Не могу синхронизировать два контроллера AD

[Я]

Добрый день! Может кто-нибудь подскажет что-нибудь дельное. Уже всю голову сломал - ум за разум заходит...
Ситуация следующая:
Имеется три физических сервера:
server  -  DHCP (Windows 2000)
design  - AD, DNS (Windows 2003)
sss       - AD (Windows 2008)
+ сеть из разношерстных рабочих станций в количестве 30-ти штук по две стороны одной организации, части которой находятся в разных частях города, из-за этого, кстати и два сервера AD, т.к. нормальный канал связи удалось сделать совсем недавно (работаю здесь только второй месяц).
Так вот, давно заметил, что при попытке зайти в "Active Directory - пользователи и компьютеры" на SSS иногда не получается - ругается - "Не удалось найти сведения по следующей причине: Главное конечное имя неверно. Обратитесь к администратору и проверьте правильность настройки домена, и что домен работает". Раньше такое сообщение появлялось время от времени - теперь постоянно.
Покурил форумы, понял, что дело в репликациях между AD.

ДЕЛАЮ на DESIGN - repadmin /showrepl  -------------------------------------------------------------------

repadmin running command /showrepl against server localhost

Default-First-Site-Name\DESIGN
DC Options: IS_GC
Site Options: (none)
DC object GUID: b7892cd0-d86f-4ed2-ae83-c2a10fb6fc54
DC invocationID: f8395b8b-c917-462f-9f04-859977708cb4

==== INBOUND NEIGHBORS ======================================

DC=gimenei
    Default-First-Site-Name\SSS via RPC
        DC object GUID: b14d627b-77c3-4836-9d88-6ed662ef64bb
        Last attempt @ 2017-04-05 14:01:48 was successful.

CN=Configuration,DC=gimenei
    Default-First-Site-Name\SSS via RPC
        DC object GUID: b14d627b-77c3-4836-9d88-6ed662ef64bb
        Last attempt @ 2017-04-05 14:01:48 was successful.

CN=Schema,CN=Configuration,DC=gimenei
    Default-First-Site-Name\SSS via RPC
        DC object GUID: b14d627b-77c3-4836-9d88-6ed662ef64bb
        Last attempt @ 2017-04-05 14:01:48 was successful.

DC=DomainDnsZones,DC=gimenei
    Default-First-Site-Name\SSS via RPC
        DC object GUID: b14d627b-77c3-4836-9d88-6ed662ef64bb
        Last attempt @ 2017-04-05 14:01:48 was successful.

DC=ForestDnsZones,DC=gimenei
    Default-First-Site-Name\SSS via RPC
        DC object GUID: b14d627b-77c3-4836-9d88-6ed662ef64bb
        Last attempt @ 2017-04-05 14:01:48 was successful.


ДЕЛАЮ на SSS - repadmin /showrepl -------------------------------------------------------------------

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
тупом
Default-First-Site-Name\SSS
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: b14d627b-77c3-4836-9d88-6ed662ef64bb
DSA - код вызова: 9ae95164-67e0-4598-9f9f-653d4bcfa80f

==== ВХОДЯЩИЕ СОСЕДИ   ======================================

DC=gimenei
    Default-First-Site-Name\DESIGN через  RPC
        DSA - GUID объекта: b7892cd0-d86f-4ed2-ae83-c2a10fb6fc54
        Последняя попытка @ 2017-04-05 14:07:06 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        327660 последовательных ошибок.
        Последний успех @ 2016-12-02 01:54:36.

CN=Configuration,DC=gimenei
    Default-First-Site-Name\DESIGN через  RPC
        DSA - GUID объекта: b7892cd0-d86f-4ed2-ae83-c2a10fb6fc54
        Последняя попытка @ 2017-04-05 13:58:58 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        3013 последовательных ошибок.
        Последний успех @ 2016-12-02 01:53:17.

CN=Schema,CN=Configuration,DC=gimenei
    Default-First-Site-Name\DESIGN через  RPC
        DSA - GUID объекта: b7892cd0-d86f-4ed2-ae83-c2a10fb6fc54
        Последняя попытка @ 2017-04-05 13:58:58 завершена с ошибкой, результат -
2146893022 (0x80090322):
            Главное конечное имя неверно.
        3009 последовательных ошибок.
        Последний успех @ 2016-12-02 01:53:17.

DC=DomainDnsZones,DC=gimenei
    Default-First-Site-Name\DESIGN через  RPC
        DSA - GUID объекта: b7892cd0-d86f-4ed2-ae83-c2a10fb6fc54
        Последняя попытка @ 2017-04-05 13:58:58 завершена с ошибкой, результат 1
256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
        3010 последовательных ошибок.
        Последний успех @ 2016-12-02 01:53:17.

DC=ForestDnsZones,DC=gimenei
    Default-First-Site-Name\DESIGN через  RPC
        DSA - GUID объекта: b7892cd0-d86f-4ed2-ae83-c2a10fb6fc54
        Последняя попытка @ 2017-04-05 13:58:58 завершена с ошибкой, результат 1
256 (0x4e8):
            Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
        3010 последовательных ошибок.
        Последний успех @ 2016-12-02 01:53:18.

