[решено] применение gpo (проблема с репликацией) обновлено стр.2

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

применение gpo (проблема с репликацией) обновлено стр.2

Здравствуйте :)

Не могу разобраться в своей проблеме.
В одной OU находится 2 сервера, к одному из них (например сервер 1) политики юзеров и компьютера применяются, а к серверу 2 применяются политики компьютера, но не применяются политики пользователя.

в gpresult на сервере 2 пишется Конфигурация пользователя Параметры не заданы.
в rsop.msc на сервере 2 https://yadi.sk/i/D94mPcV9qC4JJ

Не знаю уже что делать.

Сервак грузил, политики gpupdate обновлял

Вы под одним и тем же пользователем заходите?

Да, настройки в этом плане выставлены "пользователи домена"

Цитата:

Цитата iluffka

Да, настройки в этом плане выставлены "пользователи домена" »

Настройки пользователя берутся из GPO, которая привязывается к OU, где лежат пользователи, если не включен режим замыкания групповой политики. Политика с нужными параметрами показывается у вас в gpresult?

На данном сервер режим замыкания не включён.
в gpresult > сводка > Примененные объекты групповой политики данная политика есть.
Если листать отчёт ниже и смотреть детальную информацию, то "Конфигурация комьютера Данные отсутствуют" "Конфигурация пользователя - политики есть", но по сути они не применяются. К тому же, политики компьютера тоже есть, а не отображаются (написал выше)

Политики прикреплены к корню домена, а сервер, к которому не применяются политики находится в OU на уровень ниже.
Если зайти в эту OU и посмотреть наследование групповой политики, то там все нужные политики тоже отображаются
https://yadi.sk/i/6uUGH0a7qCZPF

смущает тот факт, что в этой же OU есть другой сервер, на котором все политики под этим же пользователем отрабатывают как надо

как-нибудь потраблшутить эту фигню возможно?

При выполнении rsop.msc от обычного пользователя, в отчёте должны показываться политики применённые к компьютеру или будут показаны только политики, применённые к этому пользователю?

у меня при выполнении rsop от обычного пользователя пишет, что не удалось создать результирующие данные компьютера из-за недостаточных прав

Окей, можно оттолкнуться от другого.
Фиг с ней с этой политикой, почему может не применятbся этот параметр?
https://yadi.sk/i/vfAYW-tCqEKsa

Если руками добавлю в свойства обозревателя - безопасность - местная интрасеть эти значения, то работает, а с назначением этого через ГПО не работает(

либо, если эта фигня не работает, пробую через реестр:

политики применяются, а по факту записи в надежные узлы не добавляются (может не отображаются, подумал я) и не работают по факту

https://yadi.sk/i/fVMbb7gyqEVhf

Мужики, помогайте)

Есть 2 DC - 192.168.1.7 (MSK_SRV17DC) и 192.168.0.7 (DC1 - раньше он назывался DC), они друг друга видят.

что такое 194.67.1.154 194.67.2.114 и откуда оно взялось я не знаю.

Косяк с GPO полез - не применяются новые политики. Вот что нарыл:

dcdiag с хозяина FSMO

Код:



Диагностика сервера каталогов



Выполнение начальной настройки:

   Выполняется попытка поиска основного сервера...

   Основной сервер = MSK-SRV17DC

   * Идентифицирован лес AD. 

   Сбор начальных данных завершен.



Выполнение обязательных начальных проверок

   

   Сервер проверки: Default-First-Site\MSK-SRV17DC

      Запуск проверки: Connectivity

         ......................... MSK-SRV17DC - пройдена проверка Connectivity



Выполнение основных проверок

   

   Сервер проверки: Default-First-Site\MSK-SRV17DC

      Запуск проверки: Advertising

         ......................... MSK-SRV17DC - пройдена проверка Advertising

      Запуск проверки: FrsEvent

         За последние 24 часа после предоставления SYSVOL в общий доступ

         зафиксированы предупреждения или сообщения  об ошибках.  Сбои при

         репликации SYSVOL могут стать причиной проблем групповой политики. 

