Проблема КД (с Active Directory, DNS server, DHSP)
Модераторы: Trinity admin`s, Free-lance moderator`s
-
- Junior member
- Сообщения: 8
- Зарегистрирован: 23 июл 2009, 07:20
- Откуда: Санкт-Петербург
Проблема КД (с Active Directory, DNS server, DHSP)
Здравствуйте, буквально сутками ранее возникла проблема с домен контроллером - сначала у части юзеров не было возможности войти по имени на компы(только по IP) в сети, после чего сервер был перезагружен и уже у всех появилась эта проблема. Далее жёстче - ДНС на КД перестал подгружаться (в оснастке днс зон-пусто), ссылаясь на АД, ДШСП ругается, керберос не работает, не работает GPO, на любые серваки по RDP не зайти - нет доступа. С сервером никаких манипуляций в течении нескольких дней до проблемы не было. Проверил его антивирусом с обновлёнными базами. На всякий случай ещё прошёлся кидокиллером - всё чисто. Вот уже сутки проблема висит - я уже не знаю где рыть (много схожего в нете, но не помогло). Подскажите - как устранить проблему с АД (я так понимаю она в данный момент - и есть корень проблемы). Бэкапы не снимались с AD и с системы в целом. Домен контроллер один. Есть работающий вторичный ДНС сервер. Да, ещё, теперь благодаря всему этому локальные компы пользователей дольше грузятся, переодически тормозят. Ниже привожу логи ошибок. Если чтото не выложил или не обговорил-спрашивайте. Буду очень признателен.
C:\Documents and Settings\serega>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : stm
Primary Dns Suffix . . . . . . . : argon.local
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : Yes
DNS Suffix Search List. . . . . . : argon.local
Ethernet adapter argon:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82566DM Gigabit Network Connecti
on
Physical Address. . . . . . . . . : 00-1A-92-3E-AD-04
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.2
DNS Servers . . . . . . . . . . . : 192.168.0.3
192.168.0.2
Логи ошибок:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1053
Date: 23.07.2009
Time: 6:21:47
User: NT AUTHORITY\SYSTEM
Computer: STM
Description:
Windows cannot determine the user or computer name. (Access is denied. ). Group Policy processing aborted.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Error
Event Source: LoadPerf
Event Category: None
Event ID: 3011
Date: 23.07.2009
Time: 6:08:16
User: N/A
Computer: STM
Description:
Unloading the performance counter strings for service WmiApRpl (WmiApRpl) failed. The Error code is the first DWORD in Data section.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: f2 03 00 00 6e 05 00 00 ò...n...
Event Type: Error
Event Source: LoadPerf
Event Category: None
Event ID: 3012
Date: 23.07.2009
Time: 3:04:41
User: N/A
Computer: STM
Description:
The performance strings in the Performance registry value is corrupted when process Performance extension counter provider. BaseIndex value from Performance registry is the first DWORD in Data section, LastCounter value is the second DWORD in Data section, and LastHelp value is the third DWORD in Data section.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 37 07 00 00 00 00 00 00 7.......
0008: 00 00 00 00 09 03 00 00 ........
Event Type: Warning
Event Source: LSASRV
Event Category: SPNEGO (Negotiator)
Event ID: 40960
Date: 23.07.2009
Time: 6:25:41
User: N/A
Computer: STM
Description:
The Security System detected an authentication error for the server ldap/192.168.0.3. The failure code from authentication protocol Kerberos was "The attempted logon is invalid. This is either due to a bad username or authentication information.
(0xc000006d)".
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 6d 00 00 c0 m..À
Event Type: Warning
Event Source: Kerberos
Event Category: None
Event ID: 14
Date: 23.07.2009
Time: 6:25:41
User: N/A
Computer: STM
Description:
There were password errors using the Credential Manager. To remedy, launch the Stored User Names and Passwords control panel applet, and reenter the password for the credential argon\serega.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 6a 00 00 c0 j..À
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7022
Date: 23.07.2009
Time: 5:55:26
User: N/A
Computer: STM
Description:
The DNS Server service hung on starting.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Error
Event Source: DhcpServer
Event Category: None
Event ID: 1059
Date: 23.07.2009
Time: 5:53:44
User: N/A
Computer: STM
Description:
The DHCP service failed to see a directory server for authorization.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2e 05 00 00 ....
