Zonzen: Развалился AD на Windows Server 2003
Zonzen
Member
Автор темы
50/2792 ответов
25 лет на iXBT, с октября 1999
Чаще пишет Р Р† "Процессоры" (37%)
Россия
Инфо Ответить
Zonzen MemberАвтор темы
12 лет назад / 28 января 2013 12:42
Здравствуйте.

Был домен на двух контроллерах 2003 server. Хозяин всех ролей помер, роли были принудительно захвачены вторым контроллером и мёртвый контроллер был принудительно удалён. Затем, в срочном прядке, был установлен второй контроллер dcpromo отработал нормально, сервер вроде стал контроллером домена. Но, теперь репликация между контроллерами не работает. Перерыл много технической инфы на майкрософте, но ничего не помогает.
Event id на обоих контроллерах одинаковые:

1977:

The following domain controller made a replication request for a writable directory partition that has been denied by the local domain controller. The requesting domain controller does not have access to a writable copy of this directory partition.

Requesting domain controller:
f62ec177-767c-41ee-8876-b03b0db468a6
Directory partition:
CN=Configuration,DC=xxxxx,DC=ddd,DC=www,DC=ru
dcdiag

1699:

The local domain controller failed to retrieve the changes requested for the following directory partition. As a result, it was unable to send the change requests to the domain controller at the following network address.

dcdiag:

Starting test: NCSecDesc
......................... VDC-2 passed test NCSecDesc
Starting test: NetLogons
......................... VDC-2 passed test NetLogons
Starting test: Advertising
......................... VDC-2 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... VDC-2 passed test KnowsOfRoleHolders
Starting test: RidManager
Dcdiag could not locate (null) in the dcdiag's cache of servers. Try
running this dcdiag test against this server, to avoid any problems
caused by replication latency.
......................... VDC-2 failed test RidManager
Starting test: MachineAccount
......................... VDC-2 passed test MachineAccount
Starting test: Services
......................... VDC-2 passed test Services
Starting test: ObjectsReplicated
......................... VDC-2 passed test ObjectsReplicated
Starting test: frssysvol
......................... VDC-2 passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... VDC-2 failed test frsevent
Starting test: kccevent
An Warning Event occured. EventID: 0x80000785
Time Generated: 01/28/2013 12:27:45
Event String: The attempt to establish a replication link for
An Error Event occured. EventID: 0xC00007B9
Time Generated: 01/28/2013 12:30:58
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC00006A3
Time Generated: 01/28/2013 12:30:58
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC00007B9
Time Generated: 01/28/2013 12:30:58
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC00006A3
Time Generated: 01/28/2013 12:30:58
(Event String could not be retrieved)
......................... VDC-2 failed test kccevent
Starting test: systemlog
......................... VDC-2 passed test systemlog
Starting test: VerifyReferences
......................... VDC-2 passed test VerifyReferences

nning partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

nning partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

nning partition tests on : service
Starting test: CrossRefValidation
......................... service passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... service passed test CheckSDRefDom

nning enterprise tests on : service.xxx.yyyy.ru
Starting test: Intersite
......................... service.xxx.yyyy.ru passed test Intersite
Starting test: FsmoCheck
......................... service.xxx.yyyy.ru passed test FsmoCheck
bw4ever
Junior Member
3/26 ответов
12 лет на iXBT, с января 2013
Чаще пишет Р Р† "Рынок труда" (46%)
Россия, Ростов-на-Дону
Инфо Ответить
b
bw4ever Junior Member
12 лет назад / 28 января 2013 12:55
Если один сайт - можно просто удалить репликационные связи. Они потом восстановятся самостоятельно.
Zonzen
Member
Автор темы
51/2793 ответов
25 лет на iXBT, с октября 1999
Чаще пишет Р Р† "Процессоры" (37%)
Россия
Инфо Ответить
Zonzen MemberАвтор темы
12 лет назад / 28 января 2013 14:04
bw4ever
Если один сайт - можно просто удалить репликационные связи. Они потом восстановятся самостоятельно.

