Всем привет!
После обновления уровня домена\леса с 2003 до 2016, стали отваливаться сессии, т.е. под доменной учёткой нельзя зайти в домен, ПК при этом из домена не выкидывает. Помогает перезагрузка, особенно это конечно “доставляет” на боевых серверах, на линуксовых в т.ч.…
Обновление проводилось поэтапно. Сначала были введены 2016 серверы с последующей передачей прав глобального каталога и тп, выводом и понижением до рядовых серверов старых кд. Уровень домена и леса оставался 2003. Проработав в таком режиме пару месяцев был начат процесс повышения уровня домена\леса до 2016. С 2003,2003R2, 2008, 2008R2 и тд до 2016. Никаких прыжков с 2003 сразу до 2016 не было.
Миграцию делал в основном по этому мануалу: Миграция Windows Server 2003 на Windows Server 2012 R2: Active Directory
По ивентам пробегал не один раз, в основном по тем ошибкам что есть, ведут к проблемам в ДНСах…Якобы есть дубли и тп, сейчас всё почистил, в одной подсети действительно был дубль одного из КД, но это проблему не решило…
По ошибкам нашёл пару политик которые хочу применить, хз будет ли от них смысл…:
https://support.microsoft.com/ru-ru...correct-error-when-a-domain-user-accesses-a-s
https://support.microsoft.com/ru-ru/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
Единственное меня напрягает в ДНСах, задвоения служб, с разницой в отметки времени, обычным и КАПСОВЫМ именем. Есть такие не только как на скрине в _tcp, но и в _msdcs и в gc и тд…
dcdiag /a /q (на данный момент ничего не показывает)
На основном КД в тесте ДНС появились варнинги. Попробовал устранить путём изменения разрешений динамических обновлений на "Только безопасные".Пишут что просто изменение должно помочь, даже если и так был указан данный пункт. Пока не помогло.
На втором КД в тесте ДНС этого варнинга нет.
Может копать в сторону доверительных отношений?...
Восстанавливаем доверительные отношения в домене
upd: На kd1 в dns не знаю откуда взялся, был прописан адрес 172.16.1.0, удалил этот адрес и в оснастке dns, прописалась как папка верхнего уровня, из-за этого клиенты (только на xp) шли по этому адресу и соотносили его с доменом my-dmn.rarus-s.ru...
На kd2 прописан локальный, 127.0.0.1, в общем тоже удалил...
У клиентов на xp выяснилась проблема с доступом в nenlogon и sysvol \\my-dmn.rarus-s.ru если заходить по ip или fqdn КД то заходит нормально...
После обновления уровня домена\леса с 2003 до 2016, стали отваливаться сессии, т.е. под доменной учёткой нельзя зайти в домен, ПК при этом из домена не выкидывает. Помогает перезагрузка, особенно это конечно “доставляет” на боевых серверах, на линуксовых в т.ч.…
Обновление проводилось поэтапно. Сначала были введены 2016 серверы с последующей передачей прав глобального каталога и тп, выводом и понижением до рядовых серверов старых кд. Уровень домена и леса оставался 2003. Проработав в таком режиме пару месяцев был начат процесс повышения уровня домена\леса до 2016. С 2003,2003R2, 2008, 2008R2 и тд до 2016. Никаких прыжков с 2003 сразу до 2016 не было.
Миграцию делал в основном по этому мануалу: Миграция Windows Server 2003 на Windows Server 2012 R2: Active Directory
По ивентам пробегал не один раз, в основном по тем ошибкам что есть, ведут к проблемам в ДНСах…Якобы есть дубли и тп, сейчас всё почистил, в одной подсети действительно был дубль одного из КД, но это проблему не решило…
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера kd1$. Использовалось целевое имя ldap/KD1.my-dmn.rarus-s.ru/my-dmn.rarus-s.ru@my-dmn.rarus-s.ru. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (my-dmn.rarus-s.ru) отличается от домена клиента (my-dmn.rarus-s.ru), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.
