Автор Тема: DNS-сервер ожидает от доменных служб Active Directory (AD DS)  (Прочитано 2321 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Онлайн Вьшекн

  • Старожил
  • ****
  • Сообщений: 583
  • Рейтинг: 10
  • Пол: Мужской
  • Подпись под аватаром
    • Просмотр профиля
  • Откуда: замкадбург
А-а. Так то да. А у него ошибки вроде ж на новом контроллере?
там не с кем синхронизацию делать. ну и где-то имя старого болтается.

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 80
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
в dcpromo добавляю сервер в существующий лес . после выбора доменя пишит

"Невозможно установить контроллер домена только для чтения в этом домене, поскольку команда adprep /rodcprep еще не была выполнена."

я с таким не сталкивался просто еще, и мне не надо добавлять его для чтения , правильно я понимаю что надо нажать "ДА" и все ?


Updated: 24 November 2017, 13:00:03




Updated: 24 November 2017, 13:02:58

Вьшекн, я догадываюсь что оно где то осталось, но не знаю где, и как его вычистить оттуда , в этом вся беда
« Последнее редактирование: 24 Ноября 2017, 13:02:58 от Demon »

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8086
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Demon, а вы хотите именно "контроллер домена только для чтения" установить? Обычный вас не устраивает?

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 80
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
устраивает, просто впервые такое вижу , "как бы странно это не было" мне как раз и нужен обычный, , т.е. мне просто жать да ? или я путаю что то


Updated: 24 November 2017, 13:13:15

или я жестко туплю и всегда делал не правильно, просто лес был подготовлен,  :o

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8086
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
т.е. мне просто жать да

Demon, а вы читать не пробовали то, что написано в окнах мастера и не ставить галки куда попало, не прочитав, что они означают?

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 80
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
ila_rendered


Updated: 24 November 2017, 13:27:00

не пойму что я должен был прочитать ,и где я не так что поставил то ?
« Последнее редактирование: 24 Ноября 2017, 13:27:00 от Demon »

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8086
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Да, все правильно. Тогда непонятно, почему у вас вознивает ошибка "Невозможно установить контроллер домена только для чтения в этом домене, поскольку команда adprep /rodcprep еще не была выполнена.". Это может предупреждение просто, а не ошибка? Ну да, RODC не сможете установить, если не сделаете предварительно adprep /rodcprep. Но если он вам не нужен, тогда это делать необязательно. Хотя желательно (можно потом), чтобы избежать лишних ошибок в логах.

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 80
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
Да, все правильно. Тогда непонятно, почему у вас вознивает ошибка "Невозможно установить контроллер домена только для чтения в этом домене, поскольку команда adprep /rodcprep еще не была выполнена.". Это может предупреждение просто, а не ошибка? Ну да, RODC не сможете установить, если не сделаете предварительно adprep /rodcprep. Но если он вам не нужен, тогда это делать необязательно. Хотя желательно (можно потом), чтобы избежать лишних ошибок в логах.


что то я не понял по поводу (adprep /rodcprep) т.е. его желательно сделать сейчас на основном КД правильно ?


Updated: 24 November 2017, 14:38:41

что то пошло не так в AD он есть но вот такая ошибка . это тот кд который только что поднял

Спойлер для скрыто:
Имя журнала:   Directory Service
Источник:      Microsoft-Windows-ActiveDirectory_DomainService
Дата:          23.11.2017 15:20:31
Код события:   2087
Категория задачи:DS RPC-клиент
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  АНОНИМНЫЙ ВХОД
Компьютер:     ts1.sap.ru
Описание:
Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного  контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений
в доменные службы Active Directory с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике,
пользователях и компьютерах и их паролях будет не согласована между контроллерами  домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.
 
Исходный контроллер домена:
 Skynet
Ошибочное имя узла DNS:
 40c9bdff-9748-47dd-b0af-60d98d90c538._msdcs.sap.ru
 
Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше.  Чтобы записывать в журнал отдельные ошибки,
установите следующее диагностическое значение реестра равным 1:
 
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
 
Действие пользователя:
 
 1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID
объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
 
 2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в  сети, введя команду "net view \\<имя исходного DC>" или   "ping <имя исходного DC>".
 
