Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Еще…Меньше
Симптомы
Рассмотрим следующий сценарий:
-
Служба роли доменных служб Active Directory устанавливается на контроллере домена под управлением Windows Server 2008 R2.
-
Один или несколько сетевых интерфейсов сети установлены на контроллере домена.
-
Запустите средство диагностики контроллеров домена (Dcdiag.exe) в командной строке на контроллере домена под управлением Windows Server 2008 R2 или на компьютере под управлением Windows 7.
В этом случае происходит сбой подключения тест, который выполняется с помощью средства Dcdiag.exe. Кроме того в выходных данных средства Dcdiag.exe появляется следующее сообщение об ошибке:
Тестовый сервер: <сайт> \ <DCNAME>
Запуск теста: подключения
* Проверка службы LDAP active Directory
Сообщение 0x621 не найден.
Произошла ошибка при проверке подключения LDAP и RPC. Проверьте настройки брандмауэра.
… <Имя контроллера домена> Неудачный тест подключения
Примечание
-
В некоторых случаях появляется сообщение об ошибке без код ошибки 0x621.
-
Эта проблема возникает только при запуске средства Dcdiag.exe на сервере под управлением Windows Server 2008 R2 или на компьютере под управлением Windows 7.
-
Средство Dcdiag.exe выводит код ошибки 0x621 неправильно как сообщение об ошибке:
Сообщение 0x621 не найден.
Ожидаемое сообщение выглядит следующим образом:
Каналы и IPV4 и IPV6, отключены на всех адаптеров локального сервера. Поэтому без подключения к серверу.
Причина
Эта проблема возникает, поскольку средства Dcdiag.exe не использует надежный метод для проверки, является ли сетевое подключение физического интерфейса на компьютере, на котором работает в Windows Server 2008 R2. При установке сетевого интерфейса объединения средство неправильно определяет, что интерфейс не является физической сетевой интерфейс, а затем средство выводит код ошибки 0x621.
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Данное исправление на компьютере должна быть установлена одной из следующих операционных систем Windows:
-
Windows 7
-
Windows Server 2008 R2
Кроме того на компьютере должно быть установлено средство Dcdiag.exe
Сведения о перезагрузке компьютера
Не требуется перезагружать компьютер после установки данного исправления.
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента Дата и время в панели управления.
Для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Dcdiag.exe |
6.1.7600.20595 |
453,632 |
13-Dec-2009 |
08:55 |
x86 |
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Dcdiag.exe |
6.1.7600.20595 |
674,304 |
13-Dec-2009 |
11:07 |
x64 |
Дополнительные файлы для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Update.mum |
|
Версия файла |
Неприменимо |
|
Размер файла |
1,458 |
|
Дата (UTC) |
14-Dec-2009 |
|
Время (UTC) |
09:31 |
|
Платформа |
Неприменимо |
|
— |
|
|
Имя файла |
X86_404b9100f2ed72b15e75ac4a0055a4d7_31bf3856ad364e35_6.1.7600.20595_none_0d0cf1de24ef6f82.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
737 |
|
Дата (UTC) |
14-Dec-2009 |
|
Время (UTC) |
09:31 |
|
Платформа |
Неприменимо |
|
— |
|
|
Имя файла |
X86_microsoft-windows-d..-commandline-dsdiag_31bf3856ad364e35_6.1.7600.20595_none_4c84297178826d74.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
2,581 |
|
Дата (UTC) |
14-Dec-2009 |
|
Время (UTC) |
05:33 |
|
Платформа |
Неприменимо |
Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе x64
|
Имя файла |
Amd64_305ca61f4d2104e8beedf22ec0d1ff69_31bf3856ad364e35_6.1.7600.20595_none_70acb4e63dfdfa59.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
741 |
|
Дата (UTC) |
14-Dec-2009 |
|
Время (UTC) |
09:31 |
|
Платформа |
Неприменимо |
|
— |
|
|
Имя файла |
Amd64_microsoft-windows-d..-commandline-dsdiag_31bf3856ad364e35_6.1.7600.20595_none_a8a2c4f530dfdeaa.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
2,585 |
|
Дата (UTC) |
14-Dec-2009 |
|
Время (UTC) |
06:49 |
|
Платформа |
Неприменимо |
|
— |
|
|
Имя файла |
Update.mum |
|
Версия файла |
Неприменимо |
|
Размер файла |
2,998 |
|
Дата (UTC) |
14-Dec-2009 |
|
Время (UTC) |
09:31 |
|
Платформа |
Неприменимо |
Временное решение
Чтобы обойти эту проблему, запустите средство Dcdiag.exe из командной строки удаленного компьютера с помощью использовать параметр /s для указания контроллера домена под управлением Windows Server 2008 R2.
