проблемы с создание дочернего домена

billybons · Отправлено: **13:49, 06-09-2005** | #11

dcdiag

Код:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-Name\DC2
      Starting test: Connectivity
         ......................... DC2 passed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-Name\DC2
      Starting test: Replications
         ......................... DC2 passed test Replications
      Starting test: NCSecDesc
         ......................... DC2 passed test NCSecDesc
      Starting test: NetLogons
         ......................... DC2 passed test NetLogons
      Starting test: Advertising
         ......................... DC2 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... DC2 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... DC2 passed test RidManager
      Starting test: MachineAccount
         ......................... DC2 passed test MachineAccount
      Starting test: Services
         ......................... DC2 passed test Services
      Starting test: ObjectsReplicated
         ......................... DC2 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... DC2 passed test frssysvol
      Starting test: frsevent
         ......................... DC2 passed test frsevent
      Starting test: kccevent
         ......................... DC2 passed test kccevent
      Starting test: systemlog
         ......................... DC2 passed test systemlog
      Starting test: VerifyReferences
         ......................... DC2 passed test VerifyReferences

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : sovet6
      Starting test: CrossRefValidation
         ......................... sovet6 passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... sovet6 passed test CheckSDRefDom

   Running enterprise tests on : sovet6
      Starting test: Intersite
         ......................... sovet6 passed test Intersite
      Starting test: FsmoCheck
         ......................... sovet6 passed test FsmoCheck

netdiag

Код:

    Computer Name: DC2
    DNS Host Name: dc2.sovet6
    System info : Windows 2000 Server (Build 3790)
    Processor : x86 Family 15 Model 3 Stepping 3, GenuineIntel
    List of installed hotfixes :
        Q147222


Netcard queries test . . . . . . . : Passed



Per interface results:

    Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш 2

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : dc2
        IP Address . . . . . . . . : 192.168.2.21
        Subnet Mask. . . . . . . . : 255.255.255.0
        Default Gateway. . . . . . : 192.168.2.61
        Dns Servers. . . . . . . . : 192.168.2.21
                                     192.168.2.20


        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Failed
            No gateway reachable for this adapter.

        NetBT name test. . . . . . : Passed
        [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.

        WINS service test. . . . . : Skipped
            There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
        NetBT_Tcpip_{FD1809DF-5A35-46C1-B4A9-E9FB1F729ACB}
    1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Failed

    [FATAL] NO GATEWAYS ARE REACHABLE.
    You have no connectivity to other network segments.
    If you configured the IP protocol manually then
    you need to add at least one valid gateway.


NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Failed
          [WARNING] Cannot find a primary authoritative DNS server for the name
            'dc2.sovet6.'. [RCODE_SERVER_FAILURE]
            The name 'dc2.sovet6.' may not be registered in DNS.
    [WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.2.21'. Please wait for 30 minutes for DNS server replication.
    [WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.2.20'. Please wait for 30 minutes for DNS server replication.
    [FATAL] No DNS servers have the DNS records for this DC registered.


Redir and Browser test . . . . . . : Passed
    List of NetBt transports currently bound to the Redir
        NetBT_Tcpip_{FD1809DF-5A35-46C1-B4A9-E9FB1F729ACB}
    The redir is bound to 1 NetBt transport.

    List of NetBt transports currently bound to the browser
        NetBT_Tcpip_{FD1809DF-5A35-46C1-B4A9-E9FB1F729ACB}
    The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Passed
    Secure channel for domain 'SOVET6' is to '\\dc.sovet6'.


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
    No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

    Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

Т.е. как я понимаю, ошибка в DNS?

billybons · Отправлено: **14:41, 06-09-2005** | #12

2Fighter:

Цитата:

обратите внимание
Не удалось проверить уникальность предлагаемого имени пользователя в глобальном каталоге

Собственно, я потому и не хотел делать второй сервером GC, чтобы было очевидно, что репликация проходит. А то теперь создаю пользователя - и фиг знает, обновилась АД на основном (DC.Sovet6) или не обновилась.

Fighter · Отправлено: **15:22, 06-09-2005** | #13

billybons
я ведь не настаиваю на том что бы вы передавали/или не передавали роль глобального каталога
это ваше и только ваше право и дело, и что то советовать в эту сторону я могу только с позиции - обратите внимание
тем более для аудита репликации...
в часности вовращаясь собственно к проблеме
Dns Servers. . . . . . . . : 192.168.2.21 (я так понимаю основной, local)
192.168.2.20 (альтернативный)
немного неясна эта ситуация, зачем два?