         ......................... MSK-SRV17DC - пройдена проверка FrsEvent

      Запуск проверки: DFSREvent

         ......................... MSK-SRV17DC - пройдена проверка DFSREvent

      Запуск проверки: SysVolCheck

         ......................... MSK-SRV17DC - пройдена проверка SysVolCheck

      Запуск проверки: KccEvent

         ......................... MSK-SRV17DC - пройдена проверка KccEvent

      Запуск проверки: KnowsOfRoleHolders

         ......................... MSK-SRV17DC - пройдена проверка

         KnowsOfRoleHolders

      Запуск проверки: MachineAccount

         ......................... MSK-SRV17DC - пройдена проверка

         MachineAccount

      Запуск проверки: NCSecDesc

         ......................... MSK-SRV17DC - пройдена проверка NCSecDesc

      Запуск проверки: NetLogons

         ......................... MSK-SRV17DC - пройдена проверка NetLogons

      Запуск проверки: ObjectsReplicated

         ......................... MSK-SRV17DC - пройдена проверка

         ObjectsReplicated

      Запуск проверки: Replications

         [Replications Check,MSK-SRV17DC] Сбой при последней попытке

         репликации:

            Из DC в MSK-SRV17DC

            Контекст именования:

            CN=Schema,CN=Configuration,DC=MY_FIRM,DC=com

            При репликации возникла ошибка (8524):

            Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

            

            Сбой возник в 2016-03-22 10:55:28.

            Последняя успешная операция была в 2015-07-29 06:53:13. После

            последней успешной операции было 

            5694 сбоев.

            DNS-имя на основе GUID

            6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com

            не зарегистрировано на одном или нескольких DNS-серверах.

         [DC] Сбой функции DsBindWithSpnEx() с ошибкой 1722,

         Сервер RPC недоступен..

         [Replications Check,MSK-SRV17DC] Сбой при последней попытке

         репликации:

            Из DC в MSK-SRV17DC

            Контекст именования: CN=Configuration,DC=MY_FIRM,DC=com

            При репликации возникла ошибка (8524):

            Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

            

            Сбой возник в 2016-03-22 10:55:22.

            Последняя успешная операция была в 2015-07-29 06:52:52. После

            последней успешной операции было 

            5694 сбоев.

            DNS-имя на основе GUID

            6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com

            не зарегистрировано на одном или нескольких DNS-серверах.

         [Replications Check,MSK-SRV17DC] Сбой при последней попытке

         репликации:

            Из DC в MSK-SRV17DC

            Контекст именования: DC=MY_FIRM,DC=com

            При репликации возникла ошибка (8524):

            Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

            

            Сбой возник в 2016-03-22 10:55:16.

            Последняя успешная операция была в 2015-07-29 07:50:18. После

            последней успешной операции было 

            5694 сбоев.

            DNS-имя на основе GUID

            6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com

            не зарегистрировано на одном или нескольких DNS-серверах.

         ......................... MSK-SRV17DC - не пройдена проверка

         Replications

      Запуск проверки: RidManager

         ......................... MSK-SRV17DC - пройдена проверка RidManager

      Запуск проверки: Services

         ......................... MSK-SRV17DC - пройдена проверка Services

      Запуск проверки: SystemLog

         Возникла ошибка. Код события (EventID): 0x00009018

            Время создания: 03/22/2016   10:46:04

            Строка события:

            Возникло следующее неустранимое предупреждение: 20. Внутреннее состояние ошибки: 960.

         Возникла ошибка. Код события (EventID): 0x00009018

            Время создания: 03/22/2016   10:48:29

            Строка события:

            Возникло следующее неустранимое предупреждение: 20. 

Внутреннее состояние ошибки: 960.

         Возникла ошибка. Код события (EventID): 0x00009018

            Время создания: 03/22/2016   11:45:24

            Строка события:

            Возникло следующее неустранимое предупреждение: 20. Внутреннее состояние ошибки: 960.

         Возникла ошибка. Код события (EventID): 0x00009018

            Время создания: 03/22/2016   11:45:33

            Строка события:

            Возникло следующее неустранимое предупреждение: 20. Внутреннее состояние ошибки: 960.