Event Type: Warning
Event Source: NETLOGON
Event Category: None
Event ID: 5782
Date: 23.07.2009
Time: 5:53:36
User: N/A
Computer: STM
Description:
Dynamic registration or deregistration of one or more DNS records failed with the following error:
No DNS servers configured for local system.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 7c 26 00 00 |&..
Event Type: Error
Event Source: NTDS General
Event Category: Global Catalog
Event ID: 1126
Date: 23.07.2009
Time: 6:08:09
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: STM
Description:
Active Directory was unable to establish a connection with the global catalog.
Additional Data
Error value:
8430 The directory service encountered an internal failure.
Internal ID:
3200c89
User Action:
Make sure a global catalog is available in the forest, and is reachable from this domain controller. You may use the nltest utility to diagnose this problem.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Warning
Event Source: NTDS General
Event Category: Global Catalog
Event ID: 1655
Date: 23.07.2009
Time: 6:08:09
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: STM
Description:
Active Directory attempted to communicate with the following global catalog and the attempts were unsuccessful.
Global catalog:
\\stm.argon.local
The operation in progress might be unable to continue. Active Directory will use the domain controller locator to try to find an available global catalog server.
Additional Data
Error value:
5 Access is denied.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4000
Date: 23.07.2009
Time: 2:22:30
User: N/A
Computer: STM
Description:
The DNS server was unable to open Active Directory. This DNS server is configured to obtain and use information from the directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and reload the zone. The event data is the error code.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2d 23 00 00 -#..
Event Type: Warning
Event Source: DNS
Event Category: None
Event ID: 4013
Date: 23.07.2009
Time: 2:22:30
User: N/A
Computer: STM
Description:
The DNS server was unable to open the Active Directory. This DNS server is configured to use directory service information and can not operate without access to the directory. The DNS server will wait for the directory to start. If the DNS server is started but the appropriate event has not been logged, then the DNS server is still waiting for the directory to start.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2d 23 00 00 -#..
Логи dcdiag /q:
The host c64d7374-c984-420b-8abc-c4f608a4f428._msdcs.argon.local could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(c64d7374-c984-420b-8abc-c4f608a4f428._msdcs.argon.local) couldn't be
resolved, the server name (stm.argon.local) resolved to the IP address
(192.168.0.3) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... STM failed test Connectivity
Логи netdiag /q
Computer Name: STM
DNS Host Name: stm.argon.local
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 6 Model 15 Stepping 6, GenuineIntel
List of installed hotfixes :
KB957097
KB958644
Q147222
Per interface results:
Adapter : argon
Host Name. . . . . . . . . : stm
IP Address . . . . . . . . : 192.168.0.3
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.2
Dns Servers. . . . . . . . : 192.168.0.3
WINS service test. . . . . : Skipped
Global results:
Default gateway test . . . . . . . : Failed
[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.
DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.0.3'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.
LDAP test. . . . . . . . . . . . . : Failed
[FATAL] Cannot do Negotiate authenticated ldap_bind to 'stm.argon.local': In
valid Credentials.
[FATAL] No LDAP servers work in the domain 'ARGON'.
IP Security test . . . . . . . . . : Skipped
Как я понял - без ДНС АД не может себя подгрузить, и уже сделал следующее - на ДНС сервере КД (с неработающими ДНС зонами) создал ДНС зону со вторичного ДНС сервера, после чего на КД преобразовал её в первичную. Теперь выползают следующая ошибка постоянно(ну и разумеется ничего не пашет):
Event Type: Warning
Event Source: DNS
Event Category: None
Event ID: 3000
Date: 23.07.2009
Time: 6:30:34
User: N/A
Computer: STM
Description:
The DNS server has encountered numerous run-time events. To determine the initial cause of these run-time events, examine the DNS server event log entries that precede this event. To prevent the DNS server from filling the event log too quickly, subsequent events with Event IDs higher than 3000 will be suppressed until events are no longer being generated at a high rate.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
И очень большая просьба-если есть шансы восстановить всё без потери данных и переустановки винды/пересоздания домена - скажите пожалуйста. Сами понимаете - убить все учётки, политики, ДШСП(ну их можно перенести хотябы), ДФС и другие настройки - это самое убийственное!