Источник: Default-First-Site-Name\DESIGN
******* 327653 ПОСЛЕДОВАТЕЛЬНЫХ ОШИБОК с 2016-12-02 01:54:36
Последняя ошибка: -2146893022 (0x80090322):
            Главное конечное имя неверно.

Куда дальше двигаться - непонятно, т.к. методом проб и ошибок выяснил, что Design почему-то не дает доступа даже к файловой системе, если я пытаюсь просмотреть с SSS сетевые ресурсы на Design под учеткой со всеми мыслимыми правами. Кроме того, SSS не видит Design по имени (в проводнике) НО по IP-шнику видит, и даже пускает, из командной строки же на SSS DESIGN пингуется и по имени и по IP-шнику. Здесь становится понятно, что дело где-то в DNS, но у SSS стоит основным DNSом DESIGN, кроме того, я прописал на SSS в hosts DESIGN. Как я понимаю, проблема с конечными именами где-то в репликациях, которые уже давно не проходят... чтобы наладить рекликации, нужно решить проблему с правами доступа, а чтобы наладить права доступа нужно сделать репликацию. Вот на этой-то рекурсии у меня ум за разум окончательно зашел. HELP!!!

[shs]

у вас еще похоже и домен с одной меткой.

Давайте по порядку: покажите ipconfig /all со всех ваших DC

[Triangle]

ipconfig /all будет?

[Я]

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : SSS
   Основной DNS-суффикс  . . . . . . : gimenei
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : gimenei

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Intel(R) Ethernet I210-T1 GbE NIC
   Физический адрес. . . . . . . . . : 74-D0-2B-9E-2A-98
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.212(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 192.168.1.101
                                       8.8.8.8
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{AEDEC6BD-FD23-47FB-B2AA-D3A3D201936B}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:6abd:10b9:345b:a6e8:e856(Осно
вной)
   Локальный IPv6-адрес канала . . . : fe80::10b9:345b:a6e8:e856%12(Основной)
   Основной шлюз. . . . . . . . . : ::
   NetBios через TCP/IP. . . . . . . . : Отключен

---------------------------------------------------------------------------------------------------------------------------------------------------------------------

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : design
   Основной DNS-суффикс  . . . . . . : gimenei
   Тип узла. . . . . . . . . . . . . : неизвестный
   IP-маршрутизация включена . . . . : да
   WINS-прокси включен . . . . . . . : да
   Порядок просмотра суффиксов DNS . : gimenei

Подключение по локальной сети - Ethernet адаптер:

   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 50-E5-49-CB-D4-B8
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : 192.168.1.101
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз . . . . . . . . . . : 192.168.1.1
   DNS-серверы . . . . . . . . . . . : 192.168.1.101
                                       8.8.8.8

C:\>

[shs]

DNS-серверы. . . . . . . . . . . : 192.168.1.101
                                                                                                                                                                  8.8.8.8

На обоиъ DC 8.8.8.8.8 - убрать, в качестве DNS у вас должны быть только ваши DC:
192.168.1.101
192.168.1.212

Updated: 05 April 2017, 15:38:40

Основной DNS-суффикс  . . . . . . : gimenei

Домен с одной меткой

https://support.microsoft.com/ru-ru/help/300684/deployment-and-operation-of-active-directory-domains-that-are-configured-by-using-single-label-dns-names

https://blogs.technet.microsoft.com/kabans/2010/01/31/single-label-domain/

[Я]

но на 192.168.1.212 - DNS не поднят.

оставил только 192.168.1.101 в обоих DC - без изменений

[shs]

но на 192.168.1.212 - DNS не поднят.

Ну, тогда не надо, но я бы установил DNS-сервера на каждом DC (для отказоустойчивости)
У вас же при перезагрузке сервера с DNS домен не будет работать.

[Я]

но на 192.168.1.212 - DNS не поднят.

Ну, тогда не надо, но я бы установил DNS-сервера на каждом DC (для отказоустойчивости)
У вас же при перезагрузке сервера с DNS домен не будет работать.

Я пытался поднять, но не получилось - при подключении к DNS серверу пишет - "Ошибка в пакете безопасности", и как мне кажется все эти ошибки как-то связаны.

[Я]

Да, кстати пытался принудительно провести репликацию из оснастки на Design - c SSS - проходит успешно. SSS с DESIGN - "Главное конечное имя неверно"

[shs]

Да, кстати пытался принудительно провести репликацию из оснастки на Design - c SSS - проходит успешно. SSS с DESIGN - "Главное конечное имя неверно"

вы DNS сервер на интерфейсах уже исправили?

По ссылкам, что я давал, сходили?

[Я]

вы DNS сервер на интерфейсах уже исправили?

По ссылкам, что я давал, сходили?

DNS исправил, основной DNS на обоих DC один - 192.168.1.101(DESIGN), альтернативный 8.8.8.8 удалил - безрезультатно. Ссылки почитаю дома.

[shs]

Домен-контроллеры все до вашего пришествия были подняты? Или какие-то из них вы поднимали?

[Я]

все поднято еще до меня... до меня на предприятии где-то пару лет админа не было...

[Triangle]

А схему сети между этими узлами увидеть можно?

[shs]

А схему сети между этими узлами увидеть можно?

а зачем?

"Главное конечное имя неверно"

https://support.microsoft.com/ru-ru/help/288167/error-message-target-principal-name-is-incorrect-when-manually-replicating-data-between-domain-controllers