Проблема с Active Directory при добавлении DC Win2008 R2SP1
 

Здравствуйте.

Проблема такая. Был DC Win2003 SP2. Добавил еще один DC Win2008 R2 SP1 x64. На новом контроллере сразу не стал работать ДНС-сервер с сообщением о невозможности получить доступ к AD.

Была ошибка

LsaSrv 6037

The program lsass.exe, with the assigned process ID 612, could not authenticate locally by using the target name ldap/localhost127.0.0.1. The target name used is not valid. A target name should refer to one of the local computer names, for example, the DNS host name.

Try a different target name.



Добавил spn ldap/localhost127.0.0.1 командой setspn -a ldap/localhost127.0.0.1 server (также добавлял через ADSIEdit)

Запись в базу добавляется и ДНС-сервер начинает работать нормально. Но через несколько часов запись пропадает из ldap (!) и снова не работает ДНС, пока опять не добавишь запись.

Не могу понять в чем причина.

Заранее спасибо за помощь.

Str777, ipconfig /all со старого и нового DC в студию

Первый (старый) сервер Win2003SP2 (на нем kerio firewall работает)

Windows IP Configuration

Host Name . . . . . . . . . . . . : dc
Primary Dns Suffix . . . . . . . : dom1.ru
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : dom1.ru

Ethernet adapter Inet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapter
Physical Address. . . . . . . . . : 00-19-5B-32-CF-91
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 192.168.0.250

Ethernet adapter Lan:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : HP NC320i PCIe Gigabit Server Adapter
Physical Address. . . . . . . . . : 00-19-BB-D1-47-1B
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.250
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :





Второй сервер Win2008SP1 x64

Windows IP Configuration

Host Name . . . . . . . . . . . . : Server
Primary Dns Suffix . . . . . . . : dom1.ru
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : dom1.ru

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82578DM Gigabit Network Connection
Physical Address. . . . . . . . . : BC-AE-C5-98-A2-D6
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::edb3:85f9:b6e6:8277%11(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.0.1(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.250
DHCPv6 IAID . . . . . . . . . . . : 247246533
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-15-07-FF-03-BC-AE-C5-98-A2-D6
DNS Servers . . . . . . . . . . . : ::1
192.168.0.250
127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{A00F5183-8B5B-467F-937F-0C76927DF001}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

сайты сделаны? или сети прописаны?
гейты правильно маршрутизируют?
это что за DNS?

По адресу 192.168.1.1 стоит роутер (коробочка), подключенный ко второму интерфейсу первого сервера
Все работает хорошо, уже давно.
Для второго сервера (192.168.0.1) гейтом является первый сервер (192.168.0.250).
ДНС-сервера работают на обоих серверах. На втором сервере первым ДНСом прописан ДНС первого сервера с ресолвером на 192.168.1.1

а, прошу прощения, это я напутала ваши internal и external сети

а что говорит dcdiag?

dcdiag говорит, что все замечательно, все тесты успешны.

Str777, м.б. попробовать localhost127.0.0.1 убрать из secondary dns, насколько помню у 2003 вообще нельзя было это ставить в dns.

Я localhost127.0.0.1 в secondary dns поставил буквально вчера, уже после этих проблем, чисто для эксперимента. Ровным счетом ничего не поменялось. Кстати, при поднятии второго контроллера win2008 сам ставит себе вторым ДНСом 127.0.0.1.

Забавно...
Зачем вы добавляли?
Что сообщает
setspn –l ServerName


Какие тесты запускали и откуда?

вполне достаточно запустить на контроллере
dcdiag /test:dns

repadmin /replsum
что говорит?

