоступна. Сеть отсутствует или не запущена.

P.s. Ранее, в домене было 5 серверов, 2 из них упали, восстановить не представляло возможности, оборудование списали и уничтожили путём утилизации, но в АД в списке серверов, они активны, как их оттуда удалить?
P.S.S. ОС 2003 SP2 (Enterprise Edition)

Со вторым сервером разобрался, программно отпал сетевой интерфейс, но всё так же есть проблемы с доступом по некоторым папкам.

- Насколько я помню Админ Кит от Касперского - это средство для централизованного управления
клиентами с Касперским - ты проверял а не применились ли к твоим серверам какие-нибудь дефолтные политики от Касперского?
Если все нормально с политиками запусти на первом контроллере dcdiag и посмотри результат.

- Контроллеры домена на Win 2003 Server все равнозначны и хранят одну и туже информацию

- а эти сервера тоже были контроллерами домена, или просто членами домена?

- Странно а зачем было поднимать контроллер домена на сервере с выходом в интернет - в случае
его заражения наверняка зараза пройдет и на другие сервера

Политики Касперского как раз таки все оптимальны, как и с ними так и без него, всё одинаково выглядит.
Согласен, но я имел ввиду, то, что на первом сервере (проблемном), создавая юзера и его логин и пароль, не осуществляется вход с компа, но создав пользователя на другом сервере АД, по сути всё приводит к рабочей ситуации, возникает впечатление, что они идут с привилегиями от первого сервера к остальным, но каким то образом не объединяются, где-то зарыта проблема на первом сервере.
Да, те 2 убитых сервера тоже были контроллерами... Их до меня убили, поэтому и не знаю как их вывести.Прокся переносится, временно, пока стоит на АД.

- видимо проблема с репликацией
Что говорит DCdiag?

Как ни странно, но такой команды как DCdiag он не знает.

support tools установи
на компашке с дистрибутивом support\tools\suptools.msi

Эм. Компашки нету как раз таки, она была установлена давным давно. и ни разу не бэкапилась. По сути, подойдёт ли от другой компашки программа?

Подойдет от любого дистрибутива с win 2003

Вот результат, затёр лишь имя домена, как никак нужно хоть что то ведь скрыть.
Как видно, действительно есть проблемы, прошу обратить внимание на SRV-06 - > вот он как раз и умер, его физически нет, а в АД числится как сервер.

хочу заметить что даже просто SRV как какой-либо машины, в сети нет.

CyberNinja,
Выложите куда-нибудь ipconfig /all и dcdiag со всех трех оставшихся у вас КД

:)

выведи в текстовый файл и отредактируй то что не хочешь показывать а потом выложи здесь
потом открой Active Directory Sites and Services (сайты и службы - если русская версия сервера)
и посмотри кто у тебя там присутствует и участвует в репликациях - будь внимателен и если удаляешь
то только того кого действительно уже нет.
Да и проверь папку Domain Controllers в Active Directory Users and Computers (пользователи и компьютеры)
на наличие в нем мертвых душ.
если в чем то сомневаешься то выкладывай скрины с указанием в чем сомнения - попробуем разобраться вместе.

После запуска DCDIAG, то окошко с скриншотом, возникает только те ошибки которые указаны, в остальном тест проходит успешно, и ошибок нет. А В сайтах и службах, как раз таки по репликации стоит первый сервер, но вместо того чтобы писать, я лучше буду скринами показывать. Глядишь разберёмся. Попробую тест сделать целиком через текстовый документ.

Вот что там осталось, я затёр лишь отсутствующие 2 машины.
Далее на каждом этапе открытия сервера, в определённом древе меню, указаны те сервера которые входят в домен.
т.е. в SRV-01 есть и 2ой и 5ый
в SRV-02 есть и 1ый и 5ый
в SRV-05 есть и 1ый и 2ой.
Что нужно сделать дальше?

- я так подозреваю что ты оставил партнеров по репликации только тех кто живые :) .
покажи скрин свойств NTDS settings - хотя бы одной
- как и просили ранее покажи текстовый вариант ipconfig /all и dcdiag - лучше со всех трех
- да и посмотри настройки в Active Directory Sites and Services на других контроллерах домена
(т.к. репликация не работает то там может отличаться)

Действительно, отличие репликаций есть, они идентичны на srv-05 и srv-02, но на srv-01 у меня оставлено то, что мне надо и необходимо.
Ситуация такая, Сервер SRV-01 виден в сети, до него пакеты ходят и он обменивается данными, НО, к нему никто не имеет доступа, при обращении к нему, сразу пишется ошибка о недоступности его в сети, или нет прав доступа.
МБ проблема конкретна где-то в настройках а не в репликации?


