Отказоустойчевость домена
 

Доброго времени суток форумчане. Имею на вооружении windows server 2012r2 в качестве контроллера домена. Вчера настроил резервный, соответственно тоже 2012r2 - уровень леса 2012, оба так же являются dns серверами. Настраивал просто - добавил контроллер в корневой домен существующего леса, то есть у меня один лес, один домен, один "дэфолтный" сайт и теперь два контроллера. Подсетка у основного 1 у резервного 0, сеть территориально не разделена, физически серверы в одной локальной сети. Команда dsquery server –isgc показывает, что они оба серверы глобального каталога, хозяин ролей только "основной контроллер домена" (показала утилита netdom query fsmo) SRV записи резервного контроллера в dns благополучно автоматом прописались, проверил ветку _msdcs.aus.com. Если что ещё нужно уточнить говорите!

Вчера вечером тестировал, не отработало, выключаю "основной" dc, всё, почта outlook + Exchange отваливается! Не лагонится, как только включаю "основной" контроллер так всё лагон возобнавляется. Немного про dns, в dhcp резервный dc стоит и как резервный dns, и имена разрешаются (даже когда основной лежит), беда в логоне! То есть беда в ad, далее, что ещё заметил в результате теста, когда открыл на резервном контроллере оснастку "ad пользователи и компьютеры" мне выдало ошибку, что домен не доступен извините, и каталога нет, как только основной контроллер заработал, то резервный сразу подхватил каталог (грубо говоря он его локально не хранит - как я понимаю).
Подскажите плиз, что я ещё не доделал? Может роли fsmo ещё копировать? Они могут быть на двух серверах одновременно?

Ошибка какая при логине, когда первый DC выключаешь? Если оба DC включены, оснастка ко второму контролеру подключается без ошибок? DCdiag что показывает?

djuwa4,
Покажите для начала вывод ipconfig /all с обоих КД.

Да совершенно без ошибок!
Ну вот, из журнала событий выковырял: Компьютер не может установить безопасный сеанс связи с контроллером домена AUS по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Если вы не против, приложу скрины! Очень извиняюсь, просто вывод в файл получается с кракозябрами.
Запускаю соответственно dcdiag от имени администратора, на основном (его имя share) все тесты пройденны, но есть замечание (За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированны предупреждения или сообщения об ошибках. Сбой при репликации SYSVOL могут стать причиной проблем групповой политики), на резервном (Его имя Serviceserv) ТРИ теста не пройденны:
Advertising (Внимание: DsGetDCName вернул сведения для \\share.domen.com при попытке получения доступа к SERVICESERV. Сервер не отвечает или не считается приемлемым).
DFSREvent (За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированны...
NetLogons (Не удаётся подключится к общему ресурсу NETLOGON. (\\SERVICESERV\netlogon)
[SERVICESERV] Сбой операции net use или LSAPOLICY с ошибкой 67, Не найденно сетевое имя.

Скрины в любом случае прикладываю!! Получилос по два скрина на сервер. Пока просто не получилось.

увидела маску, вопрос снят.

e24068c0df7c.png - Это ip конфиг с основного контроллера Share
e5b3568b8439.png и 51f1149225b8.png раскидал по двум файлам ip конфиги с резервного.

так как второй КД у вас multihomed, подозреваю кашу в DNS.
уберите с VMware адаптеров галки "регистровать в DNS", в свойствах DNS сервера на этом КД снимите галочки с обслуживания на адаптерах vmware.
после чего сделайте
ipconfig /registerdns

после чего убедитесь, что в DNS у вас фигурирет только правильный IP адрес этого контроллера домена.

в CMD работает буфер и ПКМ.

Спасибо за советы! Так и сделал, причём и в свойствах ip4 и ip6. Я посмотрел что ни где в dns они не зареганы, у них аж 106 и 143 подсеть, зоны обратного просмотра с 0 по 4, serviceserv - как папка верхнего уровня на 0.236 как ему и положенно. Убрал прослушку в dns с ip адресов v4 и v6 VM-варных. Проверил ещё раз dns, у резервного DC нужный ip адрес.
Опять проверил dcdiag резервный контроллер домена, те же ошибки, проверил как резрешается сам резервный сервер, например мой комп смотрит на dns сервер (которым как раз является резервный сервак) и всё норм имя приобразуется в адрес, другие dns серверы его также преобразуют.

Посмотрел удостоверится есть ли вообще сам файл ntds.dit на резервном контроллере, всё есть всё, сам каталог локально есть.

