Проблема КД (с Active Directory, DNS server, DHSP)

[Stranger03]

"serega1987"
К слову сказать, для автора топика. Сервер (его железная часть) у вас - пороховая бочка. Реально. Шанс на то, что в ближайшие 1-2-3 месяца вы поимеете гиморой примерно 60-70%. Причем я так думаю этот гиморой будет еще более масштабный, чем был. Не буду раскрывать всех деталей, тут как говорится тайна следствия. Но вам и вашему руководству стоит очень серьезно подумать над приобретением нормального сервера. Пусть не у нас, но это должен быть именно сервер.

[serega1987]

Тема закрыта. Проблема решена. Вкратце - были восстановлены: сертификат подписи кербероса, пересоздан ДНС, немного подкорректирована АД. ОГРОМНОЕ СПАСИБО Stranger03! Без него ничего бы не вышло.

[Stranger03]

Ну я бы сказал, что я здесь почти ничего не сделал. Ну кроме разве что координации. Основную работу сделали Паша Андреев, мой старый древний питерский друг. И наш админ Кира Ткачев.

[doox]

Аналогичная проблема и у нас случилась.
уважаемый serega1987 ... уточните пожалуйста подробнее, каким образом были восстановлены: сертификат подписи кербероса, пересоздан ДНС (у нас он не создает зоны ... а при удалении роли ДНС и поднятии заново - невозможно запустить), немного подкорректирована АД (что именно Вы там наколдовали ?)

[serega1987]

Аналогичная проблема и у нас случилась.
уважаемый serega1987 ... уточните пожалуйста подробнее, каким образом были восстановлены: сертификат подписи кербероса, пересоздан ДНС (у нас он не создает зоны ... а при удалении роли ДНС и поднятии заново - невозможно запустить), немного подкорректирована АД (что именно Вы там наколдовали ?)

Дело в том, что контроллер домена перестал видеть себя собственно самим контроллером домена. командой netdom (помоему так) был сброшен пароль авторизации контроллера домена. а дальше-помогло обычное пересоздание днс, и тд

[serega1987]

Для более точной информации обратитесь к Stranger03 . Благодаря его помощи и помощи его коллег проблема решилась

[serega1987]

Кстати, вот эта строчка как раз говорит, что КД(STM) не видит себя в домене
LDAP test. . . . . . . . . . . . . : Failed

[FATAL] Cannot do Negotiate authenticated ldap_bind to 'stm.argon.local': In

valid Credentials.

[FATAL] No LDAP servers work in the domain 'ARGON'.

[doox]

ок, спасибо ...
соответственно прошу помощи у "Stranger03" ...
win 2k3 (AD+DNS+file server)
АД цел, сохранились все ПК и учетки пользователей и OU ..
ДНС мертв ...вроде как стартует ... в прямой зоне пусто .. в логах куча ошибок
удаление роли ДНС сервера и создание заново роли - не привело к успеху ... висит установка
а сам АД не может заработать ... т.к. ссылается на ДНС (а он не работает) ... замкнутый круг AD->DNS, DNS->AD ...
В логах пишется что виндовс не может определить пользователя или имя компьютера
не проходит и авторизация пользователей через домен, проблема с керберос, LSASRV аутификацию у домена пройти ... и т.п.
АД не может найти глобальный каталог. т.е. практически все ошибки, что появлялись и у "serega1987"
что посоветуете, уже три дня бьюсь с этой проблемой?

[Stranger03]

ок, спасибо ...
соответственно прошу помощи у "Stranger03" ...

Может уже пора создавать платную услугу по восстановлению АД?
P.S. просто так не рассказать. Мне дали РДП доступ, восстанавливали 3-4 рабочих дня не считая выходных. Как вы понимаете времени и сил угрохали вагон и маленькую тележку.
P.P.S. все штатно:
- бекап систем стейт
- dcdiag, netdiag, устранение ошибок в них.
- восстановление ДНС
- сброс паролей
- чистка АД
Ну и так далее.

[doox]

Может уже пора создавать платную услугу по восстановлению АД?

идея вообще-то отличная. и актуальная ... у меня контора вообще стала ... везде авторизация через АД .. что на цитриксе , что на шарах ... вот веселье было ... ладно ... с цитриксом разобрался ... сделал доступными опубликованными приложения через локальных пользователей на сервере, их у меня 35 штук ... хоть что-то работает ...
но восстанавливать то надо ... коньяк с презентом гарантирую (если в Питере) ... ну или можно всегда договориться ))
а теперь серьёзней ...
случилось сиё дело когда клон винта делали , как раз ради бэкапа, Акронисом ... он скорее всего что-то с правами нахимичил - хотя не должен был ... в итоге после удачного клонирования - на обоих винтах одна и та же проблема с АД-ДНС ..
судя по логам ... с авторизацией проблема ...
Event Type: Error
Event Source: NTDS General
Event Category: Global Catalog
Event ID: 1126
Date: 24.08.2009
Time: 10:03:17
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: DATA
Description:
Active Directory was unable to establish a connection with the global catalog.