         ......................... MSK-SRV17DC - не пройдена проверка SystemLog

      Запуск проверки: VerifyReferences

         ......................... MSK-SRV17DC - пройдена проверка

         VerifyReferences

   

   

   Выполнение проверок разделов на: ForestDnsZones

      Запуск проверки: CheckSDRefDom

         ......................... ForestDnsZones - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... ForestDnsZones - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок разделов на: DomainDnsZones

      Запуск проверки: CheckSDRefDom

         ......................... DomainDnsZones - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... DomainDnsZones - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок разделов на: Schema

      Запуск проверки: CheckSDRefDom

         ......................... Schema - пройдена проверка CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... Schema - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок разделов на: Configuration

      Запуск проверки: CheckSDRefDom

         ......................... Configuration - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... Configuration - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок разделов на: MY_FIRM

      Запуск проверки: CheckSDRefDom

         ......................... MY_FIRM - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... MY_FIRM - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок предприятия на: MY_FIRM.com

      Запуск проверки: LocatorCheck

         ......................... MY_FIRM.com - пройдена проверка

         LocatorCheck

      Запуск проверки: Intersite

         ......................... MY_FIRM.com - пройдена проверка

         Intersite

ipconfig /all с хозяина FSMO

Код:

Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : MSK-SRV17DC

   Основной DNS-суффикс  . . . . . . : MY_FIRM.com

   Тип узла. . . . . . . . . . . . . : Гибридный

   IP-маршрутизация включена . . . . : Нет

   WINS-прокси включен . . . . . . . : Нет

   Порядок просмотра суффиксов DNS . : MY_FIRM.com



Ethernet adapter Подключение по локальной сети:



   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 M

   Физический адрес. . . . . . . . . : 00-50-56-01-00-0D

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 192.168.1.7(Основной)

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . : 192.168.1.1

   DNS-серверы. . . . . . . . . . . : 192.168.1.7

                                       192.168.0.7

   NetBios через TCP/IP. . . . . . . . : Включен



Туннельный адаптер isatap.{ADA41031-7829-4111-B0BD-A4949E4130E8}:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да



Туннельный адаптер Teredo Tunneling Pseudo-Interface:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . :

   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

dcdiag /test:dns с хозяина FSMO . какие-то левые ДНС

Код:





Диагностика сервера каталогов



Выполнение начальной настройки:

   Выполняется попытка поиска основного сервера...

   Основной сервер = MSK-SRV17DC

   * Идентифицирован лес AD.

   Сбор начальных данных завершен.



Выполнение обязательных начальных проверок



   Сервер проверки: Default-First-Site\MSK-SRV17DC

      Запуск проверки: Connectivity

         ......................... MSK-SRV17DC - пройдена проверка Connectivity



Выполнение основных проверок



   Сервер проверки: Default-First-Site\MSK-SRV17DC



      Запуск проверки: DNS



         Проверки DNS выполняются без зависания. Подождите несколько минут...

         ......................... MSK-SRV17DC - пройдена проверка DNS



   Выполнение проверок разделов на: ForestDnsZones



   Выполнение проверок разделов на: DomainDnsZones



   Выполнение проверок разделов на: Schema



   Выполнение проверок разделов на: Configuration



   Выполнение проверок разделов на: MY_FIRM



   Выполнение проверок предприятия на: MY_FIRM.com

      Запуск проверки: DNS

         Отчет о результатах проверки DNS-серверов, используемых приведенными

         выше контроллерами домена:



            DNS-сервер: 194.67.1.154 (<name unavailable>)

               1 - проверка на данном DNS-сервере не пройдена

               PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN

S server 194.67.1.154

            DNS-сервер: 194.67.2.114 (<name unavailable>)

               1 - проверка на данном DNS-сервере не пройдена

               PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN

S server 194.67.2.114

         ......................... MY_FIRM.com - пройдена проверка DNS

dcdiag со 2го контроллера домена

Код:



Диагностика сервера каталогов



Выполнение начальной настройки:

   Выполняется попытка поиска основного сервера...

   Основной сервер = DC1

   * Идентифицирован лес AD. 

   Сбор начальных данных завершен.



Выполнение обязательных начальных проверок

   

   Сервер проверки: Default-First-Site\DC1

      Запуск проверки: Connectivity

         ......................... DC1 - пройдена проверка Connectivity



Выполнение основных проверок

   

   Сервер проверки: Default-First-Site\DC1

      Запуск проверки: Advertising

         ......................... DC1 - пройдена проверка Advertising

      Запуск проверки: FrsEvent

         За последние 24 часа после предоставления SYSVOL в общий доступ

         зафиксированы предупреждения или сообщения  об ошибках.  Сбои при

         репликации SYSVOL могут стать причиной проблем групповой политики. 