1) setspn –l ServerName на втором сервере w2008sp1

Registered ServicePrincipalNames for CN=SERVER,OU=Domain Controllers,DC=dom1,DC=ru:
ldap/Server.dom1.ru/ForestDnsZones.dom1.ru
ldap/Server.dom1.ru/DomainDnsZones.dom1.ru
DNS/Server.dom1.ru
HOST/SERVER/DOM1
HOST/Server.dom1.ru/DOM1
GC/Server.dom1.ru/dom1.ru
HOST/Server.dom1.ru/dom1.ru
ldap/SERVER/DOM1
ldap/d5174dc2-d7d0-4457-b79b-eb94b8aaf374._msdcs.dom1.ru
ldap/Server.dom1.ru/DOM1
ldap/SERVER
ldap/Server.dom1.ru
ldap/Server.dom1.ru/dom1.ru
E3514235-4B06-11D1-AB04-00C04FC2DCD2/d5174dc2-d7d0-4457-b79b-eb94b8aaf374/dom1.ru
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/Server.dom1.ru
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/Server.dom1.ru
WSMAN/Server
WSMAN/Server.dom1.ru
TERMSRV/SERVER
TERMSRV/Server.dom1.ru
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom1.ru
HOST/SERVER.dom1.ru


2) dcdiag /test:dns на втором сервере w2008sp1 ПОСЛЕ добавления ldap/localhost127.0.0.1



3) repadmin /replsum на втором сервере w2008sp1 до добавления ldap/localhost127.0.0.1

Replication Summary Start Time: 2011-07-22 08:56:21

Repadmin can't connect to a "home server", because of the following error. Try specifying a different
home server with /homeserver:[dns name]
Error: An LDAP lookup operation failed with the following error:

LDAP Error 49(0x31): Invalid Credentials
Server Win32 Error 2148074252(0x8009030c): The logon attempt failed
Extended Information: 8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1

Source DSA largest delta fails/total %% error

Destination DSA largest delta fails/total %% error




4) repadmin /replsum на втором сервере w2008sp1 ПОСЛЕ добавления ldap/localhost127.0.0.1

Replication Summary Start Time: 2011-07-22 08:57:36

Beginning data collection for replication summary, this may take awhile:
.....

Source DSA largest delta fails/total %% error

DC 08m:26s 0 / 5 0

SERVER 05m:30s 0 / 5 0

Destination DSA largest delta fails/total %% error

DC 05m:30s 0 / 5 0

SERVER 08m:26s 0 / 5 0


5) Я подозреваю, что сервису Active Directory Domain Services (lsass.exe) на втором сервере не хватает прав для получения доступа, и об этом он и сообщает ошибкой 6037. При добавлении psn ldap/localhost127.0.0.1 все начинает работать, но почему через некоторое время (через несколько часов) этот psn пропадает из базы???

я бы сказал что у вас проблема не с SPN а с авторизацией т.к. вы используете не веоные данные.
тот список SPN который вы предоставили вполне соответствует типовому контроллеру домена на Windows 2008, но я не вижу записи про KDC (доеду до работы гляну нужный список)

тут интересно не это а вот это
кто такой home server?

lsass.exe это Local Security Authority Subsystem Service а Active Directory Domain Services это ADS

SPN пропадает из базы потому что его удаляют как неверный.
можно попробовать его зарегистрировать по человечески.

Имеется ввиду, наверное, параметр repadmin'а: /homeserver:dsaname, а если параметра нет, то он сам выбирает сервер (уж не знаю, по какому критерию).

Как это сделать?

Правильно так
setspn -a LDAP/<FQDN.Server.Name> <Name>

но если хочется использовать localhost То вот так. Через пробел.
setspn -a ldap/localhost 127.0.0.1

Это неправильно т.к. SPN пытается привязаться к локалхосту и естественно удаляется.

PS В вашем случае система не находя нужного SPN пытается прибегнуть к крайнему - вызвать локалност

Не совсем понял.

Я регистрирую имя, которое взято из ошибки 6037 (в первом посте): ldap/localhost127.0.0.1 (без пробелов)
командой setspn -a ldap/localhost127.0.0.1 server

Если Вы имеете ввиду что нужно (согласно синтаксису setspn -a LDAP/<FQDN.Server.Name> <Name>) добавить имя сервера
setspn -a LDAP/server.dom1.ru server, то это имя и так уже есть в базе.