Additional Data
Error value:
1460 This operation returned because the timeout period expired.
Internal ID:
3200c45
User Action:
Make sure a global catalog is available in the forest, and is reachable from this domain controller. You may use the nltest utility to diagnose this problem.
===========================
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1053
Date: 23.08.2009
Time: 19:19:08
User: NT AUTHORITY\SYSTEM
Computer: DATA
Description:
Windows cannot determine the user or computer name. (Access is denied. ). Group Policy processing aborted.
==============================
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1030
Date: 23.08.2009
Time: 19:43:46
User: UK\Administrator
Computer: DATA
Description:
Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.
=========================
Event Type: Error
Event Source: SclgNtfy
Event Category: None
Event ID: 1002
Date: 23.08.2009
Time: 19:43:47
User: N/A
Computer: DATA
Description:
Default group policy object cannot be created. Error 80070035 to open GPO Domain EFS Recovery Policy in domain LDAP://DC=UK,DC=local.
==========================
Event Type: Warning
Event Source: LSASRV
Event Category: SPNEGO (Negotiator)
Event ID: 40960
Date: 22.08.2009
Time: 17:46:32
User: N/A
Computer: DATA
Description:
The Security System detected an authentication error for the server cifs/DATA. The failure code from authentication protocol Kerberos was "The attempted logon is invalid. This is either due to a bad username or authentication information.
(0xc000006d)".
==========================
Event Type: Warning
Event Source: LSASRV
Event Category: SPNEGO (Negotiator)
Event ID: 40961
Date: 22.08.2009
Time: 17:46:32
User: N/A
Computer: DATA
Description:
The Security System could not establish a secured connection with the server cifs/DATA. No authentication protocol was available.
......
удалил роль ДНС сервера ... создал на другом сервере ДНС сервер .. с такой же зоной ... форвардс на шлюз ... инет у пользователей забегал ..
теперь вот ломаю голову, как восстановить АД

[doox]

есть ли смысл выкидывать сюда dcdiag и netdiag? поможете ?

[Stranger03]

есть ли смысл выкидывать сюда dcdiag и netdiag? поможете ?

Перепиской в форуме врядли поможем. Слишком долго и нудно выяснять причины и устранять проблемы. В прошлом разе на это ушло 4-е дня работы 3-х толковых ребят. Повторять еще раз подобный эксперимент без финансовых привилегий как-то не очень хочется. Чиркните мне в аську ваши контакты, я спрошу в Питере. Готовы ли они будут еще раз повторить подвиг.
Направление куда двигаться:
- читать статью на МС сайте по поводу ДНС для АД. Сначала восстанавливать его
- потом читать логи нетдиаг, dcdiag, устранять ошибки
- потом перезапускать сервис нетлогона и отлаживать ошибки АД.

[abc]

Добавлю свою копеечку.
В ситуации, когда DC не может установить связь с AD, полезно проверить функционирование кербероса. Конкретных советов не дам (забылось за давностью), но в Support tools/Resource kit были утилиты для наблюдения за керберосом.

[doox]

Огромное спасибо "Stranger03" и Кириллу системному инженеру “Тринити” в Санкт-Петербурге
помогли, и все сделали ...
"abc" прав

когда DC не может установить связь с AD, полезно проверить функционирование кербероса

как раз то , что надо ... Кирилл делал удаленно как раз по этой методике http://support.microsoft.com/kb/260575
для диагностирования требуются утилиты из Support tools/Resource kit, я ставил отсюда (может кому потребуется):

Windows Server 2003 Resource Kit Tools (11.8 MB)
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2003 Service Pack 1 32-bit Support Tools (5.2 MB)
http://www.microsoft.com/downloads/deta ... laylang=en

Windows Server 2003 Administration Tools Pack (12.2 MB)
http://www.microsoft.com/downloads/deta ... laylang=en

ну а после сброса пароля учетной записи контроллера домена с остановленным керберосом, установка ДНС роли с wins и всё заработало ...

ещё раз спасибо за помощь !!

[Kirill Tkachev]

ещё раз спасибо за помощь !!

Пожалуйста. Рад был помочь.

Немного уточню методику.

При таких проблемах с единственным контроллером домена никакие роли удалять не надо. Достаточно остановить сервис Kerberos Key Distribution Center, сбросить пароль учетной записи контроллера домена командой netdom resetpwd /server:<dc_name> /userd:domainname\administrator_id /passwordd:*. После чего перегрузить сервер.
Статья http://support.microsoft.com/kb/260575/en-us описывает немного другую ситуацию когда существует несколько контроллеров домена.