         ......................... DC1 - пройдена проверка FrsEvent

      Запуск проверки: DFSREvent

         ......................... DC1 - пройдена проверка DFSREvent

      Запуск проверки: SysVolCheck

         ......................... DC1 - пройдена проверка SysVolCheck

      Запуск проверки: KccEvent

         ......................... DC1 - пройдена проверка KccEvent

      Запуск проверки: KnowsOfRoleHolders

         ......................... DC1 - пройдена проверка KnowsOfRoleHolders

      Запуск проверки: MachineAccount

         ......................... DC1 - пройдена проверка MachineAccount

      Запуск проверки: NCSecDesc

         ......................... DC1 - пройдена проверка NCSecDesc

      Запуск проверки: NetLogons

         ......................... DC1 - пройдена проверка NetLogons

      Запуск проверки: ObjectsReplicated

         ......................... DC1 - пройдена проверка ObjectsReplicated

      Запуск проверки: Replications

         [Replications Check,DC1] Сбой при последней попытке репликации:

            Из DC в DC1

            Контекст именования:

            CN=Schema,CN=Configuration,DC=MY_FIRM,DC=com

            При репликации возникла ошибка (8524):

            Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

            

            Сбой возник в 2016-03-22 08:54:17.

            Последняя успешная операция была в 2015-07-29 07:49:59. После

            последней успешной операции было 

            5657 сбоев.

            DNS-имя на основе GUID

            6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com

            не зарегистрировано на одном или нескольких DNS-серверах.

         [DC] Сбой функции DsBindWithSpnEx() с ошибкой 1722,

         Сервер RPC недоступен..

         [Replications Check,DC1] Сбой при последней попытке репликации:

            Из DC в DC1

            Контекст именования: CN=Configuration,DC=MY_FIRM,DC=com

            При репликации возникла ошибка (8524):

            Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

            

            Сбой возник в 2016-03-22 08:54:11.

            Последняя успешная операция была в 2015-07-29 07:49:38. После

            последней успешной операции было 

            5657 сбоев.

            DNS-имя на основе GUID

            6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com

            не зарегистрировано на одном или нескольких DNS-серверах.

         [Replications Check,DC1] Сбой при последней попытке репликации:

            Из DC в DC1

            Контекст именования: DC=MY_FIRM,DC=com

            При репликации возникла ошибка (8524):

            Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.

            

            Сбой возник в 2016-03-22 08:54:05.

            Последняя успешная операция была в 2015-07-29 07:50:15. После

            последней успешной операции было 

            5657 сбоев.

            DNS-имя на основе GUID

            6ee60450-2a00-42b3-87e1-6da525b7347c._msdcs.MY_FIRM.com

            не зарегистрировано на одном или нескольких DNS-серверах.

         ......................... DC1 - не пройдена проверка Replications

      Запуск проверки: RidManager

         ......................... DC1 - пройдена проверка RidManager

      Запуск проверки: Services

         ......................... DC1 - пройдена проверка Services

      Запуск проверки: SystemLog

         Возникла ошибка. Код события (EventID): 0x00000422

            Время создания: 03/22/2016   08:40:49

            Строка события:

            Ошибка при обработке групповой политики. Попытка чтения файла "\\MY_FIRM.com\SysVol\MY_FIRM.com\Policies\{F4AD26CF-E69B-4B81-BB1C-066DA554FB63}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: 

         ......................... DC1 - не пройдена проверка SystemLog

      Запуск проверки: VerifyReferences

         ......................... DC1 - пройдена проверка VerifyReferences

   

   

   Выполнение проверок разделов на: ForestDnsZones

      Запуск проверки: CheckSDRefDom

         ......................... ForestDnsZones - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... ForestDnsZones - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок разделов на: DomainDnsZones

      Запуск проверки: CheckSDRefDom

         ......................... DomainDnsZones - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... DomainDnsZones - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок разделов на: Schema

      Запуск проверки: CheckSDRefDom

         ......................... Schema - пройдена проверка CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... Schema - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок разделов на: Configuration

      Запуск проверки: CheckSDRefDom

         ......................... Configuration - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... Configuration - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок разделов на: MY_FIRM

      Запуск проверки: CheckSDRefDom

         ......................... MY_FIRM - пройдена проверка

         CheckSDRefDom

      Запуск проверки: CrossRefValidation

         ......................... MY_FIRM - пройдена проверка

         CrossRefValidation

   

   Выполнение проверок предприятия на: MY_FIRM.com

      Запуск проверки: LocatorCheck

         ......................... MY_FIRM.com - пройдена проверка

         LocatorCheck

      Запуск проверки: Intersite

         ......................... MY_FIRM.com - пройдена проверка

         Intersite

оснастка домены и службы https://yadi.sk/i/-wp4MKBFqMTqd

С чего начать?