Почитаю пока, аналогичная тема http://forum.oszone.net/post-2392701.html камрад принимал участие.
Автор статьи пишет, что выполнил следующее "wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="338B7795-1374-11E4-93F8-806E6F6E6963" call ResumeReplication".
В моём случае попробую wmic /namespace:\\root\microsoftdfs path dfsrVolumeConfig where volumeGuid="5ED2AEBA-788A-410E-A73C-5CD6126F41D3"

Кстати, когда открываю оснастку пользователи и компьютеры на резервном, вот такая ошибка http://forum.oszone.net/attachment.p...3&d=1408683207

Народ, как нормально выводить ответ полученный от команд в cmd, в том числе в файл? Просто у меня английский нормально, а вот русский кракозябрами, как исправить?

Используйте powershell вместо cmd.
djuwa4,
Вывод команды nslookup aus.local с обоих КД покажите и вывод этой же команды когда первый КД выключен.

Share соответственно аля "основной" - он же рабочий. Скрин с резервного при отключенном основном только вечером.

Там dns server 192.168.1.15 тоже был dc и dns но я его понижал, службу dns - тоже удалил, затем просто удалил зпись компа в dc (вроде с 2008 сервера - этого достаточно, то есть не нужно с помощью NTDSUTIL шаманить) все записи в dns почистил в ручную после него и ns и srv, перед nslookup локально на серваках чистил кэш dns.
Удали покуда он тоже был кривой и не отрабатывал, да ещё и на виртуалке. Чтоб не путаться при настройке и диагностике нового резервного контроллера, предварительно снёс тот.

Ух ты, я смотрю dcdiag работает в powershell .

Так все таки не понятно сервер с ip адресом 192.168.1.15 это живой КД или это просто запись в DNS? Сколько на данный момент у Вас рабочих КД?
Судя по выводу на данном КД нет обратной зоны.

Цитата:

Цитата djuwa4 Ух ты, я смотрю dcdiag работает в powershell . »

В PowerShell-е работают все внешние команды так же как и в консоле cmd.

Мёртвый! Но вот где я ещё запись мог не подчистить, не знаю, вроде всё зачистил.
Да только сейчас заметил UnKnown, а что значит нет? Я не совсем понял? Как это исправить? Нет обратной зоны именно на share?

Вы его как из домена выводили через понижение роли или он просто сломался и пришлось чистить AD руками???
Смотрите NS записи на DNS сервере.
У Вас либо нет записей в обратной DNS зоне для данного КД либо проблема с репликацией. Можете руками добавить запись для данного КД в обратную зону.
Покажите вывод команды repadmin /showrepl с обоих КД.

Он тоже 2012, через понижение, но после перезагрузки вышло сообщение, что из ад придётся чистить ручками. Посмотрел свежие статьи по очистке метаданных ad от мёртвого контроллера домена, с версии 2008, достаточно просто удалить учётную запись контроллера из ad, так и сделал.

repadmin /showrepl
Основной:
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом

Default-First-Site-Name\SHARE

Параметры DSA: IS_GC

Параметры сайта: (none)

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

DSA - код вызова: 1ef5df98-c94e-4121-a334-f89b6b56a1fe



==== ВХОДЯЩИЕ СОСЕДИ ======================================



DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.



CN=Configuration,DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.



CN=Schema,CN=Configuration,DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.



DC=DomainDnsZones,DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.



DC=ForestDnsZones,DC=aus,DC=local

Default-First-Site-Name\SERVICESERV через RPC

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

Последняя попытка @ 2015-05-27 12:50:23 успешна.

Резервный:
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом

Default-First-Site-Name\SERVICESERV

Параметры DSA: IS_GC

Параметры сайта: (none)

DSA - GUID объекта: 5c4d8d3d-c24b-4c8e-b538-4d0feb641975

DSA - код вызова: 1e145136-798f-470d-8c54-f0c68291ac19



==== ВХОДЯЩИЕ СОСЕДИ ======================================



DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:57:27 успешна.



CN=Configuration,DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:53:48 успешна.



CN=Schema,CN=Configuration,DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:53:48 успешна.



DC=ForestDnsZones,DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:53:48 успешна.



DC=DomainDnsZones,DC=aus,DC=local

Default-First-Site-Name\SHARE через RPC

DSA - GUID объекта: 2fea2d78-71e5-4e5a-8529-43c784f3eb52

Последняя попытка @ 2015-05-27 13:53:48 успешна.