 3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для  служб DNS и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы,
воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на  http://www.microsoft.com/dns
 
  dcdiag /test:dns
 
 4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE
 на консоли конечного контроллера домена, выполнив следующую команду:
 
  dcdiag /test:dns
 
 5) Для дальнейшего анализа ошибок DNS ознакомьтесь со статьей базы знаний 824449:
   http://support.microsoft.com/?kbid=824449
 
Дополнительные данные
Значение ошибки:
 11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
    <EventID Qualifiers="49152">2087</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>22</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2017-11-23T11:20:31.867311300Z" />
    <EventRecordID>5788</EventRecordID>
    <Correlation />
    <Execution ProcessID="616" ThreadID="2104" />
    <Channel>Directory Service</Channel>
    <Computer>ts1.sap.ru</Computer>
    <Security UserID="S-1-5-7" />
  </System>
  <EventData>
    <Data>Skynet</Data>
    <Data>40c9bdff-9748-47dd-b0af-60d98d90c538._msdcs.sap.ru</Data>
    <Data>11004</Data>
    <Data>Запрошенное имя верно, но данные запрошенного типа не найдены.</Data>
    <Data>System\CurrentControlSet\Services\NTDS\Diagnostics</Data>
    <Data>22 DS RPC Client</Data>
  </EventData>
</Event>
« Последнее редактирование: 24 Ноября 2017, 14:40:31 от Demon »

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8086
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
т.е. его желательно сделать сейчас
можно потом



Updated: 24 November 2017, 16:48:52

1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID
объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
Что из этого непонятно? Удалите уже сдохший контроллер с помощью ntdsutil.

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5538
  • Рейтинг: 36
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
Я даже выше вроде статью давал на тему чистки...
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 80
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
ну вы что , ребят я все это делал, чистил всеми способами , и вычистил все что чистилось, причем сдесь это вообще ?


Updated: 27 November 2017, 07:48:48

или это на старом теперь все чистить вычистить надо ?


Updated: 27 November 2017, 08:30:15

и вот такая вещь каждый день, не пойму почему
Спойлер для скрыто:
Имя журнала:   Microsoft-WS-Licensing/Admin
Источник:      Microsoft-WS-Licensing
Дата:          27.11.2017 4:59:12
Код события:   512
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Ключевое слово службы
Пользователь:  SAP\sysadmin
Компьютер:     Skynet.sap.ru
Описание:
Магазину Windows не удалось синхронизировать лицензии компьютера. Код результата: 0x80070002
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-WS-Licensing" Guid="{ED76D77F-7FB5-4EE4-8268-EE46212CB2D3}" />
    <EventID>512</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x2000000000000001</Keywords>
    <TimeCreated SystemTime="2017-11-27T00:59:12.504256600Z" />
    <EventRecordID>23</EventRecordID>
    <Correlation />
    <Execution ProcessID="7956" ThreadID="10172" />
    <Channel>Microsoft-WS-Licensing/Admin</Channel>
    <Computer>Skynet.sap.ru</Computer>
    <Security UserID="S-1-5-21-2384426495-1918207852-499335879-1375" />
  </System>
  <EventData>
    <Data Name="HRESULT">2147942402</Data>
  </EventData>
</Event>


Updated: 27 November 2017, 08:38:08

при этом везде все норм и винда активирована разумеется , :-[
« Последнее редактирование: 27 Ноября 2017, 08:38:08 от Demon »

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5538
  • Рейтинг: 36
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
Старого после чистки подключего к сети вообще быть не должно, ну как минимум он должен быть понижен и выведен из схемы если он в ней уже не учавствует.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 80
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
кстати вопрос о лицензировании, если у меня в сети 3 сервера и куплено 35 Windows Remote Desktop Services - Device CAL и 35 Windows Server - Device CAL , все сервера лицензия standart . 1 это бывший КД который я никак нверну в норму к остальным, 2 это нынишний кд на нем только stabdart лицензия и 3 это виртуалка на нем там удаленные рабочие столы, ... :-[ я так запутался с этим


Updated: 27 November 2017, 09:29:27


Triangle,
Старого после чистки подключего к сети вообще быть не должно, ну как минимум он должен быть понижен и выведен из схемы если он в ней уже не учавствует.