C:\Documents and Settings\serega>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : stm
Primary Dns Suffix . . . . . . . : argon.local
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : Yes
DNS Suffix Search List. . . . . . : argon.local
Ethernet adapter argon:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82566DM Gigabit Network Connecti
on
Physical Address. . . . . . . . . : 00-1A-92-3E-AD-04
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.2
DNS Servers . . . . . . . . . . . : 192.168.0.3
192.168.0.2
Логи ошибок:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1053
Date: 23.07.2009
Time: 6:21:47
User: NT AUTHORITY\SYSTEM
Computer: STM
Description:
Windows cannot determine the user or computer name. (Access is denied. ). Group Policy processing aborted.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Error
Event Source: LoadPerf
Event Category: None
Event ID: 3011
Date: 23.07.2009
Time: 6:08:16
User: N/A
Computer: STM
Description:
Unloading the performance counter strings for service WmiApRpl (WmiApRpl) failed. The Error code is the first DWORD in Data section.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: f2 03 00 00 6e 05 00 00 ò...n...
Event Type: Error
Event Source: LoadPerf
Event Category: None
Event ID: 3012
Date: 23.07.2009
Time: 3:04:41
User: N/A
Computer: STM
Description:
The performance strings in the Performance registry value is corrupted when process Performance extension counter provider. BaseIndex value from Performance registry is the first DWORD in Data section, LastCounter value is the second DWORD in Data section, and LastHelp value is the third DWORD in Data section.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 37 07 00 00 00 00 00 00 7.......
0008: 00 00 00 00 09 03 00 00 ........
Event Type: Warning
Event Source: LSASRV
Event Category: SPNEGO (Negotiator)
Event ID: 40960
Date: 23.07.2009
Time: 6:25:41
User: N/A
Computer: STM
Description:
The Security System detected an authentication error for the server ldap/192.168.0.3. The failure code from authentication protocol Kerberos was "The attempted logon is invalid. This is either due to a bad username or authentication information.
(0xc000006d)".
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 6d 00 00 c0 m..À
Event Type: Warning
Event Source: Kerberos
Event Category: None
Event ID: 14
Date: 23.07.2009
Time: 6:25:41
User: N/A
Computer: STM
Description:
There were password errors using the Credential Manager. To remedy, launch the Stored User Names and Passwords control panel applet, and reenter the password for the credential argon\serega.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 6a 00 00 c0 j..À
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7022
Date: 23.07.2009
Time: 5:55:26
User: N/A
Computer: STM
Description:
The DNS Server service hung on starting.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Error
Event Source: DhcpServer
Event Category: None
Event ID: 1059
Date: 23.07.2009
Time: 5:53:44
User: N/A
Computer: STM
Description:
The DHCP service failed to see a directory server for authorization.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2e 05 00 00 ....
Event Type: Warning
Event Source: NETLOGON
Event Category: None
Event ID: 5782
Date: 23.07.2009
Time: 5:53:36
User: N/A
Computer: STM
Description:
Dynamic registration or deregistration of one or more DNS records failed with the following error:
No DNS servers configured for local system.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 7c 26 00 00 |&..
Event Type: Error
Event Source: NTDS General
Event Category: Global Catalog
Event ID: 1126
Date: 23.07.2009
Time: 6:08:09
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: STM
Description:
Active Directory was unable to establish a connection with the global catalog.
Additional Data
Error value:
8430 The directory service encountered an internal failure.
Internal ID:
3200c89
User Action:
Make sure a global catalog is available in the forest, and is reachable from this domain controller. You may use the nltest utility to diagnose this problem.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Warning
Event Source: NTDS General
Event Category: Global Catalog
Event ID: 1655
Date: 23.07.2009
Time: 6:08:09
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: STM
Description:
Active Directory attempted to communicate with the following global catalog and the attempts were unsuccessful.
Global catalog:
\\stm.argon.local
The operation in progress might be unable to continue. Active Directory will use the domain controller locator to try to find an available global catalog server.