Что касается пробела (setspn -a ldap/localhost 127.0.0.1) тот так регистрировать нельзя, выдается ошибка: Unable to locate account 127.0.0.1

дело то не в SPN-е...
У вас останавливается DNS сервер, примерно через пол-часа работы.
Это означает что проблема в его внутренностях или в производительности сервера.

1. нужны настройки серевой карты
ipconfig /all
2. поставьте счетчики на процессор, память
3. проверьте нет ли событий остановки сервиса DNS и все что может его касаться.

И ко всему вышесказанному, уберите localhost нафиг из конфигурации сетевых интерфейсов, и никогда больше его не добавляйте. Затем на обоих контроллерах запустите netdiag /fix.

localhost..
Зачем же?
Первичный ДНС на контроллере лучше оставить 127.0.0.1 ибо нафиг ему куда то ходить если у него и так все есть.

В сценариях, когда контроллеров больше одного рекомендуют перекрестные ссылки: на контроллере А Pimary DNS - контроллер B, Secondary он сам. На контроллере B - наоборот. Localhost для AD - нет никто и звать его никак. МС так и рекомендует, и сама делает, и в Deployment Guide как для простых смертных, так и для MCS - ровно такие рекомендации.

Повторю: 127.0.0.1, он же localhost - в контексте DNS не более чем loopback заглушка. Надо использовать нормальные адреса, а не служебные. Меньше проблем.

Сорри, товарищи, заврался. Порядок DNS обратный: первым сам, далее остальные. Если контроллеров больше двух - остальные добавляютсся на вкладке DNS в свойствах сетевого интерфейса.
http://technet.microsoft.com/en-us/l...58(WS.10).aspx

Спасибо, эта информация мне известна. Вопрос стоит в другом ключе (см. ниже).

Если я правильно понимаю, по приведённой Вами ссылке явно не сказано, должен ли это быть 127.0.0.1 или реальный IP адрес сетевой карты, смотрящей в локальную сеть:
Это основано на Вашем опыте, или же есть какие-то, скажем так, официальные рекомендации (например, из Best Practice или того же TechNet'а)? Если можно, по отношению как к DC на основе Server 2003, так и к DC на основе Server 2008 (опять же, см. ниже).


Тут ещё вот что: тема про домен 2008 R2, и раздел соответствующий. Задавая вопрос, я подразумевал ту же категорию. Вы привели ссылку по более ранней версии:
Я понимаю, что информация по приведённой Вами ссылке может относиться и к более поздним версиям, пусть это и не было в статье явно озвучено.

Но! Была тема: Петлевой IP-адрес не указан у сетевого адаптера со ссылкой на рекомендации: DNS: DNS servers on <adapter name> should include the loopback address, but not as the first entry под:
В той теме задавался вопрос, почему поменялась политика в Server 2008 по отношению к Server 2003, оставшаяся без ответа. Вот и мне стало тоже интересно. Можете высказаться по этому поводу?

Обсуждение темы свернуло в сторону. Все рекомендации, данные в этой теме, я применял. Ничего не помогало.
Решил проблему согласно http://support.microsoft.com/kb/887993/en-us. Добавил параметр DisableLoopbackCheck (хоть это и не рекомендуемый способ).
Всем спасибо за помощь.

Вы лечили следствие а не причину.
Будем надеяться что причина больше нигде не вылезет.

Iska, спасибо за полезные ссылки, я их раньше как-то не встречал, чесслово. Заявления основаны на опыте работы с МСS и их внутренними документами (есть у них готовые workflow на типовые операции, там и указано какие именно адреса использовать в конфигурации сетевого адаптера), сами документы, по понятным причинам я показать не могу, придется поверить на слово :) В общем, в той ссылке, которую вы привели, даны ответы на все вопросы. Итог дискуссии: первым пишем IP-адрес самого контроллера, вторым - адрес партнера по репликации, третьим или далее - адрес loopback.
Вот так и живем - век живи, век учись, а помрешь все равно дураком. Спасибо еще раз :)