Не могу добавить контроллер домена ...

[pouk]

Есть два контроллера на Win2k и WinNT (BDC) не могу добавить новый DC, пишет что AD не удается преобразовать учетную запись сервера в учетную запись контроллера домена.
Рекомендация от Микрософт не помогла http://support.microsoft.com/?kbid=250874
P.S.
Недавно контроллер домена на Win2k падал ...
PP.SS.
Может быть как нибудь не стандартным образом можно вогнать ?

[Stranger03]

Есть два контроллера на Win2k и WinNT (BDC) не могу добавить новый DC, пишет что AD не удается преобразовать учетную запись сервера в учетную запись контроллера домена.

Точнее, что в логах сервера и добавляемой машины?

[pouk]

Это лог добавляемого сервера

06/07 10:01:00 [INFO] Promotion request for replica domain controller
06/07 10:01:00 [INFO] DnsDomainName  VGF
06/07 10:01:00 [INFO] ReplicaPartner  (NULL)
06/07 10:01:00 [INFO] SiteName  (NULL)
06/07 10:01:00 [INFO] DsDatabasePath  C:\WINDOWS\NTDS, DsLogPath  C:\WINDOWS\NTDS
06/07 10:01:00 [INFO] SystemVolumeRootPath  C:\WINDOWS\SYSVOL
06/07 10:01:00 [INFO] Account VGF\administrator
06/07 10:01:00 [INFO] Options  192
06/07 10:01:00 [INFO] Validate supplied paths
06/07 10:01:00 [INFO] Validating path C:\WINDOWS\NTDS.
06/07 10:01:00 [INFO] Path is a directory
06/07 10:01:00 [INFO] Path is on a fixed disk drive.
06/07 10:01:01 [INFO] Validating path C:\WINDOWS\NTDS.
06/07 10:01:01 [INFO] Path is a directory
06/07 10:01:01 [INFO] Path is on a fixed disk drive.
06/07 10:01:01 [INFO] Validating path C:\WINDOWS\SYSVOL.
06/07 10:01:01 [INFO] Path is on a fixed disk drive.
06/07 10:01:01 [INFO] Path is on an NTFS volume
06/07 10:01:01 [INFO] Start the worker task
06/07 10:01:01 [INFO] Request for promotion returning 0
06/07 10:01:01 [INFO] Поиск контроллера для домена VGF, который содержит учетную запись DCVGF$

06/07 10:01:01 [INFO] Найден контроллер intsrv2.VGF для домена VGF

06/07 10:01:01 [INFO] Используется сайт Default-First-Site-Name для сервера \\intsrv2.VGF

06/07 10:01:01 [INFO] Forcing time sync
06/07 10:01:01 [INFO] Принудительная синхронизация времени с \\intsrv2.VGF

06/07 10:01:01 [INFO] Остановка службы NETLOGON

06/07 10:01:01 [INFO] Остановка службы NETLOGON

06/07 10:02:01 [INFO] Configuring service NETLOGON to 1 returned 0
06/07 10:02:01 [INFO] Stopped NETLOGON
06/07 10:02:01 [INFO] Deleting current sysvol path C:\WINDOWS\SYSVOL
06/07 10:02:04 [INFO] Created system volume path
06/07 10:02:04 [INFO] Копирование файла исходной базы данных службы каталогов C:\WINDOWS\system32\ntds.dit на C:\WINDOWS\NTDS\ntds.dit

06/07 10:02:06 [INFO] Установка службы каталогов

06/07 10:02:06 [INFO] Calling NtdsInstall for VGF
06/07 10:02:06 [INFO] Запуск установки Active Directory
06/07 10:02:06 [INFO] Проверка предоставленных пользователем параметров
06/07 10:02:06 [INFO] Определение сайта для установки
06/07 10:02:06 [INFO] Исследование существующего леса службы каталогов Active Directory
06/07 10:02:06 [INFO] Настройка локального контроллера домена для несения службы каталогов Active Directory
06/07 10:02:15 [INFO] Создание параметров объекта NTDSA для данного контроллера домена на удаленном контроллере домена intsrv2.VGF?
06/07 10:02:15 [INFO] Репликация схемы разделов
06/07 10:02:17 [INFO] Репликация CN=Schema,CN=Configuration,DC=VGF: получено 536 из приблизительно 1263 объектов.
06/07 10:02:19 [INFO] Репликация CN=Schema,CN=Configuration,DC=VGF: получено 1071 из приблизительно 1263 объектов.
06/07 10:02:20 [INFO] Репликация CN=Schema,CN=Configuration,DC=VGF: получено 1263 из приблизительно 1263 объектов.
06/07 10:02:20 [INFO] Реплицирован контейнер схемы.
06/07 10:02:21 [INFO] Кэш схемы обновлен службой Active Directory.
06/07 10:02:21 [INFO] Репликация конфигурации схемы разделов
06/07 10:02:24 [INFO] Репликация CN=Configuration,DC=VGF: получено 536 из приблизительно 1555 объектов.
06/07 10:02:25 [INFO] Репликация CN=Configuration,DC=VGF: получено 1069 из приблизительно 1555 объектов.
06/07 10:02:27 [INFO] Репликация CN=Configuration,DC=VGF: получено 1554 из приблизительно 1555 объектов.
06/07 10:02:27 [INFO] Реплицирован контейнер конфигурации.
06/07 10:02:27 [INFO] Error - Мастеру установки Active Directory не удается преобразовать учетную запись компьютера DCVGF$ в учетную запись контроллера домена. (5)
06/07 10:02:29 [INFO] NtdsInstall for VGF returned 5
06/07 10:02:29 [INFO] DsRolepInstallDs returned 5
06/07 10:02:29 [ERROR] Failed to install to Directory Service (5)
06/07 10:02:42 [INFO] Запуск службы NETLOGON

06/07 10:02:42 [INFO] Configuring service NETLOGON to 2 returned 0
06/07 10:02:42 [INFO] Предпринятая контроллером домена операция завершена

06/07 10:02:42 [INFO] DsRolepSetOperationDone returned 0

[Stranger03]

Это лог добавляемого сервера

ipconfig /all сервера и клиента?

