|
Проблемы с контроллером домена windows 2003.
Добрый день!
Помогите разобраться и выбрать путь решения проблеммы. Что имеем: Домен, 2 контроллера домена, 3-й КД - давно убитый не убранный из АД. Более 1000 ПК, Более 15000 пользователей, основная часть работают время от времени. Репликая между 1 КД и 2 КД проходит нормально. Режим работы домена: Windows2000 (основной режим). Режим работы леса: Windows2000. Также доверительные отношения с другим лесом (тип доверия - Внешнее). На первом контроллере домена - PDC: АД, ДНС, роли ФСМО, глобальный каталог На втором - АД, ДНС, глобальный каталог При перезагрузке 1-го КД служба "Сетевой вход в систему" (Netlogon) в состоянии "Приостановленна" - захожу в службы - делаю Перезапустить - запускается и всё работает. Последний раз перезагружал очень давно. Ещё на 1 КД не выполняется архивация SystemStatе (зависает на обработке ctive Directory - NTBackup ID 8012 - "Active Directory" возвратил "Не удалось найти файл. "при вызове "BackupGetLogs()"...), после того как упс не выдержал долгого отсутствия электричества и просто рубанул систему. Последняя нормальная архивная копия от 22 февраля. Перенёс я этот КД в "виртуальную песочницу", а там он вообще не хочет загружаться - пишет lsass системная ошибка: Не удалось инициализировать SAM из-за след ошибки: Невозможно запустить службу катлогов... 0xс00002e1... перезагружайтесь в режиме восстановления... На заднем плане пишет "служба каталогов перестраивает индексы" Те после перезагрузки 1 КД, я так понимаю, и выдаст эту ошибку, следовательно пора что-то делать!) При попытке восстановиться из этой архивной копии: захожу в режим восстановления - выполняю неавторитетное восстановление - перезагружаюсь. Включаю 2 КД в вирт песочнице - "Служба каталогов перестраивает индексы..." В консоли "Users Computers" вижу всю структуру учеток. Хозяева ролей ФСМО - не определены и предлагается их присвоить. Загружается 1 КД в обычный режим после восстановления из последнего удачного бекапа - не запускается netlogon. Логинюсь, запускаю Netlogon. Репликация не происходит, т к 2 КД не видит владельца PDC. Вот зачем-то перезагружаю ещё раз 1 КД - и при попытке репликации ещё сообщение лучше: "Главное конечное имя неверно." При попытке подключиться на 1 КД к консоли "Users Computers" тоже "Главное конечное имя неверно." Какие варианты вижу: 1. Поднимаю ещё один КД (это и так планировалось) и переношу роли ФСМО на него (Кстати, в каком порядке лучше переносить роли???). После dcpromo на 1 КД - понижение до рядового сервера. Потом выход из домена, format c: и установка windows 2003r2 заново с тем же именем - включение в домен - dcpromo - обратно КД, передача обратно ролей ФСМО. 2. В "виртуальной песочнице" - переносил туда оба КД. Запускаю 1 КД - нажимаю F8 - режим восстановления каталога ntdsutl не проходит, т к ошибка открытия сбой DBInitializeJetDatabase Проходит esentutl /p c:\windows\ntds\ntds.dit /!10240 /8 /o Удаление c:\windows\ntds\ntds.integ.raw и d:\ntds\edb.log res1.log res2.log - журналы транзакций. После перезагрузки - репликация между двумя КД пролходит нормально. Проверял записи пользователей и компьютеров - полное соответствие до и после. Не проверял взаимодействие лесов. 3. Заставить 1 КД делать бэкап SystemStatе, проверить в песочнице перезагрузку, и спойно не торопясь искать причину не зупускания службы Netlogon - но вот как это сделать - не представляю... И как 1-ый или 2-ой варианты могут отразится на доверительном отношении с другим лесом - тоже не знаю... ipconfig 1 КД IP 10.31.111.211 Mask 255.255.0.0 GateWay 10.31.111.102 Dns 127.0.0.1 pconfig 2 КД IP 10.31.111.212 Mask 255.255.0.0 GateWay 10.31.111.102 Dns1 10.31.111.211 Dns2 10.31.111.212 Dns3 10.31.118.207 - ДНС второго леса (с кем состоим в доверительных отношениях) Спасибо кто дочитал))) |
Бэкапы вообще есть?