Не удалось установить сеанс с компьютера "VIPNET", так как указанная компьютером учетная запись доверия "VIPNET$" отсутствует в базе данных безопасности.
Действие пользователя
Если такое событие произошло впервые для данного компьютера и данной учетной записи, возможно, это временное состояние, не требующее выполнения каких-либо действий в данный момент. Если это контроллер домена только для чтения, а "VIPNET$" является действительной учетной записью компьютера "VIPNET", то "VIPNET" следует отметить как снабженный кэшем для этой папки при необходимости или в противном случае обеспечить возможность подключения к контроллеру домена при обслуживании запроса (например, контроллера домена, доступного для записи). В противном случае для устранения ошибки можно предпринять следующие шаги.r
Если "VIPNET$" - действительная учетная запись компьютера "VIPNET", то "VIPNET" следует вновь присоединить к домену.
Если "VIPNET$" - действительная учетная запись междоменного доверия, следует восстановить это отношение доверия.
В противном случае (т. е. если "VIPNET$" не является действительной учетной записью) необходимо выполнить следующие действия для компьютера "VIPNET".
Если "VIPNET" - контроллер домена, удалите отношение доверия, связанное с "VIPNET$".
Если "VIPNET" не является контроллером домена, исключите его из состава домена.
Не удалось установить сеанс с компьютера "VIPNET", так как указанная компьютером учетная запись доверия "VIPNET$" отсутствует в базе данных безопасности.
Действие пользователя
Если такое событие произошло впервые для данного компьютера и данной учетной записи, возможно, это временное состояние, не требующее выполнения каких-либо действий в данный момент. Если это контроллер домена только для чтения, а "VIPNET$" является действительной учетной записью компьютера "VIPNET", то "VIPNET" следует отметить как снабженный кэшем для этой папки при необходимости или в противном случае обеспечить возможность подключения к контроллеру домена при обслуживании запроса (например, контроллера домена, доступного для записи). В противном случае для устранения ошибки можно предпринять следующие шаги.r
Если "VIPNET$" - действительная учетная запись компьютера "VIPNET", то "VIPNET" следует вновь присоединить к домену.
Если "VIPNET$" - действительная учетная запись междоменного доверия, следует восстановить это отношение доверия.
В противном случае (т. е. если "VIPNET$" не является действительной учетной записью) необходимо выполнить следующие действия для компьютера "VIPNET".
Если "VIPNET" - контроллер домена, удалите отношение доверия, связанное с "VIPNET$".
Если "VIPNET" не является контроллером домена, исключите его из состава домена.
По ошибкам нашёл пару политик которые хочу применить, хз будет ли от них смысл…:
https://support.microsoft.com/ru-ru...correct-error-when-a-domain-user-accesses-a-s
https://support.microsoft.com/ru-ru/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
Единственное меня напрягает в ДНСах, задвоения служб, с разницой в отметки времени, обычным и КАПСОВЫМ именем. Есть такие не только как на скрине в _tcp, но и в _msdcs и в gc и тд…
C:\Windows\System32>nslookup my-dmn.rarus-s.ru
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: my-dmn.rarus-s.ru
Addresses: 172.16.1.254
172.16.1.0
192.168.1.254
C:\Windows\System32>nslookup kd1.my-dmn.rarus-s.ru
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: kd1.my-dmn.rarus-s.ru
Address: 172.16.1.254
C:\Windows\System32>nslookup kd2.my-dmn.rarus-s.ru
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: kd2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: my-dmn.rarus-s.ru
Addresses: 172.16.1.254
172.16.1.0
192.168.1.254
C:\Windows\System32>nslookup kd1.my-dmn.rarus-s.ru
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: kd1.my-dmn.rarus-s.ru
Address: 172.16.1.254
C:\Windows\System32>nslookup kd2.my-dmn.rarus-s.ru
╤хЁтхЁ: KD2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╚ь*: kd2.my-dmn.rarus-s.ru
Address: 192.168.1.254
C:\Windows\System32>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : KD1
Основной DNS-суффикс . . . . . . : my-dmn.rarus-s.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : my-dmn.rarus-s.ru
Адаптер Ethernet Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
Физический адрес. . . . . . . . . : 00-0C-29-16-BE-33
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::acf8:110c:79ed:d098%5(Основной)
IPv4-адрес. . . . . . . . . . . . : 172.16.1.254(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 172.16.1.1
IAID DHCPv6 . . . . . . . . . . . : 33557545
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-22-8A-CC-79-00-0C-29-16-BE-33
DNS-серверы. . . . . . . . . . . : 192.168.1.254
172.16.1.254