Additional Data
Error value:
5 Access is denied.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4000
Date: 23.07.2009
Time: 2:22:30
User: N/A
Computer: STM
Description:
The DNS server was unable to open Active Directory. This DNS server is configured to obtain and use information from the directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and reload the zone. The event data is the error code.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2d 23 00 00 -#..
Event Type: Warning
Event Source: DNS
Event Category: None
Event ID: 4013
Date: 23.07.2009
Time: 2:22:30
User: N/A
Computer: STM
Description:
The DNS server was unable to open the Active Directory. This DNS server is configured to use directory service information and can not operate without access to the directory. The DNS server will wait for the directory to start. If the DNS server is started but the appropriate event has not been logged, then the DNS server is still waiting for the directory to start.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2d 23 00 00 -#..
Логи dcdiag /q:
The host c64d7374-c984-420b-8abc-c4f608a4f428._msdcs.argon.local could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(c64d7374-c984-420b-8abc-c4f608a4f428._msdcs.argon.local) couldn't be
resolved, the server name (stm.argon.local) resolved to the IP address
(192.168.0.3) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... STM failed test Connectivity
Логи netdiag /q
Computer Name: STM
DNS Host Name: stm.argon.local
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 6 Model 15 Stepping 6, GenuineIntel
List of installed hotfixes :
KB957097
KB958644
Q147222
Per interface results:
Adapter : argon
Host Name. . . . . . . . . : stm
IP Address . . . . . . . . : 192.168.0.3
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.2
Dns Servers. . . . . . . . : 192.168.0.3
WINS service test. . . . . : Skipped
Global results:
Default gateway test . . . . . . . : Failed
[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.
DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '192.168.0.3'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.
LDAP test. . . . . . . . . . . . . : Failed
[FATAL] Cannot do Negotiate authenticated ldap_bind to 'stm.argon.local': In
valid Credentials.
[FATAL] No LDAP servers work in the domain 'ARGON'.
IP Security test . . . . . . . . . : Skipped
Как я понял - без ДНС АД не может себя подгрузить, и уже сделал следующее - на ДНС сервере КД (с неработающими ДНС зонами) создал ДНС зону со вторичного ДНС сервера, после чего на КД преобразовал её в первичную. Теперь выползают следующая ошибка постоянно(ну и разумеется ничего не пашет):
Event Type: Warning
Event Source: DNS
Event Category: None
Event ID: 3000
Date: 23.07.2009
Time: 6:30:34
User: N/A
Computer: STM
Description:
The DNS server has encountered numerous run-time events. To determine the initial cause of these run-time events, examine the DNS server event log entries that precede this event. To prevent the DNS server from filling the event log too quickly, subsequent events with Event IDs higher than 3000 will be suppressed until events are no longer being generated at a high rate.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
И очень большая просьба-если есть шансы восстановить всё без потери данных и переустановки винды/пересоздания домена - скажите пожалуйста. Сами понимаете - убить все учётки, политики, ДШСП(ну их можно перенести хотябы), ДФС и другие настройки - это самое убийственное!
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Проблема КД (с Active Directory, DNS server, DHSP)
"serega1987"
Ну для начала предлагаю успокоиться и не делать резких движений. Думаю что вашу проблему можно спокойно устратить. Скорей всего корень проблемы кроется здесь:
Соотв-но ищите документ в КБ МС, где описывается процедура восстановления записей АД ДНС. Добиваетесь чтобы ДНС нормально стартовал, после этого будем разбираться собственно с АД.
Ну для начала предлагаю успокоиться и не делать резких движений. Думаю что вашу проблему можно спокойно устратить. Скорей всего корень проблемы кроется здесь:
Код: Выделить всё
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7022
Date: 23.07.2009
Time: 5:55:26
User: N/A
Computer: STM
Description:
The DNS Server service hung on starting.
Re: Проблема КД (с Active Directory, DNS server, DHSP)
DNS зона судя по всему интегрирована в AD, поэтому пока не работает AD не будет работать и DNS. В AD не работает глобальный каталог вот и этим и надо разбираться в первую очередь, все остальные ошибки следствие, а не причина.
