[решено] Не корректная работа AD - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - [решено] Не корректная работа AD (http://forum.oszone.net/showthread.php?t=270119)

Не корректная работа AD

Всем привет.
Коротко предыстория:
В головной конторе установлены 2 контроллера домена: основной контроллер это физический сервер (Serv01) и виртуальный вторичный контроллер домена (Serv11). В обеих машинах используется операционная система Server 2008. В удаленных отделах стоят RODC контроллеры (версии операционной системы Server 2008 или Server 2008 R2).
Проблема:
Вышел из строя основной контролер домена (serv01) (вышел из строя физически, без возможности восстановления). Резервным контроллером (serv11) были принудительно захвачены роли используя ntdsutil. Работа домена стабилизировалась.... как мне тогда показалось.
В дальнейшем спустя примерно неделю, на новом сервере был развернут контроллер домена (serv01) и добровольно переданы роли обратно с сервера (serv11). В последующие дни стали появляться жалобы от пользователей, что не подключаюсь сетевые диски (не работают сценарии входа), не перемещаются сетевые профили. Периодически возникать стали проблемы связанные с DNS.
Запускаю утилиту netdom на основном (Serv01) и резервном контроллере (Serv11) и на 3 удаленных серверах получаю следующий ответ:

Код:

C:\Users\Администратор>netdom query fsmo Хозяин схемы SERV01.domen.gov Хозяин именования доменов SERV01.domen.gov PDC SERV01.domen.gov Диспетчер пула RID SERV01.domen.gov Хозяин инфраструктуры SERV01.domen.gov Команда успешно выполнена.

Выполняю эту же команду на других удаленных серверах.

Код:

C:\Users\Администратор>netdom query fsmo Хозяин схемы SERV01.domen.gov Хозяин именования доменов SERV01.domen.gov PDC Serv11.domen.gov Диспетчер пула RID Serv11.domen.gov Хозяин инфраструктуры Serv11.domen.gov Команда успешно выполнена.

и

Код:

C:\Users\Администратор>netdom query fsmo Хозяин схемы SERV01.domen.gov Хозяин именования доменов SERV01.domen.gov PDC SERV01.domen.gov Диспетчер пула RID Serv11.domen.gov Хозяин инфраструктуры Serv11.domen.gov Команда успешно выполнена.

Причем синхронизация не ходит вообще.
Может кто сможет подсказать где еще порыть. Голова уже совсем замылилась.

Цитата:

Цитата AlRack

где еще порыть »

в логах на серверах?

Цитата:

Цитата exo

в логах на серверах? »

Наиболее часто встречается только это сообщение

Код:

Возникло событие Error.  Код события (EventID):  0xC00010DF

            Время создания: 10/17/2013   11:19:30

            Строка события:

            В сети TCP обнаружено повторяющееся имя.  IP-адрес компьютера, отправившего сообщение, содержится в данных.

Чтобы определить, для какого имени возникло конфликтное состояние, следует выполнить команду nbtstat -n в командном окне.

Результат nbtstat, не говорит не чего

Код:

Подключение по локальной сети 2:

Адрес IP узла: [192.168.0.1] Код области: []



                Локальная таблица NetBIOS-имен



       Имя                Тип          Состояние

    ----------------------------------------------------

    SERV01         <00>  Уникальный  Зарегистрирован

    domen          <00>  Группа      Зарегистрирован

    domen          <1C>  Группа      Зарегистрирован

    SERV01         <20>  Уникальный  Зарегистрирован

    domen          <1B>  Уникальный  Зарегистрирован



Подключение по локальной сети:

Адрес IP узла: [192.168.0.2] Код области: []



                Локальная таблица NetBIOS-имен



       Имя                Тип          Состояние

    ----------------------------------------------------

    SERV01         <00>  Уникальный  Зарегистрирован

    domen          <00>  Группа      Зарегистрирован

    domen          <1C>  Группа      Зарегистрирован

    SERV01         <20>  Уникальный  Зарегистрирован

    domen          <1B>  Уникальный  Зарегистрирован

Как бы не каких конфликтов не видно.

Но сегодня появилось новое сообщение, которое я понять пока не могу.

Код:

Имя журнала:   Directory Service

Подача:        Microsoft-Windows-ActiveDirectory_DomainService

Дата:          17.10.2013 18:24:58

Код события:   2887

Категория задачи:Интерфейс LDAP

Уровень:       Предупреждение

Ключевые слова:Классический

Пользователь:  АНОНИМНЫЙ ВХОД

Компьютер:     SERV01.domain.gov

Описание:



В течение предыдущего 24-часового периода некоторые клиенты пытались выполнить привязки LDAP, а именно: 

(1) Привязку SASL (согласование, Kerberos, NTLM или выборка) LDAP без требования подписи (проверки целостности), или 

(2) Простую привязку LDAP, которая была выполнена для подключения с открытым (не зашифрованным SSL/TLS) текстом 

 

Данный сервер каталога в настоящий момент не настроен на отклонение привязок такого типа. Безопасность сервера можно  существенно повысить, если настроить его на отклонение таких привязок.  Дополнительные сведения о том, как сделать соответствующие изменения в конфигурации сервера, см. в статье по адресу: http://go.microsoft.com/fwlink/?LinkID=87923. 