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{237BE9D0-21BD-4D47-8063-85C9C8282302}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : KD1
Основной DNS-суффикс . . . . . . : my-dmn.rarus-s.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : my-dmn.rarus-s.ru
Адаптер Ethernet Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
Физический адрес. . . . . . . . . : 00-0C-29-16-BE-33
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::acf8:110c:79ed:d098%5(Основной)
IPv4-адрес. . . . . . . . . . . . : 172.16.1.254(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 172.16.1.1
IAID DHCPv6 . . . . . . . . . . . : 33557545
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-22-8A-CC-79-00-0C-29-16-BE-33
DNS-серверы. . . . . . . . . . . : 192.168.1.254
172.16.1.254
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{237BE9D0-21BD-4D47-8063-85C9C8282302}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
C:\Windows\System32>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : KD2
Основной DNS-суффикс . . . . . . : my-dmn.rarus-s.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : my-dmn.rarus-s.ru
Адаптер Ethernet Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 6C-F0-49-74-F0-46
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::7489:7459:f018:909d%2(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.254(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.7
IAID DHCPv6 . . . . . . . . . . . : 40693833
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-23-97-D6-21-6C-F0-49-74-F0-46
DNS-серверы. . . . . . . . . . . : 172.16.1.254
192.168.1.254
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{1479BC20-EB1F-4A28-BDE5-22A7A95B284D}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : KD2
Основной DNS-суффикс . . . . . . : my-dmn.rarus-s.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : my-dmn.rarus-s.ru
Адаптер Ethernet Ethernet:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 6C-F0-49-74-F0-46
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::7489:7459:f018:909d%2(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.254(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.7
IAID DHCPv6 . . . . . . . . . . . : 40693833
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-23-97-D6-21-6C-F0-49-74-F0-46
DNS-серверы. . . . . . . . . . . : 172.16.1.254
192.168.1.254
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{1479BC20-EB1F-4A28-BDE5-22A7A95B284D}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
C:\Windows\System32>nslookup my-dmn.rarus-s.ru
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: my-dmn.rarus-s.ru
Addresses: 192.168.1.254
172.16.1.0
172.16.1.254
C:\Windows\System32>nslookup kd1.my-dmn.rarus-s.ru
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: kd1.my-dmn.rarus-s.ru
Address: 172.16.1.254
C:\Windows\System32>nslookup kd2.my-dmn.rarus-s.ru
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: kd2.my-dmn.rarus-s.ru
Address: 192.168.1.254
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: my-dmn.rarus-s.ru
Addresses: 192.168.1.254
172.16.1.0
172.16.1.254
C:\Windows\System32>nslookup kd1.my-dmn.rarus-s.ru
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: kd1.my-dmn.rarus-s.ru
Address: 172.16.1.254
C:\Windows\System32>nslookup kd2.my-dmn.rarus-s.ru
╤хЁтхЁ: KD1.my-dmn.rarus-s.ru
Address: 172.16.1.254
╚ь*: kd2.my-dmn.rarus-s.ru
Address: 192.168.1.254
C:\Windows\System32>dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = KD1
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\KD1
Запуск проверки: Connectivity
......................... KD1 - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\KD1
Запуск проверки: Advertising
......................... KD1 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... KD1 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... KD1 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... KD1 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... KD1 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... KD1 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... KD1 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... KD1 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... KD1 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... KD1 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... KD1 - пройдена проверка Replications
Запуск проверки: RidManager
......................... KD1 - пройдена проверка RidManager
Запуск проверки: Services
......................... KD1 - пройдена проверка Services
Запуск проверки: SystemLog
......................... KD1 - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... KD1 - пройдена проверка VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: my-dmn