так его и не было, я его понизил и все, но там сервер касперского, и лицензии вроде на нем были куплены так что выкинуть прям нельзя, а когда завел он везде появился в АД и вроде норм , но ошибку ты видел, видимо не норм


Updated: 27 November 2017, 09:32:36

они никак не увидят правильно друг друга или что то такое, и не реплецируются


Updated: 27 November 2017, 09:50:05

вот что на втором кд котрый доп
Спойлер для скрыто:
Проблема:
Анализатору соответствия рекомендациям доменных служб Active Directory (AD DS BPA) не удается собрать данные о имя леса на контроллер домена TS1.


Воздействие:
Анализатору AD DS BPA не удастся проверить данные конфигурации имя леса.

Разрешение:
Устраните неполадки с контроллер домена TS1, чтобы определить главную причину проблемы.


Updated: 27 November 2017, 11:59:25

РЕБЯТ МОЖЕТ КИНУТЬ ЧТО ВАМ ? dcdiag или еще что то с двух кд, ото я никак не пойму что с ними н так


Updated: 27 November 2017, 18:17:41

АААА все пропало, слетел сервер востановил из архива теперь пишет, не удалось подключиться к домену и не заходит в AD и прочее


Updated: 27 November 2017, 18:47:36

уффффф вроде расковырял через реестр и перемещением каталогов sysvol
« Последнее редактирование: 27 Ноября 2017, 18:47:36 от Demon »

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5538
  • Рейтинг: 36
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
я его понизил и все
Ну не понизился...

там сервер касперского
Переноси, час работы.

они никак не увидят правильно друг друга или что то такое, и не реплецируются
Я что то не понимаю или Вы собираетесь реплицировать контролер выведенный из схемы.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 80
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
вот что осталось, сецчас второй КД снова есть . и вот такая ошибка
Спойлер для скрыто:
Этот сервер является владельцем роли FSMO, но не считает ее допустимой. Для раздела, содержащего FSMO, сервер с момента своего перезапуска не выполнил успешную репликацию ни с одним из партнеров. Ошибки репликации мешают проверке этой роли.
 
Операции, требующие обращения к хозяину операций FSMO, не смогут выполняться, пока эта проблема не будет исправлена.
 
Роль FSMO: CN=RID Manager$,CN=System,DC=sap,DC=ru
 
Действие пользователя
 
1.   Начальная синхронизация является первой репликацией, выполняемой системой при запуске. Ошибка при начальной синхронизации может быть причиной того, что роль FSMO не удается проверить. Этот процесс объясняется в статье базы знаний 305476.
2. У этого сервера есть один или несколько партнеров репликации, и репликация завершается сбоем  для всех из них. Используйте команду repadmin /showrepl для отображения ошибок репликации. Исправьте соответствующую ошибку. Например, успешному выполнению репликации могут мешать проблемы с IP-подключением, разрешением DNS-имен или проверкой подлинности.
3.   В редких случаях, когда отключение всех партнеров репликации является ожидаемым (возможно, для обслуживания или аварийного восстановления), проверку роли можно выполнить принудительно. Это можно сделать с помощью программы NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Пошаговые инструкции содержатся в статьях базы знаний 255504 и 324801 на веб-сайте http://support.microsoft.com.
 
Могут быть затронуты следующие операции:
Схема: будет невозможно изменять схему для этого леса.
Именование доменов: будет невозможно добавлять домены в этом лес или удалять их из него.
PDC: будет невозможно выполнять операции на основном контроллере домена, такие как обновление групповой политики и сброс паролей для учетных записей, не принадлежащих к доменным службам Active Directory.
RID: будет невозможно выделять идентификаторы безопасности для новых учетных записей пользователей и компьютеров, а также групп безопасности.
Инфраструктура: междоменные ссылки на имена, такие как членство в универсальных группах, не будут правильно обновляться в случае перемещения или переименования целевых объектов.

пытаюсь понизить его через dcpromo выдает ошибку
Невозможно удалить объект DSA и не понижается . какие варианты , удалять принудительно и чистить метадату снова ?



Updated: 28 November 2017, 08:47:37

какие данные скинуть , там после восстановления вообще все запутанно