Ну, по ходу у меня проблемы из-за этой лабуды
FRS DomainControllerName: (null)

подправлял по этой инструкции
http://forum.ru-board.com/topic.cgi?...topic=25131#17

Краткое содержание:

1. В сети было два DC. Одному из них пришло время помирать по железу.
2. Поднял новый DC. Раскидал роли с помирающего DC.
3. Понизил старый DC. Убил на нем CA и поднял новый на другом сервере.
4. Вывел старый сервер из домена и выключил нах.
5. На новом сервере перестали шариться Sysvol и Netlogon
6. Долго курил разные мануалы. Потом выложил логи сюда.
7. Добрые люди поглядели в ntfrsutl ds и ткнули пальцем в отсутствующий в реплике
Primary Member, каковой за каким-то хреном встал в (null).
8. При помощи adsiedit прописал туда адрес сервера с правильным Sysvol.
9. На обоих серверах погасил Ntfrs.
10. Прописал в регистри в HKLM/SYSTEM/Current Control Set/Services/Ntfrs/Parameters/
"Backup/Restore"/Process at startup/Burflags значение D4 на сервере с правильным Sysvol и D2 на втором.

в ADSI запись реплицировалась и на другой сервер, флаги D4 и D2 после изменения на серверах выставились в 0, но вывод ntfsr ds всё равно пишет FRS DomainControllerName: (null)

Код:

NTFRS CONFIGURATION IN THE DS

SUBSTITUTE DCINFO FOR DC

   FRS  DomainControllerName: (null)

   Computer Name            : MSK-SRV17DC

   Computer DNS Name        : MSK-SRV17DC.MY_FIRM.com



BINDING TO THE DS:

   ldap_connect     : MSK-SRV17DC.MY_FIRM.com

   DsBind     : MSK-SRV17DC.MY_FIRM.com



NAMING CONTEXTS:

   SitesDn    : CN=Sites,cn=configuration,dc=MY_FIRM,dc=com

   ServicesDn : CN=Services,cn=configuration,dc=MY_FIRM,dc=com

   DefaultNcDn: DC=MY_FIRM,DC=com

   ComputersDn: CN=Computers,DC=MY_FIRM,DC=com

   DomainCtlDn: OU=Domain Controllers,DC=MY_FIRM,DC=com

   Fqdn       : CN=MSK-SRV17DC,OU=Domain Controllers,DC=MY_FIRM,DC=com

   Searching  : Fqdn



COMPUTER: MSK-SRV17DC

   DN   : cn=msk-srv17dc,ou=domain controllers,dc=MY_FIRM,dc=com

   Guid : 1934be18-749d-427d-b81a4c410499c22c

   UAC  : 0x00082000

   Server BL : CN=MSK-SRV17DC,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=MY_FIRM,DC=com

   Settings  : cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

   DNS Name  : MSK-SRV17DC.MY_FIRM.com

   WhenCreated  : 12/6/2013 10:58:0 RTZ 2 (

   WhenChanged  : 3/20/2016 19:56:18 RTZ 2 (



   SUBSCRIPTION: NTFRS SUBSCRIPTIONS

      DN   : cn=ntfrs subscriptions,cn=msk-srv17dc,ou=domain controllers,dc=MY_FIRM,dc=com

      Guid : 2bb37985-8b8a-40ad-8d35a75fd22eb05b

      Working       : c:\windows\ntfrs

      Actual Working: c:\windows\ntfrs

      WhenCreated  : 12/8/2013 19:18:14 RTZ 2 (

      WhenChanged  : 12/8/2013 19:18:14 RTZ 2 (



      SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)

         DN   : cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn=msk-srv17dc,ou=domain controllers,dc=MY_FIRM,dc=com

         Guid : 527a8ade-cf54-4707-98c09e7776f40776

         Member Ref: CN=MSK-SRV17DC,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=MY_FIRM,DC=com