-
- Junior member
- Сообщения: 8
- Зарегистрирован: 23 июл 2009, 07:20
- Откуда: Санкт-Петербург
Re: Проблема КД (с Active Directory, DNS server, DHSP)
Я тоже грешу на АД. Только не знаю как к ней подступиться.
Re: Проблема КД (с Active Directory, DNS server, DHSP)
восстановите из бэкапа.
-
- Junior member
- Сообщения: 8
- Зарегистрирован: 23 июл 2009, 07:20
- Откуда: Санкт-Петербург
Re: Проблема КД (с Active Directory, DNS server, DHSP)
Увы, но бэкапа нет
Re: Проблема КД (с Active Directory, DNS server, DHSP)
в таком случае сделайте бэкап хотя бы сейчас. если наворотите в желании вылечить - откатитесь. хотя бы "состояние системы"
Re: Проблема КД (с Active Directory, DNS server, DHSP)
Учитывая важность сервера глобальных каталогов, вам следует работать над предотвращением сбоев этих серверов. К счастью, вы можете назначить любой или все контроллеры домена серверами глобальных каталогов. Однако следует помнить, что нужно настраивать все контроллеры домена на работу в качестве серверов глобальных каталогов только в том случае, если ваше семейство состоит из одного домена. Наличие нескольких серверов глобальных каталогов в семействе с несколькими доменами тоже может быть неплохой идеей, однако выяснение того, какие контроллеры домена должны работать в качестве серверов глобальных каталогов, является чем-то вроде формы искусства.
Если ваш сервер глобальных каталогов уже дал сбой, и никто не может войти, лучшее, что вы можете сделать, это работать над возвращением сервера в рабочее состояние. Существует способ разрешения пользователям входить в систему, даже если сервер глобальных каталогов не работает, но с этим способом сопряжен определенный риск безопасности.
Если Active Directory работает в собственном режиме (native mode), то сервер глобальных каталогов отвечает за проверку принадлежности пользователя к универсальной группе. Если вы решили разрешить пользователям вход во время сбоя, то проверка принадлежности пользователей к универсальной группе осуществляться не будет. Если вы назначили эксплицитные отказы членам определенных универсальных групп, то эти отказы не будут действовать, пока сервер глобальных каталогов не будет приведен обратно в режим онлайн.
Если вы решили, что должны позволить пользователям входить в систему, то вам нужно будет изменить системный реестр на всех контроллерах домена. Помните, что изменение системного реестра опасно, и что допущенные ошибки могут уничтожить Windows. Поэтому я рекомендую сделать полную резервную копию системы, прежде чем продолжать.
Учитывая сказанное, откройте редактор реестра (Registry Editor) и перейдите по древу реестра к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Теперь создайте DWORD значение с названием IgnoreGCFailures и задайте значение 1. Вам придется перезагрузить контроллеры домена после внесения этих изменений.
а вообще - все проблемы действительно скорее всего из-за неработающего DNS
Вручную зону завести удается? Прямую/обратную?
В общем, dcdiag вам в помощь -)
Если ваш сервер глобальных каталогов уже дал сбой, и никто не может войти, лучшее, что вы можете сделать, это работать над возвращением сервера в рабочее состояние. Существует способ разрешения пользователям входить в систему, даже если сервер глобальных каталогов не работает, но с этим способом сопряжен определенный риск безопасности.
Если Active Directory работает в собственном режиме (native mode), то сервер глобальных каталогов отвечает за проверку принадлежности пользователя к универсальной группе. Если вы решили разрешить пользователям вход во время сбоя, то проверка принадлежности пользователей к универсальной группе осуществляться не будет. Если вы назначили эксплицитные отказы членам определенных универсальных групп, то эти отказы не будут действовать, пока сервер глобальных каталогов не будет приведен обратно в режим онлайн.
Если вы решили, что должны позволить пользователям входить в систему, то вам нужно будет изменить системный реестр на всех контроллерах домена. Помните, что изменение системного реестра опасно, и что допущенные ошибки могут уничтожить Windows. Поэтому я рекомендую сделать полную резервную копию системы, прежде чем продолжать.
