не пройдена проверка Advertising и Netlogon (dcdiag)
 

Доброго времени суток, есть два контроллера домена winser2012 один основной другой резервный, вот собственна беда возникает, когда выключаешь резервный, пользователи перестают лагониться. как только его включаеш, так всё нормально. Прочитал совет сделать тест dcdiag на основном контроллере домена, не пройденно только два теста, собственно: не пройдена проверка Advertising и не пройденна проверка Netlogon. Уверен, что проблемма в этом, как лечить подскажите! На всех форумах всё безрезультатно......... Да и моих проблем нет в оснавном.
Народ, ещё инфа для тех, кто отважится мне помочь, проделал тест: dcdiag /test:registerindns /dnsdomain, в общем проверка пройдена.

djuwa4,
Для начала покажите вывод команды ipconfig /all с обоих КД.

О спасибо за отклик! К сожалению сделал только сканы (проблема со шрифтами, если в файл выводить), dcn - это основной контроллер, share - собственно вторичный, резервный. Сам попытался проанализировать и результаты, менял dns у основного контроллера домена на самого себя а не 1.15, увы не дало результатов. Вопрос ещё такой, проблемма с тестом Advertising - я так понимаю, на dns мой основной контроллер домена не опубликован? Именно поэтому все юзеры лагонятся на резервный? CMD запускаю от имени администратора. Если так, то может мне прописать DC основной в ручную. Проверю ещё записи в DNS.

djuwa4,
192.168.1.15 - это что за DNS сервер?
Клиенты как получают ip адреса? Вывод ipconfig /all с клиента покажите. На обоих КД поднят DNS сервер или нет?
Да и вывод dcdiag с обоих КД покажите.

Так, судя по всему, я сглупил не сказав про второй резервный DC вот он то как раз и есть "1.15" его сетевое имя: hvmanager прикладываю скрин его IPconfig /all. Так же делал на нём тест dcdiag, результат теста Advertising аналогичен результату на DCN.
Динамический DHCP для пользовательских машинок, скрин user - ipconfig с моей машинки.

Как все интересно, зачем на данном КД два сетевых интерфейса смотрящих в одну подсеть?
Получается общее количество КД в сети 3 правильно?

Да, в планах убрать share, в том и проблема, если его убрать начнуться проблемы. Вот какая ошибка выходит когда share пытаешься понизить рангом с контроллера домена до рядового члена домена: Не удалось связаться ни с каким другим контроллером домена, при этом другие объекты контроллеры домена присутствуют в каталоге. Если вы уверены, что этот контроллер домена является единственным для этого домена, и хотите продолжить, подтвердите, что это единственный контроллер в домене.
Я спросил у коллеги всю предысторию связанную с установкой контроллеров: изначально было два физических домена dc и Share, потом накатили ещё один 192.168.1.15 на виртуалку. dc умер и на его место накотили dcn (на это же железо), сейчас роли fsmo тоже на нём (делал тести) (перенасили ли их с share он не помнит). "1.15" - виртуальный, на физической машине с гипервизаром две сетивухи настроенны как "один логический сетевой адаптер"- но это не я делал. Прикрепил скрин с записями srv в dns но там сё нормально.
dcdiag /test:dns не нужно?

Проблема где то в DNS либо в настройках сетевых адаптеров.
То что показано на скрине никак не попадает под то описание что Вы приводите, у Вас виртуальному КД выдано два сетевых адаптера, а не один логический, причем обоим адаптерам присвоены ip адреса из одной подсети - что делать точно нельзя. У Вас в DNS скорее всего куча ненужных записей либо наоборот каких то не хватает.
Если это все записи в этом разделе, то как раз это не нормально, так как не хватает одной записи.
У Вас физически сеть состоит из одного сегмента или разделена на несколько?
Нужен вывод команд с КД SHARE:
dcdiag
nslookup aus.local
repadmin /showrepl

Собственно скрины назвал по утилитам.

Я обязательно уточну, поскольку коллега на смену которого я прихожу мог такое замутить, не нужное и опасное (впрочем, сам пока не далеко ушёл).
Вы имеете в виду kerberos на "1.15"?


Камрад нашёл полезную статью: Проблемы Active Directory: недоступен домен или сервер.
"При получении любого их этих сообщений об ошибке, стоит прыгать от радости, так как сообщение об ошибке указывает непосредственно на единственную причину проблемы. Причиной проблемы является служба DNS."
"Помните, что проблема в работе DNS может быть связана с неточной записью на сервере DNS, неправильной записью в локальном файле Hosts на клиентском компьютере или негативной записью в кэше преобразования имен на локальном компьютере." - тут вроде нет проблем (ну на мой несовершенный взгляд)
"Исправление этой проблемы стоит начать с запуска команды netdiag /debug на проблемном сервере. Эта команда проверяет регистрацию служб Active Directory на сервере DNS. Стоит проверить способность сервера DNS выполнять динамические обновления и безопасные динамические обновления." - тут я бессилен со своим 2012))) ибо не поддерживается.
"Если проблема заключается в динамическом обновлении, можно запустить команду nltest /dsregdns для обновления регистрационной информации контроллера домена на сервере DNS." -вот тут начинается самое интересное, запускаю на всех серверах КД и как раз ошибка выходит на share (результаты выложу в скринах) и 1.15!!!