Запуск проверки: CheckSDRefDom
......................... my-dmn - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... my-dmn - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: my-dmn.ru
Запуск проверки: LocatorCheck
......................... my-dmn.rarus-s.ru - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... my-dmn.rarus-s.ru - пройдена проверка Intersite
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = KD1
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\KD1
Запуск проверки: Connectivity
......................... KD1 - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\KD1
Запуск проверки: Advertising
......................... KD1 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... KD1 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... KD1 - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... KD1 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... KD1 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... KD1 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... KD1 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... KD1 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... KD1 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... KD1 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... KD1 - пройдена проверка Replications
Запуск проверки: RidManager
......................... KD1 - пройдена проверка RidManager
Запуск проверки: Services
......................... KD1 - пройдена проверка Services
Запуск проверки: SystemLog
......................... KD1 - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... KD1 - пройдена проверка VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: my-dmn
Запуск проверки: CheckSDRefDom
......................... my-dmn - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... my-dmn - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: my-dmn.ru
Запуск проверки: LocatorCheck
......................... my-dmn.rarus-s.ru - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... my-dmn.rarus-s.ru - пройдена проверка Intersite
dcdiag /a /q (на данный момент ничего не показывает)
C:\Windows\System32>REPADMIN /REPLSUM
Время запуска сводки по репликации: 2019-01-23 09:43:58
Начат сбор данных для сводки по репликации, подождите:
.....
Исходный DSA наиб. дельта сбоев/всего %% ошибка
KD1 52m:03s 0 / 5 0
KD2 57m:28s 0 / 5 0
Конечный DSA наиб. дельта сбои/всего %% ошибка
KD1 57m:28s 0 / 5 0
KD2 52m:03s 0 / 5 0
Время запуска сводки по репликации: 2019-01-23 09:43:58
Начат сбор данных для сводки по репликации, подождите:
.....
Исходный DSA наиб. дельта сбоев/всего %% ошибка
KD1 52m:03s 0 / 5 0
KD2 57m:28s 0 / 5 0
Конечный DSA наиб. дельта сбои/всего %% ошибка
KD1 57m:28s 0 / 5 0
KD2 52m:03s 0 / 5 0
C:\Windows\System32>REPADMIN /SHOWREPL
Repadmin: выполнение команды /SHOWREPL контроллере домена localhost с полным доступом
Default-First-Site-Name\KD1
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 84179638-92b4-4061-b101-2c6a1a31ed25
DSA - код вызова: b722b773-4bae-45c9-98a8-8b0bf8211b3b
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:44:27 успешна.
CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
CN=Schema,CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
DC=DomainDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
DC=ForestDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
Repadmin: выполнение команды /SHOWREPL контроллере домена localhost с полным доступом
Default-First-Site-Name\KD1
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 84179638-92b4-4061-b101-2c6a1a31ed25
DSA - код вызова: b722b773-4bae-45c9-98a8-8b0bf8211b3b
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:44:27 успешна.
CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
CN=Schema,CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
DC=DomainDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
DC=ForestDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 08:46:30 успешна.
C:\Windows\System32>REPADMIN /SHOWREPS
Default-First-Site-Name\KD1
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 84179638-92b4-4061-b101-2c6a1a31ed25
DSA - код вызова: b722b773-4bae-45c9-98a8-8b0bf8211b3b
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:48:22 успешна.
CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
CN=Schema,CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
DC=DomainDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
DC=ForestDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
Default-First-Site-Name\KD1
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 84179638-92b4-4061-b101-2c6a1a31ed25
DSA - код вызова: b722b773-4bae-45c9-98a8-8b0bf8211b3b
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:48:22 успешна.
CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
CN=Schema,CN=Configuration,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
DC=DomainDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
DC=ForestDnsZones,DC=my-dmn,DC=rarus-s,DC=ru
Default-First-Site-Name\KD2 через RPC
DSA - GUID объекта: f68245aa-1961-4f9f-83bb-3c9d444f42f0
Последняя попытка @ 2019-01-23 09:46:30 успешна.
C:\Windows\System32>REPADMIN /SYNCALL
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: f68245aa-1961-4f9f-83bb-3c9d444f42f0._msdcs.my-dmn.rarus-s.ru
Кому: 84179638-92b4-4061-b101-2c6a1a31ed25._msdcs.my-dmn.rarus-s.ru
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: f68245aa-1961-4f9f-83bb-3c9d444f42f0._msdcs.my-dmn.rarus-s.ru
Кому: 84179638-92b4-4061-b101-2c6a1a31ed25._msdcs.my-dmn.rarus-s.ru
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: f68245aa-1961-4f9f-83bb-3c9d444f42f0._msdcs.my-dmn.rarus-s.ru
Кому: 84179638-92b4-4061-b101-2c6a1a31ed25._msdcs.my-dmn.rarus-s.ru
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: f68245aa-1961-4f9f-83bb-3c9d444f42f0._msdcs.my-dmn.rarus-s.ru
Кому: 84179638-92b4-4061-b101-2c6a1a31ed25._msdcs.my-dmn.rarus-s.ru
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.
На основном КД в тесте ДНС появились варнинги. Попробовал устранить путём изменения разрешений динамических обновлений на "Только безопасные".Пишут что просто изменение должно помочь, даже если и так был указан данный пункт. Пока не помогло.
На втором КД в тесте ДНС этого варнинга нет.
C:\Windows\System32>DCDIAG /TEST
NS
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = KD1
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\KD1
Запуск проверки: Connectivity
......................... KD1 - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\KD1
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... KD1 - пройдена проверка DNS
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: my-dmn
Выполнение проверок предприятия на: my-dmn.rarus-s.ru
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: KD1.my-dmn.rarus-s.ru
Домен: my-dmn.rarus-s.ru
TEST: Dynamic update (Dyn)
Warning: Failed to add the test record dcdiag-test-record in zone my-dmn.rarus-s.ru
KD1 PASS PASS PASS PASS WARN PASS n/a
......................... my-dmn.rarus-s.ru - пройдена проверка DNS
NSДиагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = KD1
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\KD1
Запуск проверки: Connectivity
......................... KD1 - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\KD1
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... KD1 - пройдена проверка DNS
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: my-dmn
Выполнение проверок предприятия на: my-dmn.rarus-s.ru
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: KD1.my-dmn.rarus-s.ru
Домен: my-dmn.rarus-s.ru
TEST: Dynamic update (Dyn)
Warning: Failed to add the test record dcdiag-test-record in zone my-dmn.rarus-s.ru
KD1 PASS PASS PASS PASS WARN PASS n/a
......................... my-dmn.rarus-s.ru - пройдена проверка DNS
C:\Windows\System32>Nltest /dsgetdc:my-dmn.rarus-s.ru
Контроллер домена: \\KD1.my-dmn.rarus-s.ru
Адрес: \\172.16.1.254
GUID DOM: a075dd77-bb02-48da-8da8-3641883e19e8
Имя DOM: my-dmn.rarus-s.ru
Имя леса: my-dmn.rarus-s.ru
Имя сайта контроллера домена: Default-First-Site-Name
Имя нашего сайта: Default-First-Site-Name
Флаги: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10
Команда выполнена успешно.
Контроллер домена: \\KD1.my-dmn.rarus-s.ru
Адрес: \\172.16.1.254
GUID DOM: a075dd77-bb02-48da-8da8-3641883e19e8
Имя DOM: my-dmn.rarus-s.ru
Имя леса: my-dmn.rarus-s.ru
Имя сайта контроллера домена: Default-First-Site-Name
Имя нашего сайта: Default-First-Site-Name
Флаги: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10
Команда выполнена успешно.