         Root      : c:\windows\sysvol\domain

         Stage     : c:\windows\sysvol\staging\domain

         WhenCreated  : 12/8/2013 19:18:14 RTZ 2 (

         WhenChanged  : 12/8/2013 19:18:14 RTZ 2 (

   Subscriber Member Back Links:

      cn=msk-srv17dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com



SETTINGS: FILE REPLICATION SERVICE

   DN   : cn=file replication service,cn=system,dc=MY_FIRM,dc=com

   Guid : 456995e2-cc92-4791-9f725c6a23992617

   WhenCreated  : 6/21/2007 16:0:7 RTZ 2 (

   WhenChanged  : 12/8/2013 19:14:1 RTZ 2 (



   SET: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)

      DN   : cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com

      Guid : dc5fa9e5-352f-469b-b7c7dfc470bea746

      Type          : 2

      Primary Member: CN=MSK-SRV17DC,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=MY_FIRM,DC=com

      File Filter   : *.tmp, *.bak, ~*

      Dir  Filter   : (null)

      FRS Flags     : (null)

      WhenCreated  : 6/21/2007 16:7:56 RTZ 2 (

      WhenChanged  : 3/22/2016 10:23:44 RTZ 2 (



      MEMBER: DC

         DN   : cn=dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com

         Guid : 8c70bb59-4162-4a69-85ee9c28a78229cb

         Server Ref     : CN=NTDS Settings,CN=DC,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=MY_FIRM,DC=com

         Computer Ref   : cn=dc,ou=domain controllers,dc=MY_FIRM,dc=com

         Cracked Domain : MY_FIRM.com

         Cracked Name   : 00000002 MY_FIRM\DC$

         Cracked Domain : MY_FIRM.com

         Cracked Name   : fffffff4 S-1-5-21-12947018-2755733833-2693536531-1005

         Computer's DNS : dc.MY_FIRM.com

         WhenCreated  : 6/19/2015 19:11:55 RTZ 2 (

         WhenChanged  : 6/19/2015 19:27:0 RTZ 2 (



         CXTION: 49EE8CA1-51A7-4E8F-99F9-9372831D3CBD

            DN   : cn=49ee8ca1-51a7-4e8f-99f9-9372831d3cbd,cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Guid : 7ef15d9d-d974-4291-812c6b11bcb789a9

            Partner Dn   : cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Partner Rdn  : NTDS SETTINGS

            Enabled      : TRUE

            WhenCreated  : 6/19/2015 19:16:45 RTZ 2 (

            WhenChanged  : 7/3/2015 14:13:40 RTZ 2 (

            Options      : 0x00000001 [AutoGenCxtion ]

            Schedule

            Day 1: 111111111111111111111111

            Day 2: 111111111111111111111111

            Day 3: 111111111111111111111111

            Day 4: 111111111111111111111111

            Day 5: 111111111111111111111111

            Day 6: 111111111111111111111111

            Day 7: 111111111111111111111111



         CXTION: 5B057248-3F3F-4153-95A3-C79CA9826D69

            DN   : cn=5b057248-3f3f-4153-95a3-c79ca9826d69,cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Guid : 167706e2-a321-4037-b4fb4ac69cb1a248

            Partner Dn   : cn=ntds settings,cn=dc1,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Partner Rdn  : NTDS SETTINGS

            Enabled      : TRUE

            WhenCreated  : 7/22/2015 5:13:52 RTZ 2 (

            WhenChanged  : 7/22/2015 5:14:10 RTZ 2 (

            Options      : 0x00000001 [AutoGenCxtion ]

            Schedule

            Day 1: 111111111111111111111111

            Day 2: 111111111111111111111111

            Day 3: 111111111111111111111111

            Day 4: 111111111111111111111111

            Day 5: 111111111111111111111111

            Day 6: 111111111111111111111111

            Day 7: 111111111111111111111111



         CXTION: 7BCDC1B0-8FC0-45B6-9AA4-361A172359A3

            DN   : cn=7bcdc1b0-8fc0-45b6-9aa4-361a172359a3,cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Guid : fedf985e-260d-4f0d-92c20816623e04b7

            Partner Dn   : cn=ntds settings\0adel:9cd3eff5-9154-4113-b66e-5782121e51fb,cn=tmg-spb,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Partner Rdn  : NTDS SETTINGS\0ADEL:9CD3EFF5-9154-4113-B66E-5782121E51FB