У вас судя по всему проблемы: 1. USN Rollback на одном из контроллеров 2. не работает ДНС или нет учеток нужных для работы службы каталогов. Что надо сделать минимум 1. вычистить метаданные по 3 КД 2. NTBackup ID 8012 говорит о том что пытаетесь сделать бэкап из под учетки у которой нет прав бэкап оператора PS ipconfig /all dcdiag /test:dns ДНС от второго леса убрать т.к. это надо настраивать на самом ДНС сервере |
Цитата:
Цитата:
При создании архива SystemState доходит до ActiveDirectory и бесконечно долго висит - время идёт процесс на том же месте... а вот лог после прерывания операции архивации Выполнение архивации Операция: архивация Местоназначение текущей архивации: Файл Название носителя: "Backup1.bkf создан 16.04.2012 в 17:26" Создание теневой копии тома: попытка 1. Название архива (по теневой копии): "System State" Архив №1 на носителе №1 Описание архива: "Набор создан 16.04.2012 в 17:26" Название носителя: "Backup1.bkf создан 16.04.2012 в 17:26" Режим архивации: Копировать Архивация начата - 16.04.2012 в 17:27. ВНИМАНИЕ! Не удалось прочесть часть данных файла "\Active Directory". Заархивированные данные повреждены или неполны. Этот файл не будет правильно восстановлен. Операция была завершена. Архивация завершена - 16.04.2012 в 17:33. Папок: 170 Файлов: 2512 Байт: 657*688*102 Время: 5 мин. и 51 сек. первый раз я обнаружил что архивация не идёт, когда здесь было более 12 часов - останавливается на одном и том же месте - 2512 объект) ---------------------- Операцию не удалось завершить успешно. ---------------------- ipconfig 1 КД IP 10.31.111.211 Mask 255.255.0.0 GateWay 10.31.111.102 Dns1 127.0.0.1 Dns2 10.31.118.207 - ДНС второго леса (с кем состоим в доверительных отношениях) pconfig 2 КД IP 10.31.111.212 Mask 255.255.0.0 GateWay 10.31.111.102 Dns1 10.31.111.211 Dns2 10.31.111.212 Dns3 10.31.118.207 - ДНС второго леса (с кем состоим в доверительных отношениях) Что 10.31.118.207 не должно быть в настройках сетевой карты - уже догадываюсь)) - путём шаманства запускали доверительные отношения с др лесом - как заработало, так и оставили... Открываю оснастку DNS - выбираю КД - Свойства - пересылка Список Ip-адресов серверов для пересылки выбранного домена - вот сюда его слудует добавить? dcdiag /test:dns КД1 Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\X1 Starting test: Connectivity ......................... X1 passed test Connectivity Doing primary tests Testing server: Default-First-Site-Name\X1 DNS Tests are running and not hung. Please wait a few minutes... Running partition tests on : ForestDnsZones Running partition tests on : DomainDnsZones Running partition tests on : Schema Running partition tests on : Configuration Running partition tests on : AD Running enterprise tests on : COMPANY.RU Starting test: DNS Test results for domain controllers: DC: X1.COMPANY.RU Domain: COMPANY.RU TEST: Basic (Basc) Warning: adapter [00000001] VMware Accelerated AMD PCNet Adapter has invalid DNS server: 10.31.118.207 (<name unavailable>) TEST: Delegations (Del) Warning: DNS server: X3.COMPANY.RU. IP: <Unavailable> Failure:Missing glue A record Warning: DNS server: X3.COMPANY.RU. IP: <Unavailable> Failure:Missing glue A record Error: DNS server: X2.COMPANY.RU. IP:10.31.111.212 [Broken delegated domain COMPANY.RU.COMPANY.RU.] Error: DNS server: X1.COMPANY.RU. IP:10.31.111.211 [Broken delegated domain COMPANY.RU.COMPANY.RU.] TEST: Dynamic update (Dyn) Warning: Dynamic update is enabled on the zone but not secure COMPANY.RU. TEST: Records registration (RReg) Network Adapter [00000001] VMware Accelerated AMD PCNet Adapter: Error: Missing A record at DNS server 10.31.118.207 : X1.COMPANY.RU Error: Missing CNAME record at DNS server 10.31.118.207 : 206fe6a4-6066-4a96-9b58-62d3931721f3._msdcs.COMPANY.RU Error: Missing DC SRV record at DNS server 10.31.118.207 : _ldap._tcp.dc._msdcs.COMPANY.RU Error: Missing GC SRV record at DNS server 10.31.118.207 : _ldap._tcp.gc._msdcs.COMPANY.RU Error: Missing PDC SRV record at DNS server 10.31.118.207 : _ldap._tcp.pdc._msdcs.COMPANY.RU Error: Record registrations