Проблема с контроллером домена...

[Fray]

Есть три контроллера домена - dc01, dc02 и dc03.
Роли: dc01 - RID, GC
dc02 - PDC, Хозяин именования доменов, Хозяин инфраструктуры, Хозяин схемы
dc03 - GC

Вопрос: почему при перезагрузке контроллера dc01 ни один клиент не может авторизоваться в домене? Сразу после перезагрузки невозможно авторизоваться на dc01, надо ждать минут 10...

Ошибки на dc01 сразу после перезагрузки:

Код: [Выделить]

Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

Код: [Выделить]

Отказано во входе в систему для NEOPRINT\ivc. Не удалось получить конфигурацию пользователя сервера терминалов. Ошибка: Указанный домен не существует или к нему невозможно подключиться.

Код: [Выделить]

Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена. 

[Retif]

Fray, ошибки из журнала событий дай полностью. И что с DNS-серверами?

[Fray]

Userenv 1030
Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

Winlogon 1219
Отказано во входе в систему для NEOPRINT\ivc. Не удалось получить конфигурацию пользователя сервера терминалов. Ошибка: Указанный домен не существует или к нему невозможно подключиться.

Userenv 1054
Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.

DNS-серверами являются все три контроллера, зона встроена в AD, само собой.

[shs]

ipconfig /all давай с каждого.

Почему не все  DC являются GC?

Upd Да, а что там еще за сервер терминалов фигурирует?  Давай и с него ipconfig /all

[Fray]

dc01:

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : dc01
   Основной DNS-суффикс  . . . . . . : neoprint.local
   Тип узла. . . . . . . . . . . . . : гибридный
   IP-маршрутизация включена . . . . : нет
   WINS-прокси включен . . . . . . . : нет
   Порядок просмотра суффиксов DNS . : neoprint.local

Подключение по локальной сети - Ethernet адаптер:

   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Dual Port Network Co
nnection
   Физический адрес. . . . . . . . . : 00-30-48-74-B9-6A
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : 192.168.240.36
   Маска подсети . . . . . . . . . . : 255.255.254.0
   Основной шлюз . . . . . . . . . . : 192.168.240.1
   DNS-серверы . . . . . . . . . . . : 192.168.240.36

dc02:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : dc02
   Primary Dns Suffix  . . . . . . . : neoprint.local
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : Yes
   WINS Proxy Enabled. . . . . . . . : Yes
   DNS Suffix Search List. . . . . . : neoprint.local

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) 82559 Fast Ethernet LAN on Mothe
rboard
   Physical Address. . . . . . . . . : 00-D0-B7-A9-AB-34
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.240.38
   Subnet Mask . . . . . . . . . . . : 255.255.254.0
   Default Gateway . . . . . . . . . : 192.168.240.1
   DNS Servers . . . . . . . . . . . : 192.168.240.38

dc03:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : dc03
   Primary Dns Suffix  . . . . . . . : neoprint.local
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : neoprint.local
                                       crs.net.ru
                                       domain.local

Ethernet adapter MPLS:

   Connection-specific DNS Suffix  . : crs.net.ru
   Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
   Physical Address. . . . . . . . . : 00-30-48-86-0E-37
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.200.4
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.200.3
   DHCP Server . . . . . . . . . . . : 192.168.200.3
   DNS Servers . . . . . . . . . . . : 192.168.200.4
                                       192.168.240.36
                                       192.168.200.4
   Lease Obtained. . . . . . . . . . : 2 декабря 2010 г. 22:12:46
   Lease Expires . . . . . . . . . . : 3 декабря 2010 г. 22:12:46

Почему не все  DC являются GC?

Потому что Microsoft не рекомендует делать GC контроллер домена, являющийся PDC.

[Fray]

Upd Да, а что там еще за сервер терминалов фигурирует?  Давай и с него ipconfig /all

Да это я на него же по RDP захожу.

[shs]

Потому что Microsoft не рекомендует делать GC контроллер домена, являющийся PDC

Ну, во-первых, не PDC, а мастер инфрастуктуры, а во-вторых, эта рекомендация не относится к случаю, если все DC являются GC.

[shs]

Upd Да, а что там еще за сервер терминалов фигурирует?  Давай и с него ipconfig /all

Да это я на него же по RDP захожу.

Т.е. после перезагрузки dc01 производится попытка выполнить терминальный вход на dc01, которая заканчивается неудачей и сопровождается сообщениями об ошибках, которые приведены выше?

[Retif]

shs, +1. Пруфлинк:
http://support.microsoft.com/kb/197132
Правда для Windows 2000 почему-то.

Infrastructure FSMO Role
When an object in one domain is referenced by another object in another domain, it represents the reference by the GUID, the SID (for references to security principals), and the DN of the object being referenced. The infrastructure FSMO role holder is the DC responsible for updating an object's SID and distinguished name in a cross-domain object reference.

NOTE: The Infrastructure Master (IM) role should be held by a domain controller that is not a Global Catalog server(GC). If the Infrastructure Master runs on a Global Catalog server it will stop updating object information because it does not contain any references to objects that it does not hold. This is because a Global Catalog server holds a partial replica of every object in the forest. As a result, cross-domain object references in that domain will not be updated and a warning to that effect will be logged on that DC's event log.

If all the domain controllers in a domain also host the global catalog, all the domain controllers have the current data, and it is not important which domain controller holds the infrastructure master role.

[Fray]

Ну, во-первых, не PDC, а мастер инфрастуктуры, а во-вторых, эта рекомендация не относится к случаю, если все DC являются GC.

Когда я пытаюсь поставить на него галку GC, то он мне и говорит, что "не рекомендуется, уверены?".

Т.е. после перезагрузки dc01 производится попытка выполнить терминальный вход на dc01, которая заканчивается неудачей и сопровождается сообщениями об ошибках, которые приведены выше?

Именно.

[Retif]

Когда я пытаюсь поставить на него галку GC, то он мне и говорит, что "не рекомендуется, уверены?".

Вывод команды

Код: [Выделить]

netdom query fsmo

дай.

[Fray]

C:\Documents and Settings\fray>netdom query fsmo
Schema owner                dc02.domain.local

Domain role owner           dc02.domain.local

PDC role                    dc02.domain.local

RID pool manager            dc01.domain.local

Infrastructure owner        dc02.domain.local

The command completed successfully.

[Retif]

DNS-серверы . . . . . . . . . . . : 192.168.240.36

DNS Servers . . . . . . . . . . . : 192.168.240.38

Почему только один DNS-сервер указан?

[Retif]

Fray, ну вот, это из-за мастера инфраструктуры, а не из-за PDC.
И почему на dc03 динамический адрес?

[Fray]

Почему только один DNS-сервер указан?

Где-то читал, что надо указывать только себя в качестве DNS-сервера... А вот сейчас нагуглил:
http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/4be22135-7a24-4e55-87dc-4e277f419dbd/
http://support.microsoft.com/kb/825036
... и призадумался...
Указывать перекрестно? Для двух понятно как, а для трех? =)