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе «Относится к».
Ссылки
Дополнительные сведения о средстве Dcdiag.exe посетите TechNet веб-узлу Microsoft:
http://technet.microsoft.com/en-us/library/cc731968(WS.10).aspx
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
Hi,
I have single Domain Controller 30 machines are not able to contact the Server then possibly i checked internet in the Directory Server i was not able to browse Internet though Directory Server. Then i ran dcdiag /fix, I got the following errors. I have
checked the network interface too but still i am unable to resolve the issue.
Other Machines connected to the Directory Server are getting internet.
Other Errors from the NETLOGON Service : Event 5722
The session setup from the computer WS-15 failed to authenticate. The name(s) of the account(s) referenced in the security database is WS-15$. The following error occurred: Access is denied.
DistributedCOM : Event 10016
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
C:\Windows\system32>dcdiag /fix
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = ADServer2
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\ADSERVER2
Starting test: Connectivity
The host a5062caf-4ee7-400f-a70d-9e4d8e84e0f0._msdcs.ad.xxxx.com could not be resolved to an IP address. Check the DNS server, DHCP, server name,
etc.
Got error while checking LDAP and RPC connectivity. Please check your firewall settings.
……………………. ADSERVER2 failed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\ADSERVER2
Skipping all tests, because server ADSERVER2 is not responding to directory service requests.
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
……………………. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
……………………. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
……………………. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
……………………. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. Configuration passed test CrossRefValidation
Running partition tests on : ad
Starting test: CheckSDRefDom
……………………. ad passed test CheckSDRefDom
Starting test: CrossRefValidation
……………………. ad passed test CrossRefValidation
Running enterprise tests on : ad.vinformax.com
Starting test: LocatorCheck
……………………. ad.xxxx.com passed test LocatorCheck
Starting test: Intersite
……………………. ad.xxxx.com passed test Intersite
Kindly help me to sort out the issue.
Regards,
D.Nithyananthan.
Thanks & Regards, D.Nithyananthan.
#1
marat-209
-
- Members
- 1 Сообщений:
Newbie
Отправлено 14 Июнь 2016 — 10:56
Добрый день. Стоит 10 версия на windows server 2008 r2, добавил компонент брандмауэр и стала выходить ошибка
Сервер проверки: Default-First-Site-Name\SERV4
Запуск проверки: Connectivity
Для сервера SERV4 было выполнено разрешение в следующие IP-адреса:
10.169.169.56, однако все они недоступны (связь отсутствует).
Проверьте сеть.
Ошибка: 0x2b02 «Произошла ошибка из-за недостатка ресурсов.»
Чаще всего данная ошибка означает, что целевой сервер выключен или
отключен от сети.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте
параметры брандмауэра.
……………………. SERV4 — не пройдена проверка Connectivity
При отключении брандмауэра ошибка пропадает. Как его настроить?
- Наверх
#2
Kirill Polubelov
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 255 Сообщений:
Hr. Schreibikus
Отправлено 14 Июнь 2016 — 12:58
(exit 0)
- Наверх
#3
IlyaS
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 14 Июнь 2016 — 13:42
Какие-то старые статьи про Windows 2000-2003. В 822158 firewall вскользь упоминают, что малварь оптимально ловить в самой ранней точке.
Аналогичных рекомендаций для 2008+ нет?
- Наверх
#4
Konstantin Yudin
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 538 Сообщений:
Смотрящий
Отправлено 14 Июнь 2016 — 15:22
домашнему файерволу не место в энтерпрайзе и на серверах.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
- Наверх
#5
Kirill Polubelov
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 255 Сообщений:
Hr. Schreibikus
Отправлено 14 Июнь 2016 — 16:35
>> Аналогичных рекомендаций для 2008+ нет?
Думаете, в этом плане, что-то поменялось, в сторону уменьшения кол-ва используемых портов и кол-ва задействованных процессов?
(exit 0)
- Наверх
#6
Kirill Polubelov
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 255 Сообщений:
Hr. Schreibikus
Отправлено 14 Июнь 2016 — 16:37
В одной из указазнных, в ссылках, статей, правильно замечено — фактически, вам придется _открыть_ бОльшую часть портов, из всех имеющихся, и разрешить бОльшую часть сервисов, из всех работающих. В этих условиях, просто теряется смысл в fw на домен-контроллере.
(exit 0)
- Наверх
#7
IlyaS
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 14 Июнь 2016 — 18:07
ИМХО, стандартный фаер в 2008+ не мешает работать штатным сервисам КД, поэтому и надобность в этих статьях отсутствует.
Ну а то, что фаер Доктора не учитывает все эти потребности, то тут согласен с КЮ — нафиг не нужен пользовательский фаер на сервере.