Соответственно скрин первого проблемного

Это на 2ом и на 5ом.
Вся репликация с первого не проходит, поскольку имеются ошибки.

Ну если сомневаешься, то тогда проверь кто имеет доступ к этому компьютеру (SRV-01) из сети
- mmc - добавляем оснастку Group Policy Object Editor - выбираем локальный компьютер
- далее смотрим Computer Configuration - Windows Settings - Security Settings - Local Policy - User Rights Assignment Ищем параметр Access this computer from the network и смотрим что там,
можно сравнить с другими

как мне выложить именно DCDIAG. Или хотя бы как его полностью перенести в тхт файл?

dcdiag > c:\dcdiag.txt
ipconfig /all > c:\ipconfig.txt

На всех серверах одинаково.

Прикрепить ТХТ файлы не могу, не разрешено, чуть позже их добавлю. А там и ИП конфиги и ДцДиаги.

Выкладываю IP конфигурацию и в архиве три текстовых документа в каждом по команде DCdiag.

Ну что продолжим?
Попробуем разобраться с репликами ..
- проверь что серваки пингуют друг друга
- если на них есть файервол (встроенный или от Касперского или
еще какой-нибудь) - то отключи временно на внутренних интерфейсах (те что смотрят в локалку)

По настройке серверов
SRV-01
IP-адрес . . . . . . . . . . . . : 192.168.1.7
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.102
DNS-серверы . . . . . . . . . . . : 192.168.1.102 - если роль DNS сервера на нем есть (а она не может не быть :) ) то насколько я знаю
___________________________________ первым надо ставить именно его, т.е. 192.168.1.7 а вот вторым уже другой DNS


SRV-02
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.102
DNS-серверы . . . . . . . . . . . : 192.168.1.7 - аналогично настрой как написал для SRV-01 - первым пусть будет 192.168.1.2,
________________________ 192.168.1.102 вторым уже кого захочешь
SRV-05
IP-адрес . . . . . . . . . . . . : 192.168.1.102
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.7 - если я правильно понял, то это прокси, у него лучше было бы оставить вообще
__________________________________ кеширующий вариант DNS, но раз он же контроллер домена то это не прокатит,
__________________________________ поэтому на нем также как и на других первым укажи его самого а вот вторым уже
__________________________________ можешь и другого указать

Вопрос номер 2 по серверам - а зачем на SRV-02 вторая сетевушка с внешними адресами? Он у тебя тоже работает как прокси?


Да и еще одно - запусти dcdiag /v, или хотя бы dcdiag /test:dns на всех серверах - проверим работу DNS хотя бы частично

Смешно правда? А вот второй интерфейс физически отключён. Т.е. он не прописан по IP и нет у него соединения изернет кабелем. Почему выдало это в тесте IPconfig честно не знаю.
Этот сервер и есть DNS и DHCP, соотвественно в сети, больше DNS серверов нет, 102 указан, как тип резервного соединения, на случай отказа LDAP.

Все три сервера контроллеры, и чтобы по ним была привязка, поэтому на первом и втором указаны зеркальные резервы по ДНС. Хотя и не могу утверждать это. Но попробую.
Опишу ситуацию. Почему то часть пользователей привязанных к первому, продолжают работать, а вот те которые не приязаны и возникают у них проблемы, теряют соединения и IP DHCP и DNS. Приходится в ручную укзаывать DNS 5го сервера, чтобы они могли залогиниться и продолжать работать, но к сожалению сразу после этого становятся недостыпными сетевые ресурсы первого сервера, хотя пинг проходит и указывает что есть соединение. На скриншоте ошибка при попытке соедениться с первым сервером, хотя такая проблема не увсех, а лишь у малой части юзеров.
Да забыл сказать, принтере завязанные через АД, тоже не работают у тех кто не имеет доступа к нему......

- на случай отказа LDAP должен отрабатывать корректно DNS - у него есть все записи о всех контроллерах домена
(по крайней мере должны быть)
Да и вопрос - у тебя зона DNS интегрирована с Active Directory? и на всех контроллерах она интегрирована или нет?
- по поводу отваливания клиентов - выложи ipconfig /all с проблемного и нормального клиентов - есть у меня подозрение
что дело в настройках которые они получают от DHCP

- поиск принтеров в Active Directory работает через Global Catalog - и указывается в свойствах NTDS settings в оснастке Active Directory Sites and Services - посмотри на всех - может какой-то из них не является Global Catalog-ом.
Ну и плюс не работающая реплика приводит к тому что контроллеры хранять разную информацию к сожалению, это тоже
может приводить к таким последствиям когда недоступны ресурсы.
Да и пинг то идет от контроллера к контроллеру? (от каждого к каждому)

