дополнительный контроллер домена + резервный dhсp
 

есть 3 сервера.. контролер домена(№1), сервер скуль(№3) и еще доп сервер(№2)... на сервере 1 запущены АД, dhcp, dns. поставил доп контрорлер домена №2 по http://www.oszone.net/3644/#1. при отключении основного сервера, клиентские машины не видят скуль сервер №3))).. по инструкции получилось все как описанно кроме последнего, репликации прорходят нормально но.. события системы ругаються на многочисленные - Компьютер WS пытается подключиться к серверу \\SERVER2 с использованием доверительных отношений, установленных доменом AKTOBE. Однако компьютер потерял правильный идентификатор защиты (SID) при изменении конфигурации домена. Восстановите доверительные отношения.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp"... могу предположить что при отклюении 1-го, клиенты не получают аипи службои dhcp.. так как они получают его автоматически. если не прав поправте в чем проблема может быть

вы это проверяли? клиенты которые уже получили IP настройки никак не почувствуют отсутствия DHCP.
а как машины смотрят на скуль?

подключением к удаленному рабочему столу

и какой ответ? они бывают разные. либо подключение отвергнуто, либо сервер не найден.
Что говорит пинг на скуль в это время?

сеичас не могу отключать рабочии сервер. люди работают.. попозже проверю и отпишусь..

отключил основнои сервер, на клиенскои машине пока держалась сессия скуль сервер пингуеться.. перезагрузил клиенстки комп - подключение по лок.сети ограничено, то есть не получен аипи адрес, как следсвие нет пинга никаких серверов.. перевалил доп. контролер домена, ничего не дало.. эвентвью службы каталогов доп.контролоре домена показал -

Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.

Исходный контроллер домена:
server
Ошибочное имя узла DNS:
5f79b73d-54cb-4bdd-ba35-8f545ee4249c._msdcs.dana

Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:

Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.

2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду "net view \\<source DC name>" или "ping <source DC name>".

3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns

dcdiag /test:dns

4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:

dcdiag /test:dns

5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

MS DTC не удалось правильно обработать событие повышения или понижения уровня контроллера домена. MS DTC продолжит работу и будет использовать текущие настройки безопасности. Сведения об ошибке: %1-- это в просмотре событии приложении

кстати с чего начал - Компьютер WS пытается подключиться к серверу \\SERVER2 с использованием доверительных отношений, установленных доменом AKTOBE. Однако компьютер потерял правильный идентификатор защиты (SID) при изменении конфигурации домена. Восстановите доверительные отношения. --уже не проблема.. решилось переустановкои компьютера в домен в домен

вопрос поповоду -

15. В качестве предпочитаемого DNS сервера на системах уже должен был быть установлен IP адрес первого КД, а вот теперь в качестве альтернативного нужно указать IP адрес второго контроллера домена.

аипиконфиг сервера 1 основнои контролер домена

-Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор>IPCONFIG /ALL

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : dana
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : dana

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82566DM Gigabit Network Connecti
on
Физический адрес. . . . . . . . . : 00-0F-FE-59-D0-A2
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1


NetBIOS через TCP/IP. . . . . . . : отключен


аипиконифг сервера 2(доп контролер домена)

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : SERVER2
Основной DNS-суффикс . . . . . . : dana
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : dana

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-14-5E-91-29-8C
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес автонастройки. . . . . . : 169.254.118.107
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . :

Подключение по локальной сети 3 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #3
Физический адрес. . . . . . . . . : 00-10-18-18-96-D2
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.111
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.1


аипиконфиг однои из клиентских машин
Настройка протокола IP для Windows


Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . : dana
IP-адрес . . . . . . . . . . . . : 192.168.0.30
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

то есть на клиентских нет даже строчки о днс предпочтительного и альтернативного.. почему?

может дело в том что при - 12. На предложение мастера о создании зоны DNS следует отказаться (необходимые зоны уже были интегрированы в базу Active Directory и реплицировались с первого КД) - я тупо нажал отменить?)))))