cannot be found for all the network adapters Summary of test results for DNS servers used by the above domain controllers: DNS server: 10.31.111.211 (X1.COMPANY.RU.) 1 test failure on this DNS server Delegation is broken for the domain COMPANY.RU.COMPANY.RU. on the DNS server 10.31.111.211 DNS server: 10.31.111.212 (X2.COMPANY.RU.) 1 test failure on this DNS server Delegation is broken for the domain COMPANY.RU.COMPANY.RU. on the DNS server 10.31.111.212 DNS server: 10.31.118.207 (<name unavailable>) 1 test failure on this DNS server Name resolution is not functional. _ldap._tcp.COMPANY.RU. failed on the DNS server 10.31.118.207 Summary of DNS test results: Auth Basc Forw Del Dyn RReg Ext ________________________________________________________________ Domain: COMPANY.RU X1 PASS WARN PASS FAIL WARN FAIL n/a ......................... COMPANY.RU failed test DNS КД2 Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Default-First-Site-Name\X1 Starting test: Connectivity ......................... X1 passed test Connectivity Doing primary tests Testing server: Default-First-Site-Name\X1 DNS Tests are running and not hung. Please wait a few minutes... Running partition tests on : ForestDnsZones Running partition tests on : DomainDnsZones Running partition tests on : Schema Running partition tests on : Configuration Running partition tests on : AD Running enterprise tests on : COMPANY.RU Starting test: DNS Test results for domain controllers: DC: X1.COMPANY.RU Domain: COMPANY.RU TEST: Basic (Basc) Warning: adapter [00000001] VMware Accelerated AMD PCNet Adapter has invalid DNS server: 10.31.118.207 (<name unavailable>) TEST: Delegations (Del) Warning: DNS server: X3.COMPANY.RU. IP: <Unavailable> Failure:Missing glue A record Warning: DNS server: X3.COMPANY.RU. IP: <Unavailable> Failure:Missing glue A record Error: DNS server: X2.COMPANY.RU. IP:10.31.111.212 [Broken delegated domain COMPANY.RU.COMPANY.RU.] Error: DNS server: X1.COMPANY.RU. IP:10.31.111.211 [Broken delegated domain COMPANY.RU.COMPANY.RU.] TEST: Dynamic update (Dyn) Warning: Dynamic update is enabled on the zone but not secure COMPANY.RU. TEST: Records registration (RReg) Network Adapter [00000001] VMware Accelerated AMD PCNet Adapter: Error: Missing A record at DNS server 10.31.118.207 : X1.COMPANY.RU Error: Missing CNAME record at DNS server 10.31.118.207 : 206fe6a4-6066-4a96-9b58-62d3931721f3._msdcs.COMPANY.RU Error: Missing DC SRV record at DNS server 10.31.118.207 : _ldap._tcp.dc._msdcs.COMPANY.RU Error: Missing GC SRV record at DNS server 10.31.118.207 : _ldap._tcp.gc._msdcs.COMPANY.RU Error: Missing PDC SRV record at DNS server 10.31.118.207 : _ldap._tcp.pdc._msdcs.COMPANY.RU Error: Record registrations cannot be found for all the network adapters Summary of test results for DNS servers used by the above domain controllers: DNS server: 10.31.111.211 (X1.COMPANY.RU.) 1 test failure on this DNS server Delegation is broken for the domain COMPANY.RU.COMPANY.RU. on the DNS server 10.31.111.211 DNS server: 10.31.111.212 (X2.COMPANY.RU.) 1 test failure on this DNS server Delegation is broken for the domain COMPANY.RU.COMPANY.RU. on the DNS server 10.31.111.212 DNS server: 10.31.118.207 (<name unavailable>) 1 test failure on this DNS server Name resolution is not functional. _ldap._tcp.COMPANY.RU. failed on the DNS server 10.31.118.207 Summary of DNS test results: Auth Basc Forw Del Dyn RReg Ext ________________________________________________________________ Domain: COMPANY.RU X1 PASS WARN PASS FAIL WARN FAIL n/a ......................... COMPANY.RU failed test DNS Получается DNS как-то не очень))) |
Примерно понятно...
Ничего хорошего :) можно попробовать перерегистрировать учетные записи контроллеров nltest /dsregdns попробовать починить netdiag /fix Дальше если получится запустить репликацию repadmin /syncall посмотреть что получится repadmin /showrepl Если репликация пройдет то выполнить бэкап SystemState и восстановить его на новом контроллере. PS если что пишите в личку. Так будет быстрее. |
| Время: 18:46. |
Время: 18:46.
© OSzone.net 2001-