Сайт один, связи удалял, не помогает.
bw4ever
Junior Member
4/27 ответов
12 лет на iXBT, с января 2013
Чаще пишет Р Р† "Рынок труда" (46%)
Россия, Ростов-на-Дону
Инфо Ответить
b
bw4ever Junior Member
12 лет назад / 28 января 2013 14:34
А роль rid manager точно передалась? Что ntdsutil(list roles) говорит по этому поводу?
varnik
Member
295/624 ответов
18 лет на iXBT, с февраля 2006
Чаще пишет Р Р† "OС и сист. ПО" (49%)
Германия
Инфо Ответить
v
varnik Member
12 лет назад / 28 января 2013 14:36
Zonzen
сервер вроде стал контроллером домена
Дайте ipconfig -all с обоих КД
Zonzen
Member
Автор темы
52/2794 ответов
25 лет на iXBT, с октября 1999
Чаще пишет Р Р† "Процессоры" (37%)
Россия
Инфо Ответить
Zonzen MemberАвтор темы
12 лет назад / 28 января 2013 14:44
varnik
Дайте ipconfig -all с обоих КД

Windows IP Configuration

Host Name . . . . . . . . . . . . : vdc-2
Primary Dns Suffix . . . . . . . : service.xxx.yyy.ru
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : service.xxx.yyy.ru
xxx.yyy.ru
yyy.ru

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Physical Address. . . . . . . . . : 52-54-00-ED-CD-41
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.0.0.140
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.0.0.229
DNS Servers . . . . . . . . . . . : 192.0.0.140
192.0.0.227

Windows IP Configuration

Host Name . . . . . . . . . . . . : vdc-3
Primary Dns Suffix . . . . . . . : service.xxx.yyy.ru
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : service.xxx.yyy.ru
xxx.yyy.ru
yyy.ru

Ethernet adapter Local Area Connection 2:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Red Hat VirtIO Ethernet Adapter
Physical Address. . . . . . . . . : 52-54-00-74-8E-B7
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.0.0.227
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.0.0.229
DNS Servers . . . . . . . . . . . : 192.0.0.227
192.0.0.140
Тема перенесена 28.01.2013 15:26 moderator-AYM из форума "Программы: OС и системное ПО"
Musik
Expert
2860/4742 ответов
17 лет на iXBT, с декабря 2007
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
M
Musik Expert
12 лет назад / 28 января 2013 17:29
Zonzen
Requesting domain controller: f62ec177-767c-41ee-8876-b03b0db468a6
В DNS посмотрите, не осталось ли записей от погибшего контроллера. Еще одна проверка: nltest /dclist:{domain name}.

Укажите новому КД в качестве ДНС сервера адрес другого КД и перестартуйте Netlogon и DNS server на новом сервере. Дождитесь окончания репликации и настройте ДНС снова. Если не поможет, то http://technet.microsoft.com/en-us/library/cc756612(v=ws.10).aspx Если все равно не поможет, то dcpromo два раза на проблемном контроллере.
Zonzen
Member
Автор темы
37/2795 ответов
25 лет на iXBT, с октября 1999
Чаще пишет Р Р† "Процессоры" (37%)
Россия
Инфо Ответить
Zonzen MemberАвтор темы
12 лет назад / 29 января 2013 10:35
bw4ever
А роль rid manager точно передалась? Что ntdsutil(list roles) говорит по этому поводу?

Передалась. Роли передавались нештатно, а через ntdsutil, принудительно, после смерти хозяина ролей.

C:\Documents and Settings\Administrator.SERVICE>netdom query fsmo

Schema owner vdc-3.xxx.yyy.ru

Domain role owner vdc-3.xxx.yyy.ru

PDC role vdc-3.xxx.yyy.ru

RID pool manager vdc-3.xxx.yyy.ru

Infrastructure owner vdc-3.xxx.yyy.ru

The command completed successfully.

Добавление от 29.01.2013 10:37:

Musik
Укажите новому КД в качестве ДНС сервера адрес другого КД и перестартуйте Netlogon и DNS server на новом сервере. Дождитесь окончания репликации и настройте ДНС снова. Если не поможет, то http://technet.microsoft.com/en-us/library/cc756612(v=ws.10).aspx

Не помогло.

Если все равно не поможет, то dcpromo два раза на проблемном контроллере.

По отчётам dcdiag оба контроллера проблемные, более того dcpromo на втором контроллере (не хозяин ролей) на выход из домена не отрабатывает, выдаёт ошибку.

Коллеги, какие перспективы?
Олег Солодков
Member
827/7382 ответов
21 год на iXBT, с декабря 2003
Чаще пишет Р Р† "Авто" (51%)
Россия
Инфо Ответить
О
Олег Солодков Member
12 лет назад / 29 января 2013 14:15
Zonzen
выход из домена не отрабатывает, выдаёт ошибку.
dcprmo /forceremoval спасает? Если нет, то можно ntdsutil вычистить что угодно откуда угодно.

КМК, нужно оставлять один контроллер домена (есть возможность просто выдернуть из сети более проблемный КД с целью иметь возможность сохранения AD на один способ больше?) вычистив больных посредством ntdsutil и разбираться с ошибками kссevent.

