Автор Тема: DNS-сервер ожидает от доменных служб Active Directory (AD DS)  (Прочитано 9461 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 565
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: sub-MSK
8.8.8.8 ? это гугловский днс - проверяйте где вы его указали как свой днс север


Updated: 02 December 2017, 00:07:14

81 и 87 - вангую что это днсы провайдера вашего  :pardon:

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 6025
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
netsh interface ip show config
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
выяснил это автоматический ipv6 так себя ведет, в общем я его выключил осталась первая ошибка

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
вот так выглядит dcdiag /test:dns и dcdiag /q /e и netsh interface
меня беспокоит dcdiag /q/e и , еще в логах есть ошибки:
1)
Спойлер для скрыто:
Этот сервер является владельцем роли FSMO, но не считает ее допустимой. Для раздела, содержащего FSMO, сервер с момента своего перезапуска не выполнил успешную репликацию ни с одним из партнеров. Ошибки репликации мешают проверке этой роли.
 
Операции, требующие обращения к хозяину операций FSMO, не смогут выполняться, пока эта проблема не будет исправлена.
 
Роль FSMO: CN=RID Manager$,CN=System,DC=sap,DC=ru
 
Действие пользователя
 
1.   Начальная синхронизация является первой репликацией, выполняемой системой при запуске. Ошибка при начальной синхронизации может быть причиной того, что роль FSMO не удается проверить. Этот процесс объясняется в статье базы знаний 305476.
2. У этого сервера есть один или несколько партнеров репликации, и репликация завершается сбоем  для всех из них. Используйте команду repadmin /showrepl для отображения ошибок репликации. Исправьте соответствующую ошибку. Например, успешному выполнению репликации могут мешать проблемы с IP-подключением, разрешением DNS-имен или проверкой подлинности.
3.   В редких случаях, когда отключение всех партнеров репликации является ожидаемым (возможно, для обслуживания или аварийного восстановления), проверку роли можно выполнить принудительно. Это можно сделать с помощью программы NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Пошаговые инструкции содержатся в статьях базы знаний 255504 и 324801 на веб-сайте http://support.microsoft.com.
 
Могут быть затронуты следующие операции:
Схема: будет невозможно изменять схему для этого леса.
Именование доменов: будет невозможно добавлять домены в этом лес или удалять их из него.
PDC: будет невозможно выполнять операции на основном контроллере домена, такие как обновление групповой политики и сброс паролей для учетных записей, не принадлежащих к доменным службам Active Directory.
RID: будет невозможно выделять идентификаторы безопасности для новых учетных записей пользователей и компьютеров, а также групп безопасности.
Инфраструктура: междоменные ссылки на имена, такие как членство в универсальных группах, не будут правильно обновляться в случае перемещения или переименования целевых объектов.
2)
Спойлер для скрыто:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера ts1$. Использовалось целевое имя E3514235-4B06-11D1-AB04-00C04FC2DCD2/aa8ef815-4543-4360-ab5c-367ed47b6155/sap.ru@sap.ru. Это означает, что целевому серверу не удалось расшифровать билет, предоставленный клиентом. Это возможно, когда целевое SPN-имя зарегистрировано на учетную запись, отличную от учетной записи, используемой конечной службой. Убедитесь, что целевое SPN-имя зарегистрировано только на учетную запись, используемую сервером. Эта ошибка также может возникать, если пароль целевой службы отличается от пароля, заданного для нее в центре распространения ключей Kerberos. Убедитесь, что пароли в службе на сервере и в центре распространения ключей совпадают. Если имя сервера задано не полностью и конечный домен (SAP.RU) отличается от домена клиента (SAP.RU), проверьте эти два домена на наличие учетных записей серверов с одинаковыми именами или используйте для идентификации сервера полное имя.
3)
Спойлер для скрыто:
Запрос нового пула идентификаторов учетных записей не выполнен. Windows 2000 будет повторять запрос, пока он не будет выполнен. Ошибка:
 " Атрибут владельца роли не может быть прочитан.
 "
4)
Спойлер для скрыто:
{Восстановленный куст реестра} Куст реестра (файл) "\SystemRoot\System32\Config\RegBack\SYSTEM" был поврежден и восстановлен. Возможно, некоторые данные были утеряны.


Updated: 02 December 2017, 12:55:01


Этот сервер является владельцем роли FSMO, но не считает ее допустимой. Для раздела, содержащего FSMO, сервер с момента своего перезапуска не выполнил успешную репликацию ни с одним из партнеров. Ошибки репликации мешают проверке этой роли.
 