Видно этого не достаточно так как у Вас в DNS остались NS записи данного сервера. Покажите еще вывод команды netdom query fsmo с КД.

Ребят, я самое главное упустил! Рассинхрон времени в час, на контроллерах. Сейчас это исправлю.

Время сделал нормальным проблемма осталась.
Я так понял с любого компа в домене??? Хозяин fsmo только share условный "основной".

Вывод ошибок с dcdiag /v /a:


Сервер проверки: Default-First-Site-Name\SERVICESERV

Запуск проверки: Advertising

Внимание: DsGetDcName вернул сведения для \\SHARE.aus.local при

попытке получения доступа к SERVICESERV.

СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.

......................... SERVICESERV - не пройдена проверка

Advertising

Проверка пропущена по запросу пользователя: CheckSecurityError

Проверка пропущена по запросу пользователя: CutoffServers

Запуск проверки: FrsEvent

* Проверка журнала событий службы репликации файлов
Пропустить тест, так как на сервере выполняется репликация DFSR.

......................... SERVICESERV - пройдена проверка FrsEvent

Запуск проверки: DFSREvent

The DFS Replication Event Log.
За последние 24 часа после предоставления SYSVOL в общий доступ

зафиксированы предупреждения или сообщения об ошибках. Сбои при

репликации SYSVOL могут стать причиной проблем групповой политики.
Возникло предупреждение. Код события (EventID): 0x80001396

Время создания: 05/28/2015 09:21:51

Строка события:

Служба репликации DFS останавливает подключение к партнеру SHARE группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться повторить подключение.

Дополнительные сведения:

Ошибка: 1726 (Сбой при удаленном вызове процедуры.)

Идентификатор подключения: C43E6CEE-81F6-467A-9D52-3B94B5C42FC8

Идентификатор группы репликации: 1EEF2372-F50E-4D58-9F49-7460C6C693A9

Возникла ошибка. Код события (EventID): 0xC0001390

Время создания: 05/28/2015 09:22:05

Строка события:

Службе репликации DFS не удалось установить подключение к партнеру SHARE по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.



DNS-адрес партнера: SHARE.aus.local

Дополнительные сведения:

Ошибка: 1722 (Сервер RPC недоступен.)

Идентификатор подключения: C43E6CEE-81F6-467A-9D52-3B94B5C42FC8

Идентификатор группы репликации: 1EEF2372-F50E-4D58-9F49-7460C6C693A9

Возникла ошибка. Код события (EventID): 0xC0001204

Время создания: 05/28/2015 09:45:21

Строка события:

Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером SHARE.aus.local. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена.



Дополнительные сведения:

Имя реплицированной папки: SYSVOL Share

Идентификатор реплицированной папки: 122077AA-D80E-4D11-A202-E74644DC2B22

Имя группы репликации: Domain System Volume

Идентификатор группы репликации: C43E6CEE-81F6-467A-9D52-3B94B5C42FC8

Код участника: 7BE97FBF-E374-4EAC-B7E9-E225642B4056

Только для чтения: 0

Возникла ошибка. Код события (EventID): 0xC0001390

Время создания: 05/28/2015 10:19:09

Строка события:

Службе репликации DFS не удалось установить подключение к партнеру SHARE по группе репликации Domain System Volume. Причиной этой ошибки может быть недоступный узел или незапущенная служба репликации DFS на сервере.

DNS-адрес партнера: SHARE.aus.local



Доступные дополнительные сведения:

WINS-адрес партнера: SHARE

IP-адрес партнера:



Служба периодически будет пытаться установить подключение.



Дополнительные сведения:

Ошибка: 1722 (Сервер RPC недоступен.)

Идентификатор подключения: 7B77DF7E-9FB3-4A56-9E3A-BCA077692688

Идентификатор группы репликации: 1EEF2372-F50E-4D58-9F49-7460C6C693A9

Возникла ошибка. Код события (EventID): 0xC0001204

Время создания: 05/28/2015 10:19:09

Строка события:

Служба репликации DFS инициализировала SYSVOL по локальному пути C:\Windows\SYSVOL\domain и готова к начальной репликации. Реплицированная папка останется в состоянии начальной синхронизации до выполнения репликации со своим партнером SHARE.aus.local. Если в это время выполнялось назначение сервера контроллером домена, контроллер домена не будет делать объявления и функционировать как контроллер домена, пока данная проблема не будет решена. Это могло произойти, если указанный партнер также находится в состоянии начальной синхронизации или обнаружены нарушения общего доступа на этом сервере или партнере синхронизации. Если данное событие произошло в результате миграции SYSVOL от службы репликации файлов (FRS) к репликации DFS, изменения не будут реплицироваться до тех пор, пока эта проблема не будет решена. В результате этого папка SYSVOL на данном сервере может стать не синхронизированной с другими контроллерами домена.