 

Общие сведения о числе этих привязок, полученных за последние 24 часа, приведены ниже. 

 

Можно включить дополнительную регистрацию для фиксации события каждый раз, когда клиент выполняет такую привязку, включая сведения о том,  на каком клиенте она сделана.  Для этого следует поднять параметр для категории регистрации событий "События интерфейса LDAP" до уровня 2 или выше. 

 

Число простых привязок, выполненных без SSL/TLS: 0 

Число привязок согласование/Kerberos/NTLM/выборка, выполненных без подписи: 1

Xml события:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS LDAP" />

    <EventID Qualifiers="32768">2887</EventID>

    <Version>0</Version>

    <Level>3</Level>

    <Task>16</Task>

    <Opcode>0</Opcode>

    <Keywords>0x8080000000000000</Keywords>

    <TimeCreated SystemTime="2013-10-17T01:24:58.092Z" />

    <EventRecordID>109</EventRecordID>

    <Correlation />

    <Execution ProcessID="616" ThreadID="804" />

    <Channel>Directory Service</Channel>

    <Computer>SERV01.ZAGS.gov</Computer>

    <Security UserID="S-1-5-7" />

  </System>

  <EventData>

    <Data>0</Data>

    <Data>1</Data>

  </EventData>

</Event>

А Teaming двух сетевых карт у Вас настроено?

Цитата:

Цитата AlRack

В сети TCP обнаружено повторяющееся имя. »

может следы от:

Цитата:

Цитата AlRack

на новом сервере был развернут контроллер домена (serv01) »

Цитата:

Цитата AlRack

Но сегодня появилось новое сообщение, которое я понять пока не могу. »

Linux в сети есть? от него может.

Цитата:

Цитата AlRack

В дальнейшем спустя примерно неделю, на новом сервере был развернут контроллер домена (serv01) »

а ошмётки serv01 первого были вычищены из AD?

Цитата:

Цитата exo

Цитата AlRack:
В сети TCP обнаружено повторяющееся имя. »
может следы от:
Цитата AlRack:
на новом сервере был развернут контроллер домена (serv01) » »

Цитата:

Цитата cameron

Цитата AlRack:
В дальнейшем спустя примерно неделю, на новом сервере был развернут контроллер домена (serv01) »
а ошмётки serv01 первого были вычищены из AD? »

Перед установкой контроллера на новый сервер, информация о Serv01 из AD была удалена.

Цитата:

Цитата exo

Цитата AlRack:
Но сегодня появилось новое сообщение, которое я понять пока не могу. »
Linux в сети есть? от него может. »

Только файлопомойка от компании Depo-Thecus. Прошивка Юниксовая.

Цитата:

Цитата AlRack

Перед установкой контроллера на новый сервер, информация о Serv01 из AD была удалена. »

как и с какого сервера эта информация удалялась?

Цитата:

Цитата AlRack

Только файлопомойка от компании Depo-Thecus. Прошивка Юниксовая. »

авторизация там своя или через домен?
собственно по ошибке прочитайте тут.

Цитата:

Цитата cameron

как и с какого сервера эта информация удалялась? »

С резервного контроллера удалял через оснастку "Пользователи и компьютеры". Получил кучу предупреждений о том что удаляю контроллер.

Цитата:

Цитата exo

авторизация там своя или через домен? »

Доменная авторизация. Все пользователи получают доступ к ресурсам в соответствии с правами выставленными на файлохранилище и спользуя доменные пароли .

Цитата:

Цитата exo

собственно по ошибке прочитайте тут. »

Спасибо ознакомлюсь сейчас

Цитата:

Цитата AlRack

С резервного контроллера удалял через оснастку "Пользователи и компьютеры". Получил кучу предупреждений о том что удаляю контроллер. »

2008 или 2003 сервер?

Цитата:

Цитата AlRack

Доменная авторизация. »

у меня были такие же логи, когда настаивал прокси на линуксе с Kerberos авторизацией. я, честно говоря, на эти логи забил... Да и прокси потом оказался не нужен (

Цитата:

Цитата AlRack

С резервного контроллера удалял через оснастку "Пользователи и компьютеры" »

если я не ошибаюсь, этого не достаточно. вроде нужно в ADSI Edit теперь подчищать... но то для 2003. как для 2008 не могу найти.

Цитата:

Цитата cameron

2008 или 2003 сервер? »

2008 писал в первом сообщении.

Всем спасибо, что потратили на меня время.
Проблема решена. Перед выходными через netdom / reset пересоздал безопасный канал с Serv01.
В понедельник netdom query fsmo показал правильные результаты. Принудительныя репликация Repadmin /syncall /AeD прошла без ошибок. Сценарии входа отработали так же корректно. На днях проверю перемещение сетевых профилей, но думаю что крупные проблемы исчезнут.