Цитата:

DNS test . . . . . . . . . . . . . : Failed
[WARNING] Cannot find a primary authoritative DNS server for the name
'dc2.sovet6.'. [RCODE_SERVER_FAILURE]
The name 'dc2.sovet6.' may not be registered in DNS.
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.2.21'. Please wait for 30 minutes for DNS server replication.
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.2.20'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.

Цитата:

[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.

с чего бы?
1. nslookup
>set q=srv
>_ldap._tcp.dc._msdcs.ИмяДоменаActiveDirectory
2. netdom query fsmo в студию

[quote]

billybons · Отправлено: **16:49, 06-09-2005** | #14

netdom query fsmo

Schema owner dc.sovet6
Domain role owner dc.sovet6
PDC role dc.sovet6
RID pool manager dc.sovet6
Infrastructure owner dc.sovet6
The command completed successfully.

nslookup

Default Server: dc2.sovet6
Address: 192.168.2.21

> set q=srv
> _ldap._tcp.dc._msdcs.sovet6
Server: dc2.sovet6
Address: 192.168.2.21

_ldap._tcp.dc._msdcs.sovet6 SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = dc.sovet6
_ldap._tcp.dc._msdcs.sovet6 SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = dc2.sovet6
dc.sovet6 internet address = 192.168.2.20
dc2.sovet6 internet address = 192.168.2.21
>

billybons · Отправлено: **16:52, 06-09-2005** | #15

Цитата:

Dns Servers. . . . . . . . : 192.168.2.21 (я так понимаю основной, local)
192.168.2.20 (альтернативный)
немного неясна эта ситуация, зачем два?

Основной - 192.168.2.20 (DC.SOVET6)
Второй - 192.168.2.21 (DC2.SOVET6)

Fighter · Отправлено: **17:39, 06-09-2005** | #16

dcdiag /test:replications
repadmin /showreps DC

SkyF · Отправлено: **20:08, 06-09-2005** | #17

Цитата:

Основной - 192.168.2.20 (DC.SOVET6)
Второй - 192.168.2.21 (DC2.SOVET6)

вот кого вы назвали основным - тот пускай и будет предпочитаемым DNS сервером для всех клиентов домена.
а тот, кого вы назвали 2м - пускай будет альтернативным!

два сервера нужно для отказоустойчивости.
если предпочитаемый выходит из строя все ОС, которые имели в настройках альтернативный - уходят запросами на поиск доменных служб и компонент на него! даже сам второй КД.

Цитата:

Default Server: dc2.sovet6
Address: 192.168.2.21

очень плохо.
не помню сейчас точно линки, может FIghter поможет найти, есть отдельные статьи и на Microsoft.com (вот она Клиентам не удается зарегистрировать записи DNS в зоне прямого просмотра с именем, состоящим из одной метки ) и у нас уже не раз обсуждалась подобная ситуация с доменом, имеющим односложное имя

это не правильно, вы когда домен создавали мастером - вас просили DNS имя домена указывать.. и даже примеры вам давал мастер: microsoft.com или example.microsoft.com, но никак не просто example mydomain.

Fighter · Отправлено: **10:40, 07-09-2005** | #18

Цитата:

два сервера нужно для отказоустойчивости.

прошу прощения за двоякость и в чем то некорректность вопроса,
бесусловно это так как сказал SkyF

Цитата:

Цитата Fighter:

Dns Servers. . . . . . . . : 192.168.2.21 (я так понимаю основной, local)
192.168.2.20 (альтернативный)
немного неясна эта ситуация, зачем два?

Цитата billybons:

Основной - 192.168.2.20 (DC.SOVET6)
Второй - 192.168.2.21 (DC2.SOVET6)

думаю подтекст понятен, и мое имхо здесь такое:
добиться уверенной репликации AD на одном DNS (в данном случае на основном)
затем, для той же отказоустойчивости, поднять альтернативный,
или наоборот, репликация DNS => подъём dc2
далее

Цитата:

2. ОШИБКА

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 6702
Дата: 05.09.2005
Время: 15:31:07
Пользователь: Н/Д
Компьютер: DC2
Описание:
DNS-сервер обновил свои записи узла (A). Чтобы убедиться, что с этими интегрированными в DS равноправными DNS-серверами можно провести репликацию с данным сервером, была произведена попытка их динамического обновления с новыми записями. При этом обновлении произошла ошибка. Данные записи содержат код ошибки.