Дополнительные сведения:

Имя реплицированной папки: SYSVOL Share

Идентификатор реплицированной папки: 122077AA-D80E-4D11-A202-E74644DC2B22

Имя группы репликации: Domain System Volume

Идентификатор группы репликации: 7B77DF7E-9FB3-4A56-9E3A-BCA077692688

Код участника: 7BE97FBF-E374-4EAC-B7E9-E225642B4056

Только для чтения: 0

......................... SERVICESERV - не пройдена проверка DFSREvent


Запуск проверки: NetLogons

* Network Logons Privileges Check
Не удается подключиться к общему ресурсу NETLOGON.

(\\SERVICESERV\netlogon)

[SERVICESERV] Сбой операции net use или LsaPolicy с ошибкой 67,

Не найдено сетевое имя..

......................... SERVICESERV - не пройдена проверка NetLogons

Я так понимаю трабл связан с RPC?

Вывод команды nslookup share.aus.local с обоих КД покажите. Вы лишние записи NS связанные с адресом 192.168.1.15 решили?

Увы нет, точнее все записи связанные с 1.15 убил - везде где мог, на всех доменах, там все ветки проверил, на всех зонах обратного просмотра, в свойствах in-addr.arpa (тоже везде) зачистил, однако, упорно командная строка выдаёт три адреса dns серверов. Кстати в in-addr.arpa не было ip - адреса у резервного КД (либо были лишние записи), выставлял ручками всё как надо. Снёс ещё и NS запись какого-то старющего КД, из-за него dcdiag /test:DNS завершался с ошибкой, теперь нормально.

На скринах.

Сейчас буду порты тестить (с которыми работает RPC) с помощью команды Portqry

После того как удалили все записи о старом КД на сервере где выполняли проверку выполнили сброс DNS кэша (ipconfig /flushdns) или нет? Так же желательно перезапустить службу DNS Client.

Народ привиду ответы команды.
Насколько я понял, из статейки (Номер порта RPC для репликации внутри сайта AD http://windata.ru/windows-xp/faq-xp/...utri-sajta-ad/ ) для репликации RPC юзает порт 135, причём, из (Порты необходимые для репликации Active Directory через Firewall http://www.blogss.ru/ports-required-...r-firewall-tmg ) юзаются как протоколы как tcp так и udp.

По протоколу udp у меня 135 пор не прослушивается.

Я это делал на компах с которых отправлял запрос nslookup aus.local
Вот сейчас снова попробовал, перезапустил службу, почистил кэш (всё на компьютере с которого буду делать запрос) и всё равно, тот же результат.
Затем прибег к статье https://technet.microsoft.com/ru-ru/...(v=ws.10).aspx :
(С помощью интерфейса Windows
Откройте оснастку DNS.
В дереве консоли щелкните применимый DNS-сервер.
Где?
DNS/соответствующий DNS-сервер
В меню Действие выберите команду "Очистить кэш".)
Также выбрал "обновить файлы на сервере"

Проделал выше описанные действия на всех dns серверах, потом локально опять перезапускал службу и чистил кэш. - результата нуль (1.15 всё равно здравствует в ответе nslookup aus.local).
Скорей всего нужно dns сервер службу ещё перезапустить, но это вечером.

Всё теперь открыл порт 135 для udp и сразу тест DFSREvent стал проходится, связываю с этим:
Цытата "Для RPC for DFS Replication (SYSVOL ) Контроллеры домена устанавливают соединение по 135/tcp порту (RPC endpoint mapper)"

Всё решил! Заметил, практически случайно, запись "папка верхнего" с адресом ...1.15 ! Увы не догадался обратить внимание на такой тип записи. Её удаление помогло с ошибкой определением лишнего dns сервера.
Netlogons конечно не проходит..

Ребят, вопрос, папки NETLOGON SYSVOL создаются сразу по установке на сервере роли и службы ad ds - тобишь в момент его обращения в контроллеры домена, я так полагаю мне сюда https://support.microsoft.com/ru-ru/kb/315457

djuwa4,
Перезагрузите последовательно оба КД. Выполните на обоих КД dcdiag и вывод покажите.

