Событие NETLOGON id:5722
 

Доброго времени суток.

Вот такая ошибка, в и-нете однозначного решения не нашёл:

При установке сеанса с компьютера ASP06 не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи ASP06$. Ошибка:
Отказано в доступе. (NETLOGON, id:5722)

При этом запись проблемного компа не удалялась, присутствует. Соответствующие записи тип-А и тип-PTR присутствуют в DNS и соответствуют имени и айпи проблемного компа. Пинги на контролёр и обратно работают.

Что имеется: есть два контролёра DC1 и DC2 (windows server 2008 sp2 x64 + все актуальные обновления) DC1- он главный(хозяин операций RID, PDC, Инфраструктура) синхронизирует время с сервером времени в и-нете, также установлен DHCP, DNS. На DC2 только Служба Каталогов и DNS соответственно.

1. На каждом из DC натроены сетевые для работы с несколькими подсетками (vlan-ами) и DHCP соответственно. НА DC2 тоже установлена и настроена роль DHCP, но все области не авторизованы и не активны (это как резервный вариант) и сам сервер DHCP тоже не запущен.
На единственном DHCP (DC1) пункт свойство (IPv4) настроено динамическое обновление DNS («Динамически обновлять DNS A- и PTR-записи только по запросу DHCP-клиента» и «Удалять А- и PTR-записи при удалении аренды») и аналогичные настройки в свойствах для каждой области (vlan) Учётная запись для работы динамического DNS через DHCP прописана, входит во встроенную группу DNSAdmins

2. Для каждого DNS на соответствующих контролёрах включена очистка зон каждые 7 дней.

Что удалось ещё почитать так это то, что подобное проявление может быть ещё в случае “usn rollback”, но восстановления никогда мной и остальными админами не производилось, бэкапы стараюсь делать раз в неделю с помощью встроенной утилиты на сервере, но восстановления точно не было и в эти дебри я не лезу. Контролёры работают уже больше 3-х лет, все в режиме windows server 2008.
Ещё есть в журнале «службы каталогов» редкие два события с id 1955 и 1083, но в них фиксировались конфликты в репликации для учётных записей пользователей в разное время. И ещё каждые 24 часа создаётся событие id 2887: фиксируется число простых привязок, выполненных без SSL/TLS

Основное решение, которое работает - это вывод проблемного ПК из домена и повторный ввод в домен. Но срабатывает не всегда и проблемный комп может снова вылететь спустя неделю или больший срок. Проблема наблюдается уже как с год, судя по логам, но массово проявилась в последние два месяца, обновления винды (xp sp3) на рабочих станциях не всегда актуальные в отличии от доменов.

П.С. Меня терзают смутные сомнения, но чувствую что эта проблема имеет отношение к репликации (хотел бы я ошибаться), хотя явных ошибок вроде в логах нет. И честно говоря я туда лишний раз не лезу, но если это всё таки так, то с чего можно начать копать? На живой системе не хотелось бы тренироваться, а вот с тестовыми напряг. Можно ли как-то ещё решить эту проблему, компов в сетке много?

Пока всё, если что ещё потребуется, уточню.

С уважением.