поднял DC - пока все хорошо...

SHS - по сути второй контроллер мне теперь уже совсем не нужен (после того, как я сделал нормальную сеть между офисами), разве только из соображений надежности. Со временем хочу все функции DESIGN перенести на SSS (который лучше), но там не все так просто, меня пугает то, что на предприятии в основном используется БД Access завязанная на SQL, который находится на DESIGNе, в этом Access-вском проекте черт ногу сломит, а программист, который писал его, погиб. Так что пока так. Из этого вопрос (мб глупый) - как мне попроще избавиться от второго контроллера домена? Если можно, прямые ссылки на проверенные мануалы. И еще совет нужен - как лучше поступить в данной ситуации? Оставить второй контроллер и пытаться настроить репликации? Или убить его?

SHS - делаю dcchek /q - ошибок столько, что они в буфер консоли не умещаются, но вот в основном повторяющиеся ошибки:
         Возникла ошибка. Код события (EventID): 0xC00038D6
            Время создания: 04/06/2017   18:03:22
            Строка события:
            Службе пространства имен не удалось инициализировать сведения о дове
рительных отношениях между лесами на этом контроллере домена; она будет периодич
ески повторять выполнение операции. Код возврата находится в данных.
         Возникла ошибка. Код события (EventID): 0x40000004
            Время создания: 04/06/2017   18:03:36
            Строка события:
            Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера host/de
sign.gimenei. Использовалось конечное имя GC/design.gimenei/gimenei. Это означае
т, что конечному серверу не удалось расшифровать билет, предоставленный клиентом
. Это может быть из-за того, что имя участника службы конечного сервера (SPN) за
регистрировано на учетной записи, отличной от учетной записи, используемой конеч
ной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной
записи, используемой сервером. Причиной этой ошибки может быть еще и то, что кон
ечная служба использует другой пароль для учетной записи конечной службы, отличн
ый от пароля центра распределения ключей Kerberos (KDC) для учетной записи конеч
ной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использов
ать текущий пароль. Если имя сервера задано не полностью и конечный домен (GIMEN
EI) отличен от домена клиента (GIMENEI), проверьте, нет ли серверных учетных зап
исей с таким же именем в этих двух доменах, или используйте полное имя для идент
ификации сервера.

и еще одна запись из dccheck:
         [Replications Check,SSS] Сбой при последней попытке репликации:
            Из DESIGN в SSS
            Контекст именования: DC=DomainDnsZones,DC=gimenei
            При репликации возникла ошибка (8614):
            Репликация службы каталогов с этим сервером невозможна, поскольку вр
емя с момента последней репликации с этим сервером превышает время жизни захорон
ения.

зашел в безопасном, включил автозагрузку kerberos. сервак загркзился... но куда копать теперь?!

Цитата: Я от 06 апреля 2017, 14:35:05

а у меня ни бэкапов... ничего...

Off-Topic:

а вы точно администратором работаете?

Потеря одного из DC не страшна, у вас же есть второй DC

PS Если не удается загрузить в нормальном режиме, грузите в безопасном и верните настройки назад.

Кем я только здесь не работаю... За два года хаоса хоть как-то сеть в порядок привел. Там еще много работы, и бэкапы, и sql, и антивирусы...

откатить можно - это понятно, только боюсь, что это не связано с отключением службы kerberos. Cейчас в третий раз перезагружаю по удаленке... если не получится, поеду туда...
давно видно, что ведет себя сервер странно, нужно избавляться от него...

Файрволы давно поотключал...

Сейчас на обеде попробую майкрософтовский способ...