Автор Тема: Перенос DC с одного сервера на другой (ошибки)  (Прочитано 265 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Timzi

  • Начинающий
  • *
  • Сообщений: 37
  • Рейтинг: 1
    • Просмотр профиля
  • Откуда: Владивосток
Добрый день, форумчане!
Прошу помощи, так как гугление особо не помогает и тратит довольно много времени, которого и так не хватает.

У меня есть КД, который уже давненько сыпет ошибками и становится неуправляемым, боюсь в какой-то момент скажет "Привет!" и уйдёт в закат  ???

Косячный контроллер начинал свой путь с вин2003 на железке, потом мигрировал на ВМ (VMware), далее на Proxmox, потом обновился до 2008 R2 и остановился на Win2016. На данный момент у него роли: Active Directiry, DNS, DHCP и DFS. Управление DFS мне сейчас недоступно: просто отсутствует консоль управления. Остальное пока работает и управляется. Зовут его DC01 и проживает по адресу 192.168.1.12

ipconfig /all
Спойлер для скрыто:
Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : dc01
   Основной DNS-суффикс  . . . . . . : PDKKTB.LAN
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : PDKKTB.LAN

Адаптер Ethernet Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Red Hat VirtIO Ethernet Adapter
   Физический адрес. . . . . . . . . : 36-FF-89-AF-24-FE
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.12(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.5
   DNS-серверы. . . . . . . . . . . : 192.168.1.12
                                       192.168.1.2
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{DBB222E5-5E94-4F46-8F5F-E18A50E09162}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
План у меня такой:
Поднять ещё один сервер, перенести на него все роли, сделать его основным, вывести и потушить старый сервер. Далее поднять второй DC, сделать его резервным, ну а далее уже можно DFS на отдельный вынести, ...

Для его замены поднял вторую ВМ Win2016 (DC-00, 192.168.1.2)

ipconfig /all
Спойлер для скрыто:
Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : dc-00
   Основной DNS-суффикс  . . . . . . : PDKKTB.LAN
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : PDKKTB.LAN

Адаптер Ethernet Ethernet:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Red Hat VirtIO Ethernet Adapter
   Физический адрес. . . . . . . . . : 56-D1-5F-4B-58-57
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.2(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.5
   DNS-серверы. . . . . . . . . . . : 192.168.1.2
                                       192.168.1.12
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{0560C527-3A07-4516-8FB4-8388DDA50130}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
Может быть я что-то не так сделал или не настроил перед переносом ролей FSMO, но я их перенёс:

netdom query fsmo
Спойлер для скрыто:
Хозяин схемы                dc-00.PDKKTB.LAN
Хозяин именования доменов   dc-00.PDKKTB.LAN
PDC                         dc-00.PDKKTB.LAN
Диспетчер пула RID          dc-00.PDKKTB.LAN
Хозяин инфраструктуры       dc-00.PDKKTB.LAN
Команда выполнена успешно.
При дальнейшей проверке пошли ошибки:

dcdiag (на DC-00)
Спойлер для скрыто:
Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = dc-00
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DC-00
      Запуск проверки: Connectivity
         ......................... DC-00 - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DC-00
      Запуск проверки: Advertising
         Внимание: DsGetDcName вернул сведения для \\dc01.PDKKTB.LAN при попытке получения доступа к DC-00.
         СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
         ......................... DC-00 - не пройдена проверка Advertising
      Запуск проверки: FrsEvent
         За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
         ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
         ......................... DC-00 - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... DC-00 - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... DC-00 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... DC-00 - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... DC-00 - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... DC-00 - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... DC-00 - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         Не удается подключиться к общему ресурсу NETLOGON. (\\DC-00\netlogon)
         [DC-00] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя..
         ......................... DC-00 - не пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... DC-00 - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... DC-00 - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... DC-00 - пройдена проверка RidManager
      Запуск проверки: Services
         ......................... DC-00 - пройдена проверка Services
      Запуск проверки: SystemLog
         ......................... DC-00 - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         ......................... DC-00 - пройдена проверка VerifyReferences


   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: PDKKTB
      Запуск проверки: CheckSDRefDom
         ......................... PDKKTB- пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... PDKKTB- пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: PDKKTB.LAN
      Запуск проверки: LocatorCheck
         Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1355
         Не удается найти сервер времени.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
         Не удается найти сервер точного времени.
         ......................... PDKKTB.LAN - не пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... PDKKTB.LAN - пройдена проверка Intersite
dcdiag (на DC01)
Спойлер для скрыто:
Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = dc01
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DC01
      Запуск проверки: Connectivity
         ......................... DC01 - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DC01
      Запуск проверки: Advertising
         Внимание: DC01 не объявлен как сервер времени.
         ......................... DC01 - не пройдена проверка Advertising
      Запуск проверки: FrsEvent
         За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
         ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
         ......................... DC01 - не пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... DC01 - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... DC