C:\Windows\System32>w32tm /monitor
KD1.my-dmn.rarus-s.ru *** PDC ***[[fe80::acf8:110c:79ed:d098%5]:123]:
ICMP: 0ms задержка
NTP: +0.0000000s смещение относительно KD1.my-dmn.rarus-s.ru
RefID: tor-relais2.link38.eu [188.68.53.92]
Страта: 3
KD2.my-dmn.rarus-s.ru[192.168.1.254:123]:
ICMP: 1ms задержка
NTP: +0.0013487s смещение относительно KD1.my-dmn.rarus-s.ru
RefID: KD1.my-dmn.rarus-s.ru [172.16.1.254]
Страта: 4
Предупреждение:
Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
неверно, так как поле RefID в пакетах времени различается в
разных реализациях NTP и может не использовать IP-адреса.
KD1.my-dmn.rarus-s.ru *** PDC ***[[fe80::acf8:110c:79ed:d098%5]:123]:
ICMP: 0ms задержка
NTP: +0.0000000s смещение относительно KD1.my-dmn.rarus-s.ru
RefID: tor-relais2.link38.eu [188.68.53.92]
Страта: 3
KD2.my-dmn.rarus-s.ru[192.168.1.254:123]:
ICMP: 1ms задержка
NTP: +0.0013487s смещение относительно KD1.my-dmn.rarus-s.ru
RefID: KD1.my-dmn.rarus-s.ru [172.16.1.254]
Страта: 4
Предупреждение:
Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
неверно, так как поле RefID в пакетах времени различается в
разных реализациях NTP и может не использовать IP-адреса.
C:\Windows\System32>w32tm /query /peers
#Узлы: 1
Узел партнера: 0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org,0x8
Состояние: Активный
Осталось времени: 2453.9942133s
Режим: 1 (Симметричный активный)
Страта: 2 (вторичная ссылка - синхронизирована с помощью (S)NTP)
ОдноранговыйИнтервал опроса: 10 (1024s)
УзелИнтервал опроса: 10 (1024s)
#Узлы: 1
Узел партнера: 0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org,0x8
Состояние: Активный
Осталось времени: 2453.9942133s
Режим: 1 (Симметричный активный)
Страта: 2 (вторичная ссылка - синхронизирована с помощью (S)NTP)
ОдноранговыйИнтервал опроса: 10 (1024s)
УзелИнтервал опроса: 10 (1024s)
C:\Windows\System32>w32tm /query /peers
#Узлы: 1
Узел партнера: KD1.my-dmn.rarus-s.ru
Состояние: Активный
Осталось времени: 526.8444015s
Режим: 1 (Симметричный активный)
Страта: 3 (вторичная ссылка - синхронизирована с помощью (S)NTP)
ОдноранговыйИнтервал опроса: 10 (1024s)
УзелИнтервал опроса: 10 (1024s)
#Узлы: 1
Узел партнера: KD1.my-dmn.rarus-s.ru
Состояние: Активный
Осталось времени: 526.8444015s
Режим: 1 (Симметричный активный)
Страта: 3 (вторичная ссылка - синхронизирована с помощью (S)NTP)
ОдноранговыйИнтервал опроса: 10 (1024s)
УзелИнтервал опроса: 10 (1024s)
Может копать в сторону доверительных отношений?...
Восстанавливаем доверительные отношения в домене
upd: На kd1 в dns не знаю откуда взялся, был прописан адрес 172.16.1.0, удалил этот адрес и в оснастке dns, прописалась как папка верхнего уровня, из-за этого клиенты (только на xp) шли по этому адресу и соотносили его с доменом my-dmn.rarus-s.ru...
На kd2 прописан локальный, 127.0.0.1, в общем тоже удалил...
У клиентов на xp выяснилась проблема с доступом в nenlogon и sysvol \\my-dmn.rarus-s.ru если заходить по ip или fqdn КД то заходит нормально...
Последнее редактирование: