Ошибки в домене
 

Подскажите, последнее время на клиентских ПК и серверах в домене, в логах вижу следующие ошибки. Что это и чем грозит как исправить? Домен на w2k3 r2 sp1 x64.

1. Ошибка при обработке групповой политики. Попытка чтения файла "\\mydomen.local\sysvol\mydomen.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).

2. Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера sql$. Использовалось конечное имя cifs/sqlserv.mydomen.local. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (mydomen.LOCAL) отличен от домена клиента (mydomen.LOCAL), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.

Контроллеров у вас сколько?

1. клиент не может прочитать файл GPT.ini по нескокльким причинам
а. файл поврежден
б. нет прав для чтения

В первом случае откройте файл для чтения.
Во втором случае надо проверить есть ли право чтения для этой политики. Не исключено что в настройках стоит "применять", но нет права "читать".

2. Неверно зарегистрирован Service Principial Name для сервиса. Причина скорее всего в том что сервер был переименован, но SPN который был создан для SQL сервера не был изменен.
setspn - http://technet.microsoft.com/ru-ru/l...28(WS.10).aspx

Если сервер переименовывался то следует еще изменить настройки на самом SQL сервере
http://blog.wadmin.ru/2011/02/rename-sql/

Дело в том, sql сервер был вторичным контроллером, сервак поменяли на новый и подмимать на нем контроллер не стали.
На первичном контролере в Active Directory Users and Computers -> Domain controllers вижу 2 контроллера, хотя по факту он 1.
Мне как-то очково удалять бывший sql из списка контроллеров.
Или это необходимо сделать?

Если Вы его не удалили стандартно, через dcpromo, пользуйтесь ntdsutil.

Так я вроде только пытаюсь удалить.
В Active Directory Users and Computers -> Domain controllers выбираю уже бывший контролер -> Delete -> I want to demont this domain controller from the domain and continue using it as a computer ->Жму Delete -> Выхлоп "Deleting this object directly should only be used to delete a domain controller that is permanently offline. Use the Active Directory instalation wizard (DCPROMO) to demote a domain controller that is still functioning".

Действовать по вашему совету?

Вроде бы ясно написано.

Так блин второго dc уже нет и исли я правильно понял то dcpromo использовать нельзя.

ntdsutil (ссылка zer055)