[Stranger03]

Основной и добавляемый контроллеры Вин2К?

[pouk]

Основной сервер W2k

Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : intsrv2
Primary DNS Suffix  . . . . . . . : vgf
Node Type . . . . . . . . . . . . : Hybrid

IP Routing Enabled. . . . . . . . : Yes

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : vgf

Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix  . :
Description . . . . . . . . . . . : 3Com 3C996B Gigabit Server NIC
Physical Address. . . . . . . . . : 00-0A-5E-00-8F-E5

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.64.20

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.64.2

DNS Servers . . . . . . . . . . . : 192.168.64.20
Primary WINS Server . . . . . . . : 192.168.64.30

Secondary WINS Server . . . . . . : 192.168.1.1

добавляемый W2k3

Настройка протокола IP для Windows

  Имя компьютера  . . . . . . . . . : dcvgf

  Основной DNS-суффикс  . . . . . . : VGF

  Тип узла. . . . . . . . . . . . . : гибридный

  IP-маршрутизация включена . . . . : нет

  WINS-прокси включен . . . . . . . : нет

  Порядок просмотра суффиксов DNS . : vgf

Подключение по локальной сети 2 - Ethernet адаптер:

  DNS-суффикс этого подключения . . :

  Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection

  Физический адрес. . . . . . . . . : 00-0E-0C-3E-44-B1

  DHCP включен. . . . . . . . . . . : нет

  IP-адрес  . . . . . . . . . . . . : 192.168.64.10

  Маска подсети . . . . . . . . . . : 255.255.255.0

  Основной шлюз . . . . . . . . . . : 192.168.64.2

  DNS-серверы . . . . . . . . . . . : 192.168.64.20

  Основной WINS-сервер  . . . . . . : 192.168.64.30

[Stranger03]

Основной сервер W2k

Вроде все корректно. Тогда последний вопрос, в логах сервера и клиента, System который, должны быть ошибки красные. Что там написано?

[pouk]

Есть постоянное предупреждение 5714 источник NETLOGON
это на W2k
The full synchronization request from the server COMPAQ failed with the following error:
A specified privilege does not exist.
На втором конторллере на WinNT похожее предупреждение 5718
The full synchronization replication of the LSA database from the primary domain controller \\INTSRV2 failed with the following error:
A specified privilege does not exist.

Клиент чистый

[Stranger03]

Есть постоянное предупреждение 5714 источник NETLOGON
это на W2k

Ага, вот здесь и начнем копать, .

[Stranger03]

Похоже вот оно (сейчас внимательнее почитаю):
http://support.microsoft.com/default.as ... -us;199071

[Stranger03]

На втором конторллере на WinNT похожее предупреждение 5718
The full synchronization replication of the LSA database from the primary domain controller \\INTSRV2 failed with the following error:

Не, точно, похоже именно оно. Проверьте на всякий случай. Если не поможет, будем копать дальше.

[pouk]

тщетно  :(

[Гхост-цзы]

Похоже здесь банальная проблема "плоских" имён AD. Был бы домен назван vgf.local - пожалуй и не было бы описанной проблемы.
Дело в том, что в домене с плоским именем по умолчанию:
- клиенты не могут использовать ДНС для поиска DC;
- контроллеры не могут вести динамическую регистрацию записей в ДНС.
То бишь по умолчанию используется разрешение имён NetBIOS (что в какой-то мере логично - "плоское" имя домена совпадает с его  NetBIOS-именем.)
Излечения для этой ситуации 2:
- мучать настройки WINS на DC, но тогда всё останется на NetBIOS;
- внести пару изменений в реестр:в ветви HKLM\System\CurrentControlSet\Services\Netlogon\Parameters добавляем параметр (или исправляем, если он уже существует) AllowSingleLabelDnsDomain cо значением, равным 1; в HKLM\System\CurrentControlSet\Services\DnsCache устанавливаем параметр UpdateTopLevelDomainZones равным 1.
После этого делаем рестарт служб Нетлогон на обоих DC (либо просто рестарт самих тачек). И смотрим, как у нас пойдут дела с репликацией.

PS. Блин, только сейчас прочёл, что добавляется w2k3. В w2k3:
1) правится другая ветвь реестра для решения проблемы "плоских" имён (на вскидку не вспомню);
2) у неё другая схема AD; посему необходимы предварительные манипуляции с основным DC на w2k (adprep), чтобы можно было добавить в домен DC с w2k3.

[pouk]

Гхост-цзы
Перед тем как добавить новый DC на W2k3 я подготовил домен
командой
adprep /forestprep
adprep /domainprep
которая отработала без нареканий.
P.S.
До W2k3 я пытался добавить DC на W2k но вылезала та же самая ошибка[/b]

[Stranger03]

До W2k3 я пытался добавить DC на W2k но вылезала та же самая ошибка

Тогда стоит попробовать сделать тест АД на предмет ошибок в записях. Попробую поискать статейку на эту тему. Правда есть еще один вариант. Это тупо перед установкой нового контроллера пробовать через АД его сначала добавить как контроллер, а потом поднимать на нем. Не знаю, прокатит ли.