Перезаливаю, перезагрузил все поэтапно:

Я вот что подумал, когда создавал на резервном контроллере домена ставил роль сервера dns там вышло предупреждение, что делегирование dns этому серверу не будет назначено, мол если есть необходимость создайте вручную. Я это не стал делать, поскольку понял из контекста, что с моей структорой это лишнее, а вот при наличии нескольких сайтов или лесов это нужно.
Вот я и думаю, может быть в этом причина?

djuwa4,
С сервера SERVICESERV покажите вывод команд net share, dnscmd /info и dnscmd /enumzones.
И еще нужен вывод команд nslookup SERVICESERV и nslookup SERVICESERV.aus.local с обоих КД.

Выкладываю:
Команда nslookup тут с сервера serviceserv

djuwa4,
Судя по выводу net share сервер не функционирует как полноценный КД, а это скорее всего связано с тем что в DNS-е опять зарегистрирована куча адресов для данного сервера. Вроде в начале Вам сказали что надо либо отключить не используемые сетевые адаптеры либо отключить регистрацию в DNS на этих сетевых картах. Пока DNS не будет работать как положено выдавая только один адрес, так и будут всплывать ошибки с доступом и с работой КД. Так что правьте DNS и настройки сетевых карт.

nslookup c Share!

ОК сапасибо!
Вполне!! В Свойствах _msdcs - по данному имени была куча левых адресов, видимо сохранились с прежних времён.

После удаления всех лишних записий, я так понимаю лучше снова перезагрузить планомерно все КД?

cameron, Спасибо большое вам за советы! Буду чистить dns.

Единственное, странность в том, что на резервном dns сервере вернулись галочки прослушки лишних адаптеров от "vmware" хотя, я их снимал.

Камрады!!! Ещё раз спасибо всем за участие! Сейчас уже лучше, правда ручками пришлось создавать на резервном папки SYSVOL и NETLOGON, зато теперь проходит проверку netlogons, буду тестировать отказоустойчивость сегодня.

Причем прослушка адресов если надо просто на тех адаптерах которые не принадлежат основной локальной сети в свойствах протокола TCP/IPv4 в дополнительных настройках на вкладке DNS снять галку Register this connection's addresses in DNS и применить изменения.

Да конечно, это снял в первую очередь! Только они всё равно будут регатся, пока в свойствах самого dns сервера не убрать прослушку, в этом я вчера убедился и у меня не одного такой трабл был.
Рано радуюсь))) Шара слетает с этих папок, соответственно, проверка netlogons снова не проходит - ошибка dcdiag чётко описывается (не найден сетевой путь \\SERVICESERV\NETLOGON) - соответственно юзеры не смогут конектится.

Шары слетают после перезапуска службы netlogon.

Была уже темка по поводу шары, почитаю - http://forum.oszone.net/post-919267.html Ремарка, вдруг, кто тоже будет с этой проблеммой сталкиваться: трабл с шарингом на серверах 2003 и 2012 лечатся каординально разным образом, ибо сменились службы FRS на DFSR-replicated. Поэтому статья которую я привёл бесполезна.

Камрады залечил кажется!!!!!! Когда совсем отчаялся, случайно нашёл http://stiltech.ru/index.php/knowbas...dvertisingfall

Выложу сюда:

Сервер на Windows Server 2008R2 standard. Вписан в домен и на сервере развернуты роли AD и DNS. Сервер является не первым контроллером в домене. Другие контроллеры исправно работают. После установки роли AD и перезагрузки сервера, сервер не считает себя контроллером домена и выдает ошибку при запуске dcdiag:
Сервер проверки: Default-First-Site-Name\DC02-SERVER
Запуск проверки: Advertising
Внимание: DsGetDcName вернул сведения для \\TS-server.mydomain.local
при попытке получения доступа к DC02-SERVER.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
......................... DC02-SERVER - не пройдена проверка
При этом на сервере не созданы папки sysvol после первой репликации
DNS настроены верно и работают, репликация запущенная в ручную через repadmin /syncall работает
Для исправления нужно изменить параметр реестра. Открываем rededit и идем в ветку:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Изменяем значение параметра SysvolReady на "1"
Перезагружаемся
После перезагрузки должны появиться расшаренные папки netlog и sysvol, и dcdiag должен выполняться без ошибок

Всё проблемма решена, всем спасибо!

Ответ на решение проблеммы:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Изменяем значение параметра SysvolReady на "1"
Перезагружаемся
После перезагрузки должны появиться расшаренные папки netlog и sysvol, и dcdiag должен выполняться без ошибок