настройки обоих DHCP покажите.
ещё - на контроллерах домена, в ипнастройках должно быть по 2 ДНС сервера. и назначаются наперекрест.
Т.е. у первого контроллера, предпочитаемый ДНС - второй контроллер, альтернативный - свой ИП. на дополнительном тож же самое.

exo, несовсем понял.. на втором сервере не поднят дшсп сервер.. то есть как я могу посмотреть настриоки там.. ДНС сделал как ты сказал.

если ты об этом))
Статистика (MIB):
Найдено = 18.
Предложено = 18.
Запрошено = 120.
Подтверждено = 230.
Не подтверждено = 0.
Отклонено = 0.
Освобождено = 0.
Время запуска сервера = 29 октября 2011 г. 8:02:18
Областей = 1.
Подсеть = 192.168.0.0.
Число используемых адресов = 52.
Число свободных адресов = 193.
Число ожидающих обслуживания = 0.


Свойства базы данных DHCP-cервера:

Имя базы данных = dhcp.mdb
Путь к базе данных = C:\WINDOWS\System32\dhcp
Путь к базе данных архива = C:\WINDOWS\System32\dhcp\backup
Интервал архивирования БД = 60 мин.
Флаг ведения журнала БД = 1
Флаг восстановления БД = 0
Интервал очистки БД = 60 мин.


Состояние сервера:
Атрибуты сервера - случайная проверка подлинности успешно выполнена :Ист
ина
Атрибуты сервера - Поддержка динамического BOOTP включена :Истина
Атрибуты сервера - DHCP-сервер установлен на сервере домена:Истина
Атрибуты сервера - Привязки DHCP-cервера установлены :Истина
Атрибуты сервера - Права администрирования имеются :Истина

C:\Documents and Settings\Администратор>

кхм... тема у вас как называется? резервный DHCP - а где он? конечно, после выключения единственного DHCP, ни один клиент не получит IP.
А про настройки - лучше картинками ;)

))) так по тои инструкции ничего не было о настроике резервного дшсп)) я както забыл конкретнее сказать что нету резервного... значит вопрос так звучит, как настраиваеться резервный дшсп)

или вопрос такои.. сделал все по инструкции(ссылка выше). какие еще танцы мне надо делать чтоб доп сервер мог спокоино выполныть функции основного сервера

а та инструкция и не называется "настройка DHCP". Она касается только дополнительного контроллера домена.

пуск - администрирование - управление сервером - добавить роль - DHCP - устанавливаете.
Далее настраиваете. Во втором DHCP должен быть пул, отличающийся от первого. иначе оба будут раздавать одинаковые адреса - конфликт.

то есть если у меня одна сетка имеет даипозон 192.168.0.1-192.168.0.254 то на доп сервере должно быть типа 192.168.1.1-192.168.1.254... а как быть с теми кто сидит на статистическом адресе? у меня тут и ноуты есть у них статика

просто я ориентировался на правда твоя)) там нигде нет слова - дшсп и как раздаеться аипи

и не будет ли косяком то что основнои и дополнительный сервера имеют адреса 192.168.0.1 и 192.168.0.111 а дополнительный сервер будет раздавать 192.168.1.1-254 адреса.

ну если у вас сеть 192.168.0-1.х/23 - то да.
А если сеть одна, то как правило (или одно из них) один DHCP 60% - второй DHCP 40%. Т.е. один пул 1-150, второй пул - 151-254
он не раздаст (кажется), если у него не будет сетевой карты с 1.х сетью + не забываем - если вы добавляете новую сеть в домен - её нужно добавлять в доверенные в оснастке - Site & Services или как-то так.

закралось сомнение.. exo, изначально(!) у меня была такая идея.. я поставил дополнительный сервер, для того чтоб, если упадет основнои, клиенты ничего не заметили и работали на втором сервере.. а сеичас мне кажеться что мы говорим о том чтоб делать не резернвый сервер а дополнительный с отдельнои сетью итп итд...

неа, это я просто перечислил варианты.
Сколько у вас хостов в сети?
Я думаю, вам нужно первый DHCP переделать. Пул другой там создать.