- Наверх
#8
chs
chs
-
- Posters
- 249 Сообщений:
Member
Отправлено 15 Июнь 2016 — 11:17
ИМХО, стандартный фаер в 2008+ не мешает работать штатным сервисам КД, поэтому и надобность в этих статьях отсутствует.
Ну а то, что фаер Доктора не учитывает все эти потребности, то тут согласен с КЮ — нафиг не нужен пользовательский фаер на сервере.
Ещё как мешает. А ещё и, иногда, включается сам при применении обновлений.
- Наверх
#9
IlyaS
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 15 Июнь 2016 — 11:22
Сколько работает на серверах, и не мешает. Все службы сами свои исключения включают.
Проблема может возникнуть, если вдруг неправильно определен тип сети — общественная вместо доменная, что бывает крайне редко.
- Наверх
#10
basid
basid
-
- Posters
- 4 421 Сообщений:
Guru
Отправлено 15 Июнь 2016 — 18:18
… а поскольку любая программа считает своим долгом упихнуть себя в исключения файервола, то получаем, что:
1. Штатные службы надо разрешать;
2. Нештатные разрешают себя сами и без ограничений.
По итогу файервол может быть полезен только в какой-то бипнутой ситуации, когда ваша локалка «открыта всем ветрам».
- Наверх
Добрый день, уважаемые.
Есть проблема с одним из КД — он периодически отваливается из ДНСа.
Опытным путем установил когда и после чего это происходит:
отваливающийся КД занимается распространением политик. Заметил, что не некоторые машины в домене политики перестали применяться. В этот же момент из ДНСа стал пропадать КД. Если руками в ДНСе снова создать запись АД этого КД, то она там просуществует ровно до того момента, пока кто-нибудь из клиентов не выключит компьютер. На этапе отключения машина пытается загрузить политики и вуаля, — запись из ДНСа пропала.
Странное дело, что пли логоне такого не происходит.
Прогонял dc на обоих КД.
На проблемном:
Код: Выделить всё
C:\Users\AdminF>dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = uran
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\URAN
Запуск проверки: Connectivity
Узел 87fd9d7b-dc38-42cb-aab0-1ba09ca80a30._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP,
имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра.
......................... URAN - не пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\URAN
Пропуск всех проверок, поскольку сервер URAN не отвечает на запросы службы каталога.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: mydomain
Запуск проверки: CheckSDRefDom
......................... mydomain - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... mydomain - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: mydomain.local
Запуск проверки: LocatorCheck
......................... mydomain.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... mydomain.local - пройдена проверка Intersite
На втором НЕпроблемном нет сообщений об ошибках, кроме:
Код: Выделить всё
Выполнение проверок предприятия на: mydomain.local
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355
Не удается найти основной контроллер домена.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1355
Не удается найти сервер времени.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
Не удается найти сервер точного времени.
......................... mydomain.local - не пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... mydomain.local - пройдена проверка Intersite
Запуск дебага с ДНС не выявил проблем.
ipcinfig /all с проблемного КД:
Код: Выделить всё
C:\Users\AdminF>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : uran
Основной DNS-суффикс . . . . . . : mydomain.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : mydomain.local
Ethernet adapter Подключение по локальной сети 3:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet сетевой адаптер
Физический адрес. . . . . . . . . : 00-C0-26-2D-4D-1C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::40cd:97c3:5d26:271d%16(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.222
IAID DHCPv6 . . . . . . . . . . . : 352370726
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-16-70-23-19-00-15-17-F5-9E-36
DNS-серверы. . . . . . . . . . . : 192.168.0.1
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{59502BA1-D2ED-4D4C-AAB4-B65DF369DC98}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
с «нормального»:
Код: Выделить всё
C:\Users\AdminF>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : core
Основной DNS-суффикс . . . . . . : mydomain.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : mydomain.local
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Гигабитное сетевое подключение Intel(R) 82566DM-2
Физический адрес. . . . . . . . . : 00-15-17-9D-7B-54
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::5ddc:a8d1:483c:fdac%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.222
IAID DHCPv6 . . . . . . . . . . . : 234886423
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-16-7D-3D-7B-00-15-17-9D-7B-54
DNS-серверы. . . . . . . . . . . : ::1
192.168.0.2
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{1A1A09D4-E143-43A2-A935-D6BAA7B307F2}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Понятное дело, что проблемный КД после исчезновения из ДНС записи не разрешается, но при этом пингуется.
Проверка на вирусы не выявила проблем.
Где выпрямлять руки?