Пинг ходит от всех до контроллера, так и от контроллеров к контроллеру.
Я так полагаю не только DHCP и DNS отпали, похоже какая то служба вообще не работает. По ДНС я затёр старые не обновляющиеся данные, не помогло, очистил и переоснастил DHCP по новой, не помогло.
Да.
Нет. Только на глобальном, на первом.
И ещё вот что получилось при попытке создать юзера в АД, на резервном контроллере:

Я так полагаю надо АД с глобального переносить, и переосанастку делать, я даже не знаю как стандартными способаами в 2003 восстановить контрольную точку.
Вопрос в другом, как мне грамотно перенести АД с глобального, или повысить в ранге резерный контроллер без соединения и без репликаций первого?

Домен, ДНС сервер, и репликации на сервере не осуществлены, это выявлено 2мя способоми:
В Шаре первого сервера пропала папка SYSVOL и при попытке пересоздать по новой репликацию, ничего не удалось сделать.
Папка сама есть, но она не расшарена.....
Вот что высказал журнал ошибок и событий:
Служба репликации файлов обнаружила ошибку JRNL_WRAP_ERROR для набора репликации "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)".

Имя набора репликации: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Корневой путь репликации: "c:\windows\sysvol\domain"
Корневой том репликации: "\\.\C:"
Ошибка JRNL_WRAP_ERROR возникает, когда набор репликации не находит запись, которую пытается прочитать из журнала NTFS USN. Это может быть вызвано одной из следующих причин.

[1] Том "\\.\C:" был отформатирован.
[2] Журнал NTFS USN на томе "\\.\C:" был удален.
[3] Журнал NTFS USN на томе "\\.\C:" был усечен. Программа Chkdsk может выполнить усечение журнала, если обнаружит в конце журнала поврежденные записи.
[4] Служба репликации файлов давно не запускалась на данном компьютере.
[5] Показатель активности дискового ввода-вывода на "\\.\C:" слишком высок для службы репликации файлов.
Если установить параметр реестра "Enable Journal Wrap Automatic Restore" равным 1, будет выполнена описанная ниже процедура восстановления для автоматического исправления ошибки.
[1] При первом опросе, который производится каждые 5 минут, данный компьютер будет удален из набора репликации. Чтобы не ждать 5 минут, можно выполнить команду "net stop ntfrs" и затем команду "net start ntfrs" для перезапуска службы репликации файлов.
[2] При первом опросе после удаления компьютер будет заново включен в набор репликации. Повторное включение инициирует полную синхронизацию дерева для набора репликации.

Предупреждение. В процессе восстановления данные дерева репликации могут стать недоступными. Необходимо установить описанный выше параметр реестра равным 0, чтобы автоматическое восстановление не привело к недоступности данных при повторении ошибки.

Для изменения параметра реестра запустите программу regedit.

Нажмите кнопку "Пуск", выберите команду "Выполнить" и введите "regedit".

Разверните раздел HKEY_LOCAL_MACHINE.
Щелкните последовательно разделы пути:
"System\CurrentControlSet\Services\ntFrs\Parameters"
Дважды щелкните параметр
"Enable Journal Wrap Automatic Restore"
и обновите его значение.

Если этого параметра нет в реестре, его можно добавить с помощью команды "Создать->Параметр DWORD" в меню "Правка". Введите имя параметра точно так, как написано выше.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Как мне показалось... Домен умер, по крайней мере Ад на этом сервере.

Проделанные работы...
Расшарил папку "sysvol", согласно проблемным зонам закопировал туда все необходимые папки и файлы с исправной директории. второстепенного контроллера.
Запустил службу FRS из под консоли, тепрь помимо кучи ошибок вылазит только 2е:

Служба репликации файлов столкнулась с проблемами при включении репликации с "SRV-02" на "SRV-01" для "c:\windows\sysvol\domain", использующего DNS-имя "srv-02.trtn.ru". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.

[1] FRS не может разрешить DNS-имя "srv-02.trtn.ru" с этого компьютера.
[2] FRS не запущена на "srv-02.trtn.ru".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Хотя в ручную через службы и сайты, я реплицирую первый со вторым, а вот с пятым не реплицируется, ссылаясь на:


Как и попытка обратной репликации


Как действовать дальше, ума не приложу.
Службы репликации на всех АД запущены, но без возможности своих синхронизаций.

Что, больше никто ничего посоветовать не может?
Мне предложили поднять по новой домен, занятие не из приятных.

CyberNinja,
dcpromo /forceremoval на проблемном сервере. Потом опять поднимите его до домен-контроллера.