Когда это служба DNS на 2012 сервере перестала поддерживать динамические обновления?? С чего Вы это взяли?
Да.
Судя по выводу nslookup у Вас есть еще две записи NS с ip адресами 192.168.182.1 и 192.168.163.1 кому принадлежат данные адреса?
А вот вывод dcdiag говорит что у Вас в сети отсутствует роль PDC - это проблема и ее надо решить в первую очередь. Покажите вывод команды netdom query fsmo с КД SHARE и любого другого КД.
Советую Вам удалить одну сетевую из ВМ оставив только ту на которой ip адрес 192.168.1.15.

Я не туда ссылку дал, я и имел в виду утилиту netdiag
Спасибо большое за помощь!!!!!!!!!!
Узнаю, надеюсь коллега придёт через 40 минут.
Прикладыва скрины, странно но pdc выполняет dcn

Вывод команд nslookup dcn.aus.local и dnscmd /enumzones с КД SHARE покажите.

Делаю!

Судя по своим скринам я делаю вывод, что у меня как минимум два сервера выполняющие эти роли, а должен быть один?
И ещё вопрос, нужно ли выставлять приоритет srv записей, в случае, если несколько КД, причём именно у серверов под управлением 2008 и выше?
Коллега говорит, что остались от старого контроллера домена, я их просто удалю. Нашёл их в разделах ForestDnsZones - записи типа А и DomainDnsZone, я просто удалю их, как ns записи там dc - без адресации в ip адрес, тоже зачищу - наведу порядок, так сказать.

Роли fsmo были на том контроллере который умер или нет? После того как умер DC была ли выполнена процедура чистки метабазы AD?

да роль fsmo была на нём! Потом коллега принудительно их перенёс, куда не помнит, на вопрос была ли чистка метаданных - ответ а что это? Значит делаю вывод, что нет, точнее, уверен в этом!

Тогда Вам сюда How to Remove a Failed or Offline DC
На 10 шаге у Вас должен быть показан КД который умер.

ОК, спасибо большое!!!!! Сейчас говорит, что чистил хвосты от старого домена, но лучше мне самому всё проверить!
http://winitpro.ru/index.php/2011/04...lity-ntdsutil/ - ещё на русском нашёл.

Делаю, но ступорюсь на выборе сайта (select site <#>), выдаёт, что нет текущего домена, нет текущего сервера, нет текущего контекста именования. Есть серьёзные намеренья завершить чистку, коллега делал иаче и мог оставить методанные.

Так дальше наберите команды там будет и выбор домена и сервера и контекста именования.

Да да, всё правильно, я продолжил! Не нашёл dc, коллега чистил вручную, пологаю подчистил, прикладываю скрин.

Вы наверняка знаете как приоритет у srv записей выставлять? Если да, то собственно вопрос: я присылал вам скриншот с dns где были srv записи, вы там ещё заметили отсутствие одной записи, хватит ли мне выставить приоритет у этих двух srv записей? то бишь у ldap и kerberos. Я просто на обоих записях выспавил dcn приоритет 50, у остальных серверов он остался 0.
Надеюсь таким тапорным методом хоть чуть чуть выличить ситуацию с логоном, всё усложняется ещёи тем, что почта фирмы на Exchange и соответственно при проблеммах с SHARE отваливаются и оутлуки от сервера. Если это поможет, думаю тот сервак share вырвать "кощунственным" образом и затем подчистить метаданные способом который вы выслали.

Нет не хватит. Вам нужно выполнить следующие действия:
1. Почистить DNS от не нужных и устаревших записей
2. На виртуальном КД оставить только один сетевой интерфейс с правильным ip адресом
3. На всех КД прописать в качестве записей DNS, записи так чтобы первая запись указывала на ip адрес другого КД, альтернативный DNS ip адрес самого КД
4. Перезагрузить последовательно все КД
5. Проверить нет ли расхождения во времени на КД (посмотрите служба времени на КД SHARE вообще работает)
6. Выполнить на всех КД команду dcdiag и вывод показать
Я бы не советовал Вам так делать.

Да понимаю, идея так себе! Выяснил про второй сетевой интерфейс на 1.15 он не нужен, удалю. Буду выполнять по порядку все пункты.