            Enabled      : TRUE

            WhenCreated  : 6/19/2015 19:16:45 RTZ 2 (

            WhenChanged  : 7/22/2015 5:14:10 RTZ 2 (

            Options      : 0x00000001 [AutoGenCxtion ]

            Schedule

            Day 1: 111111111111111111111111

            Day 2: 111111111111111111111111

            Day 3: 111111111111111111111111

            Day 4: 111111111111111111111111

            Day 5: 111111111111111111111111

            Day 6: 111111111111111111111111

            Day 7: 111111111111111111111111



      MEMBER: DC1

         DN   : cn=dc1,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com

         Guid : a69cb481-6d09-48ec-ac01311e83211504

         Server Ref     : CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=MY_FIRM,DC=com

         Computer Ref   : cn=dc1,ou=domain controllers,dc=MY_FIRM,dc=com

         Cracked Domain : MY_FIRM.com

         Cracked Name   : 00000002 MY_FIRM\DC1$

         Cracked Domain : MY_FIRM.com

         Cracked Name   : fffffff4 S-1-5-21-12947018-2755733833-2693536531-12655

         Computer's DNS : DC1.MY_FIRM.com

         WhenCreated  : 2/16/2014 16:56:58 RTZ 2 (

         WhenChanged  : 2/17/2014 18:13:13 RTZ 2 (



         CXTION: 35EF0574-4920-4DEC-A1E7-090A4E6D8B48

            DN   : cn=35ef0574-4920-4dec-a1e7-090a4e6d8b48,cn=ntds settings,cn=dc1,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Guid : 33766c55-ad35-46fe-b85a35e31cda9b2d

            Partner Dn   : cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Partner Rdn  : NTDS SETTINGS

            Enabled      : TRUE

            WhenCreated  : 2/16/2014 17:1:46 RTZ 2 (

            WhenChanged  : 12/4/2015 11:20:52 RTZ 2 (

            Options      : 0x00000001 [AutoGenCxtion ]

            Schedule

            Day 1: 111111111111111111111111

            Day 2: 111111111111111111111111

            Day 3: 111111111111111111111111

            Day 4: 111111111111111111111111

            Day 5: 111111111111111111111111

            Day 6: 111111111111111111111111

            Day 7: 111111111111111111111111



         CXTION: 86ACD6AA-6D4C-4EE1-B52A-46E07F64CB42

            DN   : cn=86acd6aa-6d4c-4ee1-b52a-46e07f64cb42,cn=ntds settings,cn=dc1,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Guid : 82923249-a0f3-431c-8eedd00081e7d61c

            Partner Dn   : cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Partner Rdn  : NTDS SETTINGS

            Enabled      : TRUE

            WhenCreated  : 6/19/2015 19:12:40 RTZ 2 (

            WhenChanged  : 7/29/2015 9:54:44 RTZ 2 (

            Options      : 0x00000001 [AutoGenCxtion ]

            Schedule

            Day 1: 111111111111111111111111

            Day 2: 111111111111111111111111

            Day 3: 111111111111111111111111

            Day 4: 111111111111111111111111

            Day 5: 111111111111111111111111

            Day 6: 111111111111111111111111

            Day 7: 111111111111111111111111



      MEMBER: EKB-SRV01DC

         DN   : cn=ekb-srv01dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com

         Guid : 3b0f635c-4b57-42e2-8dd48d0d46c284b2

         Server Ref     : (null)

         Computer Ref   : (null)

         WhenCreated  : 4/1/2010 12:51:16 RTZ 2 (

         WhenChanged  : 12/8/2013 19:14:17 RTZ 2 (

         WARN - EKB-SRV01DC lacks a settings reference



      MEMBER: ML-SRV02DC

         DN   : cn=ml-srv02dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com

         Guid : 432494ee-95ee-4334-987e4608f102690f

         Server Ref     : (null)

         Computer Ref   : (null)

         WhenCreated  : 4/4/2011 10:17:0 RTZ 2 (

         WhenChanged  : 12/8/2013 19:14:17 RTZ 2 (

         WARN - ML-SRV02DC lacks a settings reference



      MEMBER: MSK-SRV17DC

         DN   : cn=msk-srv17dc,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com

         Guid : 331939c7-d645-42de-bef2c77b883b51e3

         Server Ref     : CN=NTDS Settings,CN=MSK-SRV17DC,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=MY_FIRM,DC=com