Спасибо, действительное решение.
Вопрос. Как теперь мне объеденить этот контроллер с второстепенными контроллерами, с возможностью затягивания от них все настройки и АД полностью?

Итак, работа над ошибками.
При вводе машины в домен, присоединяться не хочет, поскольку глобального сервера с хранением настроек и домена нет, а из резерва поднять, не понимаю как.
Решил воспользоваться командой "ntdsutil" для переноса резервного сервера домена на основной, и столкнулся с проблемой. Так как роли не передаются, из-за отсутствия глобальной машины в сети (домене) решил использовать команду "seize".
Вопрос вот в чём, как и в какой последовательности вводить команды чтобы отобрать роль?
А то после надписи "FSMO maintenance" при попытки отобрать роли, пишется ошибка "error 80070057 parsing input - illegal syntax?" Или я не правильно проделываю процедуру, или есть проблемы куда серьёзнее. Скорее всего проблема в пароле на восстановление АД. Или я не прав, подскажите как быть дальше?

p.s. через "домены и доверие" нельзя передать роль от глобального домена, резервному (ошибка связи, сервер в автономном режиме и передачу ролей осуществить нельзя, кнопка изменить - неактивна).

CyberNinja,
Почитайте прикрепленную тему http://forum.oszone.net/thread-134099.html
Там довольно много написано о захвате ролей, принудительном понижении контроллера домена, чистке AD после неудачного вывода контроллера из домена и т.п.

Спасибо, если найду решение, и если поможет, отпишусь.

Итак, захватить роли на второстепенном сервере удалось, пришлось пошарить немного в утилите "NTDSUTIL". Возможно я окажусь не правым, но мне показалось, что в мануалах, а так же во всех статьях не правильно указана последовательность захвата ролей посредством ввода команд, и соответственно, не правильность ввода самих команд, пример:

Оригинал указан на первоисточнике в МС:
seize naming master
seize infrastructure master
seize rid master
seize schema master
seize pdc

Вариант который я вводил
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master

Я не знаю есть ли в этом логика, но при вводе команды маленькими буквами, а так же в последовательности привязки ролей, у меня постоянно выскакивала ошибка, "нарушен синтаксис?".
Как говорится спасла "?" в самой команде "NTDSUTIL", и после ввода команд заглавными буквами, роли стали захватываться........ Почему не понял.

Пробую поднять старую машину, с привязкой к (нынешнему) контроллеру, с возможностью передачи прав.

Интересует такой вопрос, на моей практике было реализовано на 2000 Серверной винде 2 Контроллера домена (не 1 глобальный и 1 добавочный), которые работали в паре, вопрос такой: Возможно ли создать 2 КД, с параллельной работой. На случай выхода из строя одного из КД?

Прошу прощения, хочу обратить внимание ещё на одну, возможно малозначимую вещь. После перезагрузки бывшего КД (который и вышел из строя и который я хочу возродить) иногда вылазит окно с ошибкой\предупреждением, что возможна одна или несколько служб не были запущены. И совершенно случайно, иной раз 2\3 или 5\7 раз дата, и время на машине сбрасываются на 2006 год (не на год установки ОС 2003, потому что установку я производил год назад). И в дальнейшем эта дата и время не синхронизируются.

Итак, при вводе старого сервера (который был неисправен), по новой в домен (присоединение), во время установки АД, когда идёт проверка домена, появляется окно, "имя пользователя уже существует". Я пытаюсь добавить машину к существующему домену, чтобы после этого передать на него основные роли, аутинтефикация проходит успешно, имя и пароль администратора он съедает, но в конце после всех настроек, выдаёт ошибку. Как быть?

CyberNinja,
Не только возможно, но необходимо.
Настройки берутся из BIOS. Настройте синхронизацию времени.
Проверьте, не осталось ли в схеме AD старого контроллера. Вы, похоже, со старым именем его вводите в домен, в этом случае будут ошибки.

Бог простит забывалу, это да, я ошибся сам, недоглядел.
Домен заработал, ожил, настроил DHCP, DNS, поднял 2 КД, всё работает. Где-то ошибся с ДНС, но это поправимо, так что, спасибо всем кто принимал участие в обсуждении.

Остался один вопрос, попытался через дополнительную утилиту не МС очистить АД от старых непонятных имён, юзеров, компьютеров, но она не работает почему то. Скажите или дайте пожалуйста ссылку на мануал или на саму программу, которая смогла бы почистить АД.

Ну вот и всё, работать домен начал как часы, и разобрался я таки с проблемами даты и времени, и с проблемами резервного КД и основного сдвоенного КД. Пока работает, спасибо всем, кто принимал участие по решению моих проблем.