Эти два пункта сделал, nslookup aus.local теперь не показывает лишних адресов.
Я не совсем понял как это сделать, увы... Я отправил скрин с простым списком dns записей в домене aus.local ns, с именем (как папка верхнего уровня) - типа А и список записей (хостов) типа а - пробовал там менять местами пересоздавая, после обновления у них приоритет остаётся!.
Или нужно у них в настройках сетевого адаптера прописать?

В настройках сетевого адаптера прописать.

Расхождения во времени кретического нет (5 мин), dcn спешит на 20-30 сек.
Контроллеры увы перезагружу только в субботу (только так разрешили).
Ну да, это я глупо придумал, они же всё равно синхронятся.

По поводу чистки лишних DNS у меня есть ряд одинаховых _kerberos и _ldap записей относящихся к dcn, думаю дубликаты можно смело удалять?
Скинул скрин с выводом команды w32tm /monitor, отстование от dcn у других серверов 41 секунда, это критично? В любом случае исправлю это.

Поправил время, у всех КД, были разные источники NTP. Теперь расхождение в миллисекунды.

Доброго вам времени суток, не отписался вчера, просто после моих последовательных загрузок dcn - решил как следует насолить и выказывает капризы BAD_SYSTEM_CONFIG_INFO, поэтому занимался этим - но это тема для другой беседы. К слову почта перестала нормально функционировать без dcn, когда его убрали из настроек сетевых карт на двух других КД, даже как вторичный, всё заработало.
Вот, что касается проблемы этой темы, пока не могу проверить, вот dcn восстановлю и посмотрю.

Контроллер dcn приказал долго жить, придётся оставить share и решили запелить ещё один КД, как мне действовать? Мой план такой: перенести роли FSMO на share, удалить dcn из dns полностью и ad по ссылке, что вы мне давали, потом поставить ещё один КД.

Перед вводом нового КД в домен проверьте что у Вас всех КД без ошибок выполняется dcdiag и работает репликация между ними. Когда никаких ошибок не будет можно будет вводить новый КД.

ОК! Спасибо.

Вот с репликацией как раз беда, пока сам буду разбираться, если всё будет безрезультатно, то попрошу вашей помощи советами, если вы не против.

Уже хорошо, сам не знаю что особого сдела, вроде всё что было оговоренно в рамках темы (просто ранее не помогало), но факт есть факт share проходит тес dcdiag сразу и без косяков - вообще, c 1.15 буду ещё разбираться.
Наконец нашёл описание тестов которые проводит dcdiag (http://windata.ru/windows-world/loka...tilita-dcdiag/) , ещё на https://technet.microsoft.com/ru-ru/...(v=ws.10).aspx
Те раны которые буду залечивать на 1.15

Advertising - Проверяет, правильно ли контроллер домена сообщает о себе и о своей роли хозяина операций. Этот тест завершиться неудачно, если служба NetLogon не запущена.

NetLogons - Проверяет правильность разрешений регистрации, позволяющих регистрацию, для каждого контроллера домена.

Services - Проверяет работоспособность всех служб, необходимых для работы контроллера домена, на указанном контроллере домена.

NetLogons - Проверяет на существование необходимых для продолжения репликации привилегий входа. (technet.microsoft.com) - эта формулировка пожалуй точней.

Резон изначально лечить NetLogons - на мой взгляд это первоисточник проблем!

Залечил пока только ошибку с служба Kerberos была погашена и вообще не поднималась автоматически, она была вообще отключена. Тест Replications тоже не проходил, а сейчас нормуль.
Я так понимаю является причитой по которой в DNS нет ыкм записей? Ручками я их конечно могу прописать, но вот проблемы на сервере это увы не решит.

Да может являться причиной.
Выполните на данном КД команду ipconfig /registerdns и перезапустите службу netlogon. Затем проверьте записи DNS.

Я очень извиняюсь, что не пиал, небыло помощьника и весь поток с пользователями упал на меня. И так, я ранее прописал все записи ручками, снёс запись _kerberos 1.15, затем достаточно прописать ipconfig /registerdns на 1.15 и на share через какое-то время запись появляется появляется - с этим всё хорошо!!! Но в dcdiag ошибки остались с netlogon. Как мне рекомендовали, искать ошибки на эту тему в логах и усиленно гуглить - так и поступлю.

Я сейчас посмотрел, записи впринципе автоматически появляются и без моих действий, но по времени это дольше гораздо (интервал после удаления записи до её побликации системой).

Последний раз задержка была очень большой, даже после ipconfig / register помогла перезагрузка netlogon.

Делаю: repadmin /showvector /latency CN=Configuration,DC=domain,DC=local Вывод: failed with status 8453. Replication access was denied (Сбой статус 8453. доступа репликации было отказано) - это на всех серверах. (по этой проблеме есть ссылка "тем кто сталкнётся) https://technet.microsoft.com/en-us/...(v=ws.10).aspx)