Работа контроллеров домена после восстановления HDD.

Работа контроллеров домена после восстановления HDD.

BrAWo

Новый участник

Сообщения: 13
Благодарности: 4

Не могу сообразить что делать чтоб все заработало.

Есть :
NPDC – основной DC (192.168.0.253)
NDC – дополнительный DC (192.168.0.252)

На NPDC помер HDD c системой

HDD был заменен и восстановлен Acronis но копия была только недельной давности (с этого и все проблемы я думаю)

После чего NPDC выдает в журналах :
При первом запуске после восстановления :

Журнал System
27.08.2012,21:54:57,LSASRV,Предупреждение,SPNEGO (согласователь) ,40960,Н/Д,NPDC,"Система безопасности обнаружила ошибку проверки подлинности сервера ldap/npdc.kdom.local. Полученный от протокола проверки подлинности Kerberos код ошибки: ""Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные. (0xc000006d)""."

27.08.2012,21:54:50,LSASRV,Предупреждение,SPNEGO (согласователь) ,40960,Н/Д,NPDC,"Система безопасности обнаружила ошибку проверки подлинности сервера cifs/ndc.kdom.local. Полученный от протокола проверки подлинности Kerberos код ошибки: ""Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные. (0xc000006d)""."

Журнал служба каталогов
27.08.2012,21:59:31,NTDS KCC,Предупреждение,Проверка согласованности знаний ,1308,NT AUTHORITY\АНОНИМНЫЙ ВХОД,NPDC,"В ходе проверки согласованности знаний обнаружено, что все дальнейшие попытки репликации со следующим контроллером домена завершились неудачно.
Попыток:
1
Контроллер домена:
CN=NTDS Settings,CN=NDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=kdom,DC=local
Интервал (мин):
160
Объект подключения для этого контроллера домена будет проигнорирован, а для гарантии продолжения репликации будет установлено новое временное подключение. Как только репликация с этим контроллером домена возобновится, временное подключение будет удалено.

Дополнительные данные
Значение ошибки:
5 Отказано в доступе."

27.08.2012,22:54:31,NTDS Replication,Предупреждение,Репликация ,2092,NT AUTHORITY\АНОНИМНЫЙ ВХОД,NPDC,"
Этот сервер является владельцем следующей роли FSMO, но не считает назначение правильным. Для раздела, содержащего FSMO, этот сервер не выполнил успешной репликации ни с одним из партнеров репликации с момента перезапуска этого сервера. Ошибки репликации мешают выполнению проверки для этой роли.
Операции, требующие обращения к хозяину операции FSMO, не смогут выполняться, пока это состояние не будет исправлено.
Роль FSMO: DC=kdom,DC=local
Действие пользователя:
1. Начальная синхронизация является самой первой репликацией, выполняемой системой при запуске. Ошибка при выполнении начальной синхронизации может быть причиной того, что роль FSMO не может быть проверена. Описание этого процесса содержится в статье базы знаний 305476.
2. Этот сервер имеет одного или несколько партнеров репликации, и репликация завершается ошибкой для всех этих партнеров. Используйте команду ""repadmin /showrepl"" для отображения ошибок репликации. Исправьте соответствующую ошибку. Например, это могут быть проблемы связи IP, разрешения DNS-имен, проверки подлинности, которые мешают успешному выполнению репликации.
3. В том редком случае, если известно, что все партнеры репликации были неработоспособны, возможно, из-за выполнения обслуживания или восстановления после ошибки, можно принудительно выполнить проверку роли. Это можно сделать с помощью утилиты NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-узле http://support.microsoft.com.
Могут быть затронуты следующие операции:
Схема: нельзя будет изменять схему для этого леса.
Именование доменов: нельзя будет добавлять или удалять домены из этого леса.
PDC: нельзя будет выполнять операции, исполняемые основным контроллером домена, например, обновление групповой политики и сброс паролей для учетных записей, не принадлежащих Active Directory.
RID: нельзя будет выделять новые SID для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности.
Инфраструктура: междоменные ссылки на имена, например, членство в универсальных группах, не будут правильно обновляться, если конечный объект будет перемещен или переименован."

28.08.2012,15:31:09,NTDS Replication,Предупреждение,DS RPC-клиент ,2088,NT AUTHORITY\АНОНИМНЫЙ ВХОД,NPDC,"Active Directory не может использовать DNS для разрешения указанного ниже IP—адреса исходного контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютеров и их паролей, Active Directory была успешно реплицирована с помощью NetBIOS или полное доменное имя исходного контроллера домена.

Неправильная настройка DNS может влиять на другие важные операции на рядовых компьютерах, контроллерах домена или серверах приложений в лесе этой службы каталогов Active Directory, включая проверку подлинности при входе или доступ к сетевым ресурсам.
Следует как можно скорее исправить ошибку настройки DNS, чтобы этот контроллер домена мог выполнять разрешение IP—адреса исходного контроллера домена с помощью DNS.
Имя альтернативного сервера:
ndc
Ошибочное имя узла DNS:
d9b32349-7f5e-4877-a68a-f9162174ab34._msdcs.kdom.local
Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12—часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Действие пользователя:
1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду ""net view \\<source DC name>"" или ""ping <source DC name>"".
3) Проверьте, что исходный контроллер домена использует правильный DNS—сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns
dcdiag /test:dns
4) Проверьте, что конечный контроллер домена использует правильный DNS—сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
dcdiag /test:dns
5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449
Дополнительные данные:
Ошибка:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.
"

Журнал Служба репликации файлов
27.08.2012,21:56:47,NtFrs,Предупреждение,Отсутствует,13508,Н/Д,NPDC,"Служба репликации файлов столкнулась с проблемами при включении репликации с ""NDC"" на ""NPDC"" для ""e:\sysvol\domain"", использующего DNS-имя ""ndc.kdom.local"". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.
[1] FRS не может разрешить DNS-имя ""ndc.kdom.local"" с этого компьютера.
[2] FRS не запущена на ""ndc.kdom.local"".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.
Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено."

По командам :
Все выполняю на NDC (дополнительный DC)

repadmin /showrepl

Код:

repadmin running command /showrepl against server localhost

Default-First-Site-Name\NDC
DC Options: IS_GC 
Site Options: (none)
DC object GUID: d9b32349-7f5e-4877-a68a-f9162174ab34
DC invocationID: 298d2e64-541c-43d8-a12c-fdac5233ec30

==== INBOUND NEIGHBORS ======================================

DC=kdom,DC=local
    Default-First-Site-Name\NPDC via RPC
        DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
        Last attempt @ 2012-08-29 12:13:33 failed, result -2146893022 (0x80090322):
            Главное конечное имя неверно.
        720 consecutive failure(s).
        Last success @ 2012-08-27 19:19:21.

CN=Configuration,DC=kdom,DC=local
    Default-First-Site-Name\NPDC via RPC
        DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
        Last attempt @ 2012-08-29 11:45:35 failed, result -2146893022 (0x80090322):
            Главное конечное имя неверно.
        45 consecutive failure(s).
        Last success @ 2012-08-27 17:46:01.

CN=Schema,CN=Configuration,DC=kdom,DC=local
    Default-First-Site-Name\NPDC via RPC
        DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
        Last attempt @ 2012-08-29 11:45:35 failed, result -2146893022 (0x80090322):
            Главное конечное имя неверно.
        41 consecutive failure(s).
        Last success @ 2012-08-27 17:46:01.

DC=DomainDnsZones,DC=kdom,DC=local
    Default-First-Site-Name\NPDC via RPC
        DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
        Last attempt @ 2012-08-29 11:45:35 failed, result 1256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.
        79 consecutive failure(s).
        Last success @ 2012-08-27 19:18:02.

DC=ForestDnsZones,DC=kdom,DC=local
    Default-First-Site-Name\NPDC via RPC
        DC object GUID: 4559c9d3-34f8-40b8-8da0-2064fba2227b
        Last attempt @ 2012-08-29 11:45:35 failed, result 1256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.
        44 consecutive failure(s).
        Last success @ 2012-08-27 19:17:47.

Source: Default-First-Site-Name\NPDC
******* 716 CONSECUTIVE FAILURES since 2012-08-27 19:19:21
Last error: -2146893022 (0x80090322):
            Главное конечное имя неверно.

net view \\npdc

Код:

System error 5 has occurred.
Access is denied.

ping npdc

Код:

Обмен пакетами с npdc.kdom.local [192.168.0.253] с 32 байт данных:
Ответ от 192.168.0.253: число байт=32 время<1мс TTL=128
…
Статистика Ping для 192.168.0.253:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
 (0% потерь)
Приблизительное время приема-передачи в мс:
 Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Netdom query /domain kdom.local fsmo

Код:

Schema owner                npdc.kdom.local
Domain role owner           npdc.kdom.local
PDC role                    npdc.kdom.local
RID pool manager            npdc.kdom.local
Infrastructure owner        npdc.kdom.local
The command completed successfully.

dsquery server -hasfsmo schema
dsquery server -hasfsmo name
dsquery server -hasfsmo rid
dsquery server -hasfsmo pdc
dsquery server -hasfsmo infr

Код:

dsquery неудачно:Главное конечное имя неверно.
введите dsquery /? для информации по использованию.

dsquery server -forest -isgc

Код:

"CN=NDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=kdom,DC=local"
"CN=NPDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=kdom,DC=local"

dcdiag /fix

Код:

Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\NDC
Starting test: Connectivity
......................... NDC passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\NDC
Starting test: Replications
[Replications Check,NDC] A recent replication attempt failed:
From NPDC to NDC
Naming Context: DC=ForestDnsZones,DC=kdom,DC=local
The replication generated an error (1256):
Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.
The failure occurred at 2012-08-29 12:45:35.
The last success occurred at 2012-08-27 19:17:47.
45 failures have occurred since the last success.
[NPDC] DsBindWithSpnEx() failed with error -2146893022,
Главное конечное имя неверно..
[Replications Check,NDC] A recent replication attempt failed:
From NPDC to NDC
Naming Context: DC=DomainDnsZones,DC=kdom,DC=local
The replication generated an error (1256):
Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.
The failure occurred at 2012-08-29 12:45:35.
The last success occurred at 2012-08-27 19:18:02.
80 failures have occurred since the last success.
[Replications Check,NDC] A recent replication attempt failed:
From NPDC to NDC
Naming Context: CN=Schema,CN=Configuration,DC=kdom,DC=local
The replication generated an error (-2146893022):
Главное конечное имя неверно.
The failure occurred at 2012-08-29 12:45:35.
The last success occurred at 2012-08-27 17:46:01.
42 failures have occurred since the last success.
[Replications Check,NDC] A recent replication attempt failed:
From NPDC to NDC
Naming Context: CN=Configuration,DC=kdom,DC=local
The replication generated an error (-2146893022):
Главное конечное имя неверно.
The failure occurred at 2012-08-29 12:45:35.
The last success occurred at 2012-08-27 17:46:01.
46 failures have occurred since the last success.
[Replications Check,NDC] A recent replication attempt failed:
From NPDC to NDC
Naming Context: DC=kdom,DC=local
The replication generated an error (-2146893022):
Главное конечное имя неверно.
The failure occurred at 2012-08-29 13:06:47.
The last success occurred at 2012-08-27 19:19:21.
744 failures have occurred since the last success.
REPLICATION-RECEIVED LATENCY WARNING
NDC: Current time is 2012-08-29 13:07:07.
DC=ForestDnsZones,DC=kdom,DC=local
Last replication recieved from NPDC at 2012-08-27 19:17:47.
DC=DomainDnsZones,DC=kdom,DC=local
Last replication recieved from NPDC at 2012-08-27 19:18:02.
CN=Schema,CN=Configuration,DC=kdom,DC=local
Last replication recieved from NPDC at 2012-08-27 17:46:01.
CN=Configuration,DC=kdom,DC=local
Last replication recieved from NPDC at 2012-08-27 17:46:01.
DC=kdom,DC=local
Last replication recieved from NPDC at 2012-08-27 19:19:21.
......................... NDC passed test Replications
Starting test: NCSecDesc
......................... NDC passed test NCSecDesc
Starting test: NetLogons
......................... NDC passed test NetLogons
Starting test: Advertising
......................... NDC passed test Advertising
Starting test: KnowsOfRoleHolders
Warning: NPDC is the Schema Owner, but is not responding to DS RPC Bind.
[NPDC] LDAP bind failed with error 8341,
Произошла ошибка службы каталогов..
Warning: NPDC is the Schema Owner, but is not responding to LDAP Bind.
Warning: NPDC is the Domain Owner, but is not responding to DS RPC Bind.
Warning: NPDC is the Domain Owner, but is not responding to LDAP Bind.
Warning: NPDC is the PDC Owner, but is not responding to DS RPC Bind.
Warning: NPDC is the PDC Owner, but is not responding to LDAP Bind.
Warning: NPDC is the Rid Owner, but is not responding to DS RPC Bind.
Warning: NPDC is the Rid Owner, but is not responding to LDAP Bind.
Warning: NPDC is the Infrastructure Update Owner, but is not responding to DS RPC Bind.
Warning: NPDC is the Infrastructure Update Owner, but is not responding to LDAP Bind.
......................... NDC failed test KnowsOfRoleHolders
Starting test: RidManager
......................... NDC failed test RidManager
Starting test: MachineAccount
......................... NDC passed test MachineAccount
Starting test: Services
......................... NDC passed test Services
Starting test: ObjectsReplicated
......................... NDC passed test ObjectsReplicated
Starting test: frssysvol
......................... NDC passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... NDC failed test frsevent
Starting test: kccevent
......................... NDC passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x40000004
Time Generated: 08/29/2012 12:45:00
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 08/29/2012 12:48:18
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 08/29/2012 12:52:03
Event String: The kerberos client received a
An Error Event occured. EventID: 0x0000168F
Time Generated: 08/29/2012 12:52:03
Event String: The dynamic deletion of the DNS record
An Error Event occured. EventID: 0x0000168F
Time Generated: 08/29/2012 12:52:03
Event String: The dynamic deletion of the DNS record
An Error Event occured. EventID: 0x0000168F
Time Generated: 08/29/2012 12:52:03
Event String: The dynamic deletion of the DNS record
An Error Event occured. EventID: 0x40000004
Time Generated: 08/29/2012 12:58:50
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 08/29/2012 13:06:32
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 08/29/2012 13:07:07
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 08/29/2012 13:07:07
Event String: The kerberos client received a
......................... NDC failed test systemlog
Starting test: VerifyReferences
......................... NDC passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : kdom
Starting test: CrossRefValidation
......................... kdom passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... kdom passed test CheckSDRefDom

Running enterprise tests on : kdom.local
Starting test: Intersite
......................... kdom.local passed test Intersite
Starting test: FsmoCheck
......................... kdom.local passed test FsmoCheck

netdiag /fix

Код:

.....................................

    Computer Name: NDC
    DNS Host Name: ndc.kdom.local
    System info : Microsoft Windows Server 2003 R2 (Build 3790)
    Processor : x86 Family 6 Model 11 Stepping 1, GenuineIntel
    List of installed hotfixes : 
…..
Netcard queries test . . . . . . . : Passed
Per interface results:
    Adapter : Local Area Connection
        Netcard queries test . . . : Passed
        Host Name. . . . . . . . . : ndc
        IP Address . . . . . . . . : 192.168.0.252
        Subnet Mask. . . . . . . . : 255.255.0.0
        Default Gateway. . . . . . : 192.168.0.192
        Dns Servers. . . . . . . . : 192.168.0.253
                                     192.168.0.252
        AutoConfiguration results. . . . . . : Passed
        Default gateway test . . . : Passed
        NetBT name test. . . . . . : Passed
        WINS service test. . . . . : Skipped
            There are no WINS servers configured for this interface.
Global results:
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
        NetBT_Tcpip_{91012D6F-30D7-49E2-A759-9C4097377E18}
    1 NetBt transport currently configured.
Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Failed
       [FATAL] File \config\netlogon.dns contains invalid DNS entries.    [FATAL] No DNS servers have the DNS records for this DC registered.
Redir and Browser test . . . . . . : Passed
    List of NetBt transports currently bound to the Redir
        NetBT_Tcpip_{91012D6F-30D7-49E2-A759-9C4097377E18}
    The redir is bound to 1 NetBt transport.
    List of NetBt transports currently bound to the browser
        NetBT_Tcpip_{91012D6F-30D7-49E2-A759-9C4097377E18}
    The browser is bound to 1 NetBt transport.
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Passed
    Secure channel for domain 'KDOM' is to '\\npdc.kdom.local'.
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
    [WARNING] Failed to query SPN registration on DC 'npdc.kdom.local'.
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
    No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
    Note: run "netsh ipsec dynamic show /?" for more detailed information
The command completed successfully

Отправлено: 10:49, 29-08-2012

WindowsNT

Ветеран

Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать

Если я правильно понял, вы восстановили контроллер программой, которая не предназначена для резервного копирования и восстановление контроллеров?
То есть, наткнулись на проблему USB Rollback и бэкапа, выполненного с помощью NTBackup, у вас нет?

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.

Отправлено: 19:52, 29-08-2012 | #2

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

BrAWo

Новый участник

Сообщения: 13
Благодарности: 4

Профиль | Отправить PM | Цитировать

нет в том то и дело

Отправлено: 06:06, 30-08-2012 | #3

Interocitor

Новый участник

Сообщения: 1
Благодарности: 0

Профиль | Отправить PM | Цитировать

В статье "Появление сообщения об ошибке «Главное конечное имя неверно» при ручной репликации данных между контроллерами домена" http://support.microsoft.com/kb/288167/ru описан способ решения подобных проблем.
В моём случае помогла установка одинаковой даты и времени на всех DC.

Отправлено: 06:13, 10-09-2012 | #4