Операции, требующие обращения к хозяину операций FSMO, не смогут выполняться, пока эта проблема не будет исправлена.
 
Роль FSMO: CN=RID Manager$,CN=System,DC=sap,DC=ru  :cry:

что делать вот с этим
 



Updated: 02 December 2017, 13:00:37

мне надо чтоб он был единственным КД и уже потом сделаю второй который с ним будет реплицироваться, но я не могу из АД нормальным способом удалить стороние КД , а через ntdsutil пишит что нет сайта нет сервера и что то подобное скрины скидывал :-[
« Последнее редактирование: 02 Декабря 2017, 17:34:38 от Demon »

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
вот скрины удаления метадаты и через АД

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
как добавить текущий сайт и текущий сервер ? и удалить все сторонние КД

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 565
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: sub-MSK
АД - у вас большая? может проще в каникулы на новый год - сделать новую?
exchange есть?

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
sirarthur, насчет сделать новую это другой вопрос, меня интересует как исправить то что есть.  А ты мне предлагаешь , убрать все потом всех по новой заводить и тд (это крайний вариант ) который может быть сделан и на другом ПК , после чего просто всех перезавести в домен, сделать тот что сейчас основной вторым КД и все норм....


НО ЭТО ВСЕ ПОТОМ. это самый легкий путь не считая того что придеться бегать , всех перезаводить узнавать кто есть кого нет, и куча других мелочей


Updated: 02 December 2017, 13:42:05

Ну как большая 200 пользователей, не считая того что из них половину надо удалить, и все очень так сказать запутанно

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8433
  • Рейтинг: 84
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
что делать вот с этим
 
Не надо писать увеличенным шрифтом и красным цветом, все уже сто раз видели это. И сто раз вам уже сказали, что нужно сначала со всеми ошибками разобраться, с DNS-ом в первую очередь.

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
Retif, вроде же все нормально с днс ? разве нет ?

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
вот скрин же

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 565
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: sub-MSK
разве нет ?
если все нормально - ошибки откуда?


Updated: 02 December 2017, 20:03:46

А ты мне предлагаешь , убрать все потом всех по новой заводить
я бы сначала попробовал миграцию пользователей в новую рядом поднятую АД.
А тут... реплика не работает, сайта нет, контекста нет, домен мультихом...

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
 sirarthur, где ты видишь ошибку ДНС ?!!!  ??? вот я поэтому тут и спрашиваю что с этим сделать. зачем предлагать то что можно сделать всегда  :facepalm2: я понимаю что жопа какаято но не понимаю почему и как исправить. не ужели АД на столько дупацкий что ему нельзя написать, забудь это и делай так. ? должно же быть решение кроме переустановки :dash:

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8433
  • Рейтинг: 84
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
е ужели АД на столько дупацкий что ему нельзя написать, забудь это и делай так. ? должно же быть решение кроме переустановки :dash:

Это не AD дурацкий, а ручки у кого-то не оттуда.

C DNS вижу, вроде все ок по тестам, но откуда тогда у вас 8.8.8.8 светится в dcdiag?

вот скрины удаления метадаты и через АД

Прав не хватает, а вы под кем удаляете, учетка админа в какие группы входит?

*  (19.75 кБ, 683x541 - просмотрено 8 раз.)

Вы там, простите, изначально какую-то ересь пишете, а потом удивляетесь, почему не работает.

connect to server - а имя сервера-то где?
нужно connect to server skynet.

И далее аналогично, вот прочитайте, смотрите где "Procedure 1: Windows Server 2003 SP1 or later service packs only", там подробнее, чем по моей прошлой ссылке:
https://support.microsoft.com/en-us/help/216498/how-to-remove-data-in-active-directory-after-an-unsuccessful-domain-co
и вот еще аналогично:
http://winitpro.ru/index.php/2011/04/08/udalyaem-neispravnyj-kontroller-domena-pri-pomoshhi-utility-ntdsutil/

Оффлайн Demon

  • Пользователь
  • **
  • Сообщений: 90
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Тольятти
Retif, да понятно что я накосячил. я с этим и не спорю.
1. насчет 8.8.8.8 и еще 2х это те что прописаны в микротике, на автоматическом ip v6 почему то вылезли,
2. насчет прав, сам не понимаю как их не хватает , удаляю под админом прописал его во всех возможных группах , Раньше такого не писал ... (админ :схемы, домена ,DHCP, сервера , администраторы, пользователи, it)
3. (connect to server - а имя сервера-то где? нужно connect to server skynet.)    так. сейчас проверю. может что то напутал  ???