Содержание
- 1 Постановка задачи
- 2 Добавление контроллера домена
- 3 Перенос роли хозяина операций
- 4 Работа над ошибками
- 4.1 DNS не удаётся разрешить IP-адрес
- 4.2 Ошибка репликации 8453
- 4.3 На контроллере нет сетевых ресурсов NetLogon и SysVol
- 5 См. также
Постановка задачи
В этой статье мы рассмотрим как добавить контроллер домена Active Directory в существующий лес, а затем сделать его главным в нашем домене, т.е. перенести на него роли хозяина операций. Про перенос отдельных ролей и компонентов можно прочесть в официальной документации.
Предположим:
- MYDOMAIN.LOCAL — наш домен под управлением Active Directory в Windows 2012 Server
- DC1 — единственный контроллер домена
- DC2 — новый добавляемый сервер, который будет вторым контроллером домена и впоследствии хозяином операций
Добавление контроллера домена
После установки на Windows 2012 Server роли «Доменные службы Active Directory» и повышения уровня сервера до контроллера домена (см офиц инструкцию) необходимо перед дальнейшими действиями дать несколько часов на синхронизацию между контроллерами доменов.
Затем следует проверить насколько гладко новый котроллер вошёл в домен.
C:\Windows\system32>nltest /dclist:mydomain.local
Получить список контроллеров домена в домене "mydomain.local" из "\\dc1.mydomain.local".
dc1.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name
DC2.mydomain.local [DS] Сайт: Default-First-Site-Name
Команда выполнена успешно.
Можно альтернативно запросить туже информацию непосредственно из каталога Active Directory:
C:\Windows\system32>dsquery server "CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local" "CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local"
Посмотрим краткий отчёт о проведённых между контроллерами репликациях, есть ли что-нибудь в очереди, можно также посмотреть более подробный отчёт:
repadmin /replsummary repadmin /queue repadmin /showrepl
Если репликации не были успешными, то можно запустить репликацию принудительно, но при этом командный интерпритатор cmd должне быть запущен с административными правами:
repadmin /syncall
Командой dcdiag можно более подробно диагностировать состояние контроллера домена, а также отдельно запустить более подробные тесты для проверки разных служб (офиц. описание)
Перенос роли хозяина операций
Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!
Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.
Посмотрим список контроллеров домена mydomain.local:
nltest /dclist:mydomain.local
Выясняем, кто из контроллеров является хозяином операций:
C:\Users\pnm>netdom query FSMO Хозяин схемы dc1.mydomain.local Хозяин именования доменов dc1.mydomain.local PDC dc1.mydomain.local Диспетчер пула RID dc1.mydomain.local Хозяин инфраструктуры dc1.mydomain.local Команда выполнена успешно.
Перенос ролей можно сделать двумя способами:
1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.
2. консольной утилитой управления доменом ntdsutil (офиц. документация). Если роли передаются, то используем команду transfer, если же захватываются, то seize. Ниже приведён алгоритм захвата ролей новым контроллером dc2:
C:\Users\pnm>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc2 Привязка к dc2 ... Подключен к dc2 с помощью учетных данных локального пользователя. server connections: quit fsmo maintenance: seize infrastructure master fsmo maintenance: seize naming master fsmo maintenance: seize PDC fsmo maintenance: seize RID master fsmo maintenance: seize schema master quit quit
Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.
В случае успешного захвата мы должны увидеть следующее
C:\Users\pnm>netdom query FSMO Хозяин схемы dc2.mydomain.local Хозяин именования доменов dc2.mydomain.local PDC dc2.mydomain.local Диспетчер пула RID dc2.mydomain.local Хозяин инфраструктуры dc2.mydomain.local Команда выполнена успешно.
Работа над ошибками
Некоторые примеры диагностики проблем с контроллерами домена рассмотрены в примерах команды dcdiag
DNS не удаётся разрешить IP-адрес
dcdiag выдаёт ошибку DNS:
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\DC2
Запуск проверки: Connectivity
Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается
разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры
брандмауэра.
......................... DC2 - не пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\DC2
Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.
РЕШЕНИЕ:
Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.
- Детальная проверка службы DNS (может занять пару минут):
dcdiag /test:dns
- Рекомендации по настройке службы DNS на контроллере домена
- DNScmd — консольная утилита для управления DNS сервером (офиц. описание)
Ошибка репликации 8453
repadmin /showrepl выдаёт ошибку:
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
РЕШЕНИЕ:
Запустить репликацию вручную и командной строки с административными правами
repadmin /syncall
На контроллере нет сетевых ресурсов NetLogon и SysVol
Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.
Доступность сетевых ресурсов можно проверить командой:
net share
Исправность ресурсов SysVol и NetLogon можно проверить командой:
dcdiag /test:netlogons
Официальную инструкцию по пересозданию ресурсов NetLogon и SysVol на английском можно прочесть в статье Restoring and Rebuilding SYSVOL. Ниже приведён краткий алгоритм этого процесса.
См. также
- Active Directory — общая информация