Сообщения о событиях DNS с кодами от 1616 до 6702 в Windows Server 2003

Цитата:

Репликация Active Directory зависит от следующих факторов.

Каждый контроллер домена в лесу должен регистрировать свою запись CNAME для имени DsaGuid._msdcs.имя_леса. DsaGuid представляет собой идентификатор GUID параметров NTDS объекта контроллера домена (отображаемый в оснастке «Active Directory — сайты и службы» как свойство DNS-псевдонима параметров NTDS объекта сервера). Эта запись обычно принадлежит к зоне _msdcs.имя_леса, а если такой зоны не существует, то к зоне имя_леса.
Каждое объявление контроллера домена в лесу должно сопровождаться регистрацией его записи А в зоне, соответствующей данному домену леса.
Запись А должна сопоставляться с текущим IP-адресом соответствующего контроллера домена.
Записи должны реплицироваться на DNS-серверы, используемые партнерами по репликации.
Каждая зона DNS должна иметь необходимое делегирование дочерних зон.
В IP-конфигурации контроллеров доменов должны быть правильно заданы основные и дополнительные DNS-серверы.
Появление ошибок DNS, сообщения о которых заносятся в журнал службы каталогов, или при выполнении команды repadmin /showreps, означает, что конечный контроллер домена не может разрешить DNS-имя на основе GUID его исходного партнера репликации.

Решение.

Проверьте записи CNAME и A. В командной строке введите:
dcdiag /test:connectivity
Если записи CNAME и A отсутствуют, перезапустите программу netlogon. В командной строке введите:
net start netlogon
Проверьте записи CNAME и A, повторив шаг 1.
Если записи отсутствуют, проверьте конфигурацию IP. Проверьте, правильно ли заданы в конфигурации IP основной и дополнительный DNS-серверы для исходного и конечного контроллеров доменов.
Если конфигурация клиента верна, проверьте динамичность зоны. В командной строке введите:
dcdiag /test:registerindns /dnsdomain
Чтобы убедиться, что причиной неполадки стало разрешение имени, примените команду ping с именем, основанном на GUID, к тому контроллеру домена, на котором произошел сбой репликации. Если проверка прошла успешно, при следующем цикле репликации данная ошибка не возникнет .
В противном случае потребуются дальнейшие шаги по устранению неполадок DNS. Дополнительные сведения см. в разделе «Устранение неполадок DNS» на веб-узле ресурсов Microsoft Windows (http://www.microsoft.com/).

Цитата:

у нас уже не раз обсуждалась подобная ситуация

кажись она
WINS & DNS

billybons · Отправлено: **11:29, 07-09-2005** | #19

2Fighter:

Цитата:

dcdiag /test:replications
repadmin /showreps DC

(on DC2)
dcdiag /test:replications

Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\DC2
Starting test: Connectivity
......................... DC2 passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\DC2
Starting test: Replications
......................... DC2 passed test Replications
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : sovet6
Running enterprise tests on : sovet6

2SkyF:
На доп. контроллере в свойствах primary DNS: 192.168.2.20 (DC), sec.: 192.168.2.21 (DC2)?
OK, переделал. Думал, что если каждому из двух серверов сделать примари его же - то будет лучше...
Теперь на обоих примари DC, секондари DC2

Спасибо за ответы.

billybons · Отправлено: **11:33, 07-09-2005** | #20

2SkyF

Цитата:

не помню сейчас точно линки, может FIghter поможет найти, есть отдельные статьи и на Microsoft.com (вот она Клиентам не удается зарегистрировать записи DNS в зоне прямого просмотра с именем, состоящим из одной метки ) и у нас уже не раз обсуждалась подобная ситуация с доменом, имеющим односложное имя.
это не правильно, вы когда домен создавали мастером - вас просили DNS имя домена указывать.. и даже примеры вам давал мастер: microsoft.com или example.microsoft.com, но никак не просто example mydomain.

Вроде мона в Win2003 Ser домены переименовывать? Может сделать домен типа sovet6.local? В моем случае имя домена не очень принципиально.