Учитывая сказанное, откройте редактор реестра (Registry Editor) и перейдите по древу реестра к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Теперь создайте DWORD значение с названием IgnoreGCFailures и задайте значение 1. Вам придется перезагрузить контроллеры домена после внесения этих изменений.
а вообще - все проблемы действительно скорее всего из-за неработающего DNS
Вручную зону завести удается? Прямую/обратную?
В общем, dcdiag вам в помощь -)
-
- Junior member
- Сообщения: 8
- Зарегистрирован: 23 июл 2009, 07:20
- Откуда: Санкт-Петербург
Re: Проблема КД (с Active Directory, DNS server, DHSP)
Вручную заводил. Пытался интегрировать в В АД. Не удалось. Ад как будто мёртвая. Не отвечает. Вообще твориться что то не понятное. По сути - замкнутый круг-ад нужен днс, а днс нужна ад. и ни туда , ни сюда. пересоздание днс , с попыткой интеграции ад не дают ничего-ад не виден при интеграции
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Проблема КД (с Active Directory, DNS server, DHSP)
Мы вчера долгопытались решить проблему, не получается. Действительно замкнутый круг. С одной стороны ДНС работает, но не в АД интегрейтед, записей про АД там нет, раздел _msdc серый, не подхватывается. Попытки вручную внести записи в файл ДСН и перестартовать роли не сыграли. Каждый час сервис глобалкаталога пытается стартовать, но не видит ДНС и не работает. Вывод дсдиаг:RainBoy писал(а):В общем, dcdiag вам в помощь -)
Код: Выделить всё
C:\Documents and Settings\rdp_on>dcdiag /fix /q
The host c64d7374-c984-420b-8abc-c4f608a4f428._msdcs.argon.local could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(c64d7374-c984-420b-8abc-c4f608a4f428._msdcs.argon.local) couldn't be
resolved, the server name (stm.argon.local) resolved to the IP address
(192.168.0.3) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... STM failed test Connectivity
Код: Выделить всё
C:\Documents and Settings\rdp_on>netdiag /fix /q
.....................................
Computer Name: STM
DNS Host Name: stm.argon.local
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 6 Model 15 Stepping 6, GenuineIntel
List of installed hotfixes :
KB957097
KB958644
Q147222
DNS test . . . . . . . . . . . . . : Failed
[FATAL] Failed to fix: DC DNS entry _ldap._tcp.pdc._msdcs.argon.local. re-re
gisteration on DNS server '192.168.0.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _ldap._tcp.gc._msdcs.argon.local. re-reg
isteration on DNS server '192.168.0.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _ldap._tcp.Default-First-Site-Name._site
s.gc._msdcs.argon.local. re-registeration on DNS server '192.168.0.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _ldap._tcp.62d4a535-7a71-4998-90db-248a4
405f1cd.domains._msdcs.argon.local. re-registeration on DNS server '192.168.0.3'
failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry c64d7374-c984-420b-8abc-c4f608a4f428._ms
dcs.argon.local. re-registeration on DNS server '192.168.0.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.dc._msdcs.argon.local. re
-registeration on DNS server '192.168.0.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.Default-First-Site-Name._
sites.dc._msdcs.argon.local. re-registeration on DNS server '192.168.0.3' failed
.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _ldap._tcp.dc._msdcs.argon.local. re-reg
isteration on DNS server '192.168.0.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Failed to fix: DC DNS entry _ldap._tcp.Default-First-Site-Name._site
s.dc._msdcs.argon.local. re-registeration on DNS server '192.168.0.3' failed.
DNS Error code: DNS_ERROR_RCODE_SERVER_FAILURE
[FATAL] Fix Failed: netdiag failed to re-register missing DNS entries for th
is DC on DNS server '192.168.0.3'.
[FATAL] No DNS servers have the DNS records for this DC registered.
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Проблема КД (с Active Directory, DNS server, DHSP)
То есть ДНС не ввести в АД, потому что нет глобалкаталога, глобалкаталог не стартует, потому что нет записей в ДНС. Вручную добавление записей в ДНС роли не играет.
х.з. пока чего делать,
х.з. пока чего делать,
Re: Проблема КД (с Active Directory, DNS server, DHSP)
Вообще в папке NTDS что то есть?
вот что еще нашел
Причиной могут быть блокировка системного раздела и удаление некоторых разрешений для группы «Все».
Решение
Для решения проблемы восстановите разрешения на доступ к файлам, используемые в системе по умолчанию.
1. Задайте следующие значения переменных среды.
1. В командной строке введитеnet share sysvol и нажмите клавишу ВВОД. Запомните полученный путь.
2. Щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
3. На вкладке Дополнительно нажмите кнопку Переменные среды.
4. В разделе Системные переменные нажмите кнопку Создать.
5. В поле Имя переменной введите Sysvol.
6. В поле Значение переменной введите путь, полученный в предыдущем шаге, без учета последнего элемента \sysvol.
7. Повторите эти шаги для создания переменной %DSDIT% и переменной %DSLOG%.
Чтобы просмотреть путь для этих переменных, найдите их в реестре в разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
. Например, местоположение по умолчанию для файлов журнала базы данных и рабочей папки DSA:
C:\WINNT\NTDS
2. Из командной строки выполните следующую команду:
cd \winnt\security\templates
secedit /configure /cfg "setup security.inf" /db ss.sdb /log ss.log /verbose
secedit /configure /cfg basicdc.inf /db basicdc.sdb /log basicdc.log /verbose
3. Перезагрузите компьютер.
Вообще по идее integrated особо и не нужен. Главное записи нужные ввести.
Народ при работающем GC вообще сносит полностью все зоны и создает заново.
Уверены, что причины неработающего GC именно в DNS?
вот что еще нашел
Причиной могут быть блокировка системного раздела и удаление некоторых разрешений для группы «Все».
Решение
Для решения проблемы восстановите разрешения на доступ к файлам, используемые в системе по умолчанию.
1. Задайте следующие значения переменных среды.
1. В командной строке введитеnet share sysvol и нажмите клавишу ВВОД. Запомните полученный путь.
2. Щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
3. На вкладке Дополнительно нажмите кнопку Переменные среды.
4. В разделе Системные переменные нажмите кнопку Создать.
5. В поле Имя переменной введите Sysvol.
6. В поле Значение переменной введите путь, полученный в предыдущем шаге, без учета последнего элемента \sysvol.
7. Повторите эти шаги для создания переменной %DSDIT% и переменной %DSLOG%.
Чтобы просмотреть путь для этих переменных, найдите их в реестре в разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
. Например, местоположение по умолчанию для файлов журнала базы данных и рабочей папки DSA:
C:\WINNT\NTDS
2. Из командной строки выполните следующую команду:
cd \winnt\security\templates
secedit /configure /cfg "setup security.inf" /db ss.sdb /log ss.log /verbose
secedit /configure /cfg basicdc.inf /db basicdc.sdb /log basicdc.log /verbose
3. Перезагрузите компьютер.
Вообще по идее integrated особо и не нужен. Главное записи нужные ввести.
Народ при работающем GC вообще сносит полностью все зоны и создает заново.
Уверены, что причины неработающего GC именно в DNS?
Последний раз редактировалось RainBoy 24 июл 2009, 18:03, всего редактировалось 1 раз.
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Проблема КД (с Active Directory, DNS server, DHSP)
"RainBoy"
Вот в данный момент чиним,
Вот в данный момент чиним,
Re: Проблема КД (с Active Directory, DNS server, DHSP)
Отпишите результат и причину по возможности.
Запишу себе =)
Запишу себе =)
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Проблема КД (с Active Directory, DNS server, DHSP)
По состоянию на пятницу 19-ть часов по московскому проблема так и осталась. Хотя много чего починили. ДНС более ли менее заработал, убрали кучу ошибок в нетдиаг, дсдиаг. Но основная проблема с глобалкаталогом так и осталась, хотя уже не такая масштабная. Правда боюсь что автор топика уже плюнул и все переделал за выходные. Ему начальство основательно погрозило пальчиком. А жаль, было бы очень интересно решить проблему, .RainBoy писал(а):Отпишите результат и причину по возможности.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 20 гостей