И ещё - надо бы проверить DNS, все настройки зон, есть подозрение, что там фигурируют не те адреса.
Musik
Expert
2863/4747 ответов
17 лет на iXBT, с декабря 2007
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
M
Musik Expert
12 лет назад / 29 января 2013 15:44
Zonzen
не отрабатывает, выдаёт ошибку
Еще один пункт в пользу того, что этот КД не может найти мастер ролей.

какие перспективы
Если Вы будете применять рекомендации выборочно или просто выдавать информацию по частям, то никаких.
gfg
заблокирован в конференции
286/486 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 29 января 2013 18:32
Zonzen
Я бы предложил перенести хозяина ролей в вирт. машину и там попытаться пролечить как единственный КД, а затем в рабочей среде сначала восстановить службу каталогов на одном из контроллеров (из данных ВМ) и только потом ввести второй.
Ну т.е. это вариант идеи нужно оставлять один контроллер домена в качестве первого шага.

И ещё: у Вас не очень стандартная адресация в сети. Мне трудно сказать, как это может повлиять на работу домена, но лучше бы этот фактор исключить, используя общепринятые диапазоны адресов для частных сетей.
Ваш ответ:

Список кодов форума
Список всех смайликов закрепить окно ответа
Нет значка Нет значка Р’РѕС‚ тут! Лампочка Восклицание Р’РѕРїСЂРѕСЃ Класс! Улыбка Злость Огорчение РџРѕРіРѕРІРѕСЂРёРј? Краснею Подмигивание Ругаю РћРґРѕР±СЂСЏСЋBIUdelSxsupxsuboffsp spoilerqurlimgvideo• list1. list1 codeprecenter-hr-rusQWE→ЙЦУ
файлыочистить
Ваше имя: Авторизуйтесь Предпросмотр В полную форму
вставить выделенную цитату в окно ответа
Если Вы считаете это сообщение ценным для дискуссии (не обязательно с ним соглашаться), Вы можете поблагодарить его автора, а также перечислить ему на счет некоторую сумму со своего баланса (при отзыве благодарности перечисленная сумма не будет вам возвращена).
Также вы можете оценить сообщение как неудачное.
В течение суток можно 20 раз оценить сообщения разных участников (купите Premium-аккаунт, либо оплачивайте оценки сверх лимита).
Если Вы считаете это сообщение ценным для дискуссии (не обязательно с ним соглашаться), Вы можете поблагодарить его автора, а также перечислить ему на счет некоторую сумму со своего баланса (при отзыве благодарности перечисленная сумма не будет вам возвращена).
Также вы можете оценить сообщение как неудачное.
В течение суток можно 20 раз оценить сообщения разных участников (купите Premium-аккаунт, либо оплачивайте оценки сверх лимита).
Опрос «iXBT Brand 2024 - Выбор читателей»

"iXBT Brand 2024" - Выбор читателей в номинации "iXBT Brand 2024 - Выбор читателей в номинации "x86, ARM, MIPS -совместимые процессоры (CPU) для настольных ПК"":

00:07Это GeForce RTX 50, у которой есть спойлеры для направления потоков воздуха, прямо как у спортивных авто. Manli показала карты Gallardo Racing
23:59вчераГипотеза о «правосторонних» нейтрино предлагает объяснение преобладания материи и существования тёмной материи
23:58вчераТриллион звёзд в объективе: «Хаббл» создал беспрецедентную панораму галактики Андромеда
23:58вчера«Горячий» Kia Sportage Ace/R со 160-сильным мотором и «автоматом» заметно подешевел в России — он дешевле «китайцев» Jaecoo J7 и Geely Atlas
23:56вчераAMD не ожидала, что GeForce RTX 50 будут такими дешёвыми. Это одна из причин, почему Radeon RX 9070 до сих пор полноценно не представили
23:52вчераИзотопный анализ лунных образцов опровергает теорию столкновения Земли с Тейей
23:49вчераИлон Маск может купить... Intel? Сообщается, что он участвует в новом раунде переговоров
23:45вчераНеравные близнецы: протопланетные диски двойной звезды DF Tau развиваются по-разному
23:42вчераВ России нашли пять седанов ценой до 2 млн рублей. Что это за машины?
23:21вчераАльтернатива Lexus RX от самой Toyota. В России начали продавать полноприводный кроссовер Toyota Crown Signia 2025, цена не шокирует
Новые фото на ixbt.photo
Отключите эту колонку в личном кабинете.