         Computer Ref   : cn=msk-srv17dc,ou=domain controllers,dc=MY_FIRM,dc=com

         Cracked Domain : MY_FIRM.com

         Cracked Name   : 00000002 MY_FIRM\MSK-SRV17DC$

         Cracked Domain : MY_FIRM.com

         Cracked Name   : fffffff4 S-1-5-21-12947018-2755733833-2693536531-12625

         Computer's DNS : MSK-SRV17DC.MY_FIRM.com

         WhenCreated  : 12/8/2013 19:18:14 RTZ 2 (

         WhenChanged  : 12/8/2013 19:18:14 RTZ 2 (



         CXTION: 058849D9-519A-40C6-B8BD-1F6B61BC2EC0

            DN   : cn=058849d9-519a-40c6-b8bd-1f6b61bc2ec0,cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Guid : 7c11dcbd-f913-49de-81287ff3c1cb6187

            Partner Dn   : cn=ntds settings,cn=dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Partner Rdn  : NTDS SETTINGS

            Enabled      : TRUE

            WhenCreated  : 6/19/2015 19:11:57 RTZ 2 (

            WhenChanged  : 7/29/2015 9:57:52 RTZ 2 (

            Options      : 0x00000001 [AutoGenCxtion ]

            Schedule

            Day 1: 111111111111111111111111

            Day 2: 111111111111111111111111

            Day 3: 111111111111111111111111

            Day 4: 111111111111111111111111

            Day 5: 111111111111111111111111

            Day 6: 111111111111111111111111

            Day 7: 111111111111111111111111



         CXTION: B01ACF1E-7BFA-43BF-87FB-4B0FC84699CF

            DN   : cn=b01acf1e-7bfa-43bf-87fb-4b0fc84699cf,cn=ntds settings,cn=msk-srv17dc,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Guid : eb6b6206-9085-402f-9f17cdbc669e9b79

            Partner Dn   : cn=ntds settings,cn=dc1,cn=servers,cn=default-first-site,cn=sites,cn=configuration,dc=MY_FIRM,dc=com

            Partner Rdn  : NTDS SETTINGS

            Enabled      : TRUE

            WhenCreated  : 2/16/2014 16:57:41 RTZ 2 (

            WhenChanged  : 10/15/2015 9:1:33 RTZ 2 (

            Options      : 0x00000001 [AutoGenCxtion ]

            Schedule

            Day 1: 111111111111111111111111

            Day 2: 111111111111111111111111

            Day 3: 111111111111111111111111

            Day 4: 111111111111111111111111

            Day 5: 111111111111111111111111

            Day 6: 111111111111111111111111

            Day 7: 111111111111111111111111



      MEMBER: SPB-SRV12TS

         DN   : cn=spb-srv12ts,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=MY_FIRM,dc=com

         Guid : deb6e64b-f3b9-4e4e-b34d83ca420b7d76

         Server Ref     : (null)

         Computer Ref   : (null)

         WhenCreated  : 1/13/2013 19:27:28 RTZ 2 (

         WhenChanged  : 12/8/2013 19:14:17 RTZ 2 (

         WARN - SPB-SRV12TS lacks a settings reference

В общем, получил следующее:

хотя сейчас ntfrsutl ds выдаёт FRS DomainControllerName: (null) , а в ADSI параметр fRSPrimaryMember установлен как надо, а не null. На 2й DC данная настройка реплицировалась и в реестре HKLM/SYSTEM/Current Control Set/Services/Ntfrs/Parameters/
"Backup/Restore"/Process at startup/Burflags флаги сбросились на 0. Возможно, это связано с тем, что я не перезагружал сервак.

+ Из ДНС я вычистил все лишние записи DC в моих зонах и зонах обратного просмотра.

По сути, на данный момент, мне эти советы помогли - политики применяются и реплицируются между КД.
Единственная проблема осталась с оснастка домены и службы https://yadi.sk/i/-wp4MKBFqMTqd . Может знает кто почему так?
Накидаю сюда ссылок, мало ли кому поможет.

http://sysadmins.ru/post13315112.html#13315112
http://forum.ru-board.com/topic.cgi?...25131&start=20
http://winitpro.ru/index.php/2011/04...lity-ntdsutil/
https://social.technet.microsoft.com...rum=ws2008r2ru
https://social.technet.microsoft.com...ad?forum=WS8ru
https://support.microsoft.com/en-us/kb/312862