для этого нужен как раз и резервный КД и резервный ДНС и резервный DHCP (либо всех перевести на статику). Отдельная сеть не нужна - сделайте два пула, как сказал exo, но лучше первый 30-128, а второй - 129-254 (от 1 до 30 в резерве для серверов, принтеров и прочей периферии на статике)

46 компов под ХР, 1 сервер (АД, ДШСП, ДНС,), 1 сервер скуль, 1(хочу сделать резервный контролер домена), 4 сетевых принтера.. эти устроиства получают аипи автоматом.. несколько ноутов которых аипи статистически, сервера тоже аипи статистические..

то есть принтеры перевести на статистические? дело в том что они имеют адреса в разброс.. то есть 192.168.0.11, ....12,.... 98,....97

не претендую на истину в последней инстанции, но я делал именно так. Серверы/рутеры/прокси/принтеры/прочее_железо жестко привязал к диапазону 1-30, с 31 по 180 - рабочий пул адресов, и со 181 до 254 - резервный.
это как? Им как раз нельзя "получать адреса автоматом"!

))) я там дописал)) сервера на статике сидят.. принтеры автоматом))

+1
плюс для 45 компов пула хватит в 50 IP на одном сервере и 50 IP на другом сервере.

а если принтеры оставить как есть, смогут ли люди распечатывать, когда я отключю сервер основнои.. принтера получили адрес службои дшсп, и они прописаны в сервере скуль

предчувствую пинки и плевки)))

принтеры должны всегда иметь статические адреса - признак хорошего тона.
все принтеры заводятся на принт-сервере. если вы его отключаете - значит нужен дополнительный принт-сервер.

прошу прошения за то что ввел в заблуждение.. у меня пул на основном не с ...0.1 начинаеться а с ...0.10..(192.168.0.10-192.168.0.254) то есть могу эти 8 адресов назначить принтерам без проблем.. это я когда сервер основнои поднимал приготовил.. банально забыл..

роль принт сервера у меня занимает сервер скуль..

то есть моя задача такая.. прописать принтерам статику, от ...0.2-...0.5(4 принтера). остальные оставить на ноубуки-благо их не так много...

настроить на основном сервере пул - 192.168.0.2-192.168.0.100(или с 192.168.0.11???до 192.168.0.100)(на всякии случаи, контора растет потихонечку).

на резервном настроить пул 192.168.0.101-192.168.0.254

выставить днс накрест друг другу(что уже сделал)
.. и на этом все??

у вас же до 5 будут как минимум принтеры. так что с 10, а лучше с 20.
да.

и еще вопрос.. днс сервера я прописывал в своисвах сетевои карты.. заглянул в основном сервере - пуск-программы-администрирование-днс - стоит только основенои сервер днс.. вопрос такои. где проверить что днс резервного сервера заглядывая в основнои сервер

ну как вариант - в той же оснастке добавить второй сервер и проверить записи там - если одинаковые - значит заглядывал.
А ещё в логах...

непонял где это там

в ДНС. Там есть зоны. под рукой нет картинки.

http://www.fotolink.su/v.php?id=1366...23bb8eeee93832 это?
http://www.fotolink.su/v.php?id=bcd2...eaa2f68b9e0596

ага. только вам нужна ветка Dana. В другие не смотрите, если проблем нет.
А теперь в самом верху - правый клик мышки - подключиться к другому серверу...

еще раз возвращаюсь к вопросу.. я когда настраивал днс сервер2, нажал отмену когда было предложение создать зону днс.. \

--12. На предложение мастера о создании зоны DNS следует отказаться (необходимые зоны уже были интегрированы в базу Active Directory и реплицировались с первого КД)---

ну так я понял эту строку.. теперь видно по скриншоту что днс на сервере2 не настроено.. или мне надо было настраивать корневую зону ?? непонял в общем..







http://fotoifolder.ru/view_foto/1kbddw5smbwm

раскройте зоны прямого просмотра для обоих серверов.
а по поводу статьи - я всегда при поднятии любого контроллера домена одновременно устанавливаю роль ДНС. Никогда не раньше, не позже.
поэтому проблем и вопросов ДНС+АД нет.

сенкс.. вот только при завершении роскрытии зон, серверы ругнулись - невозможно раскрыть зону.. зона уже существует...

хто есть зона прямого просмотра существует на обоих серверах

не понял.
раскрыть - просто на + нажать.

) :)

все получилось.. exo, dmitryst спасибо за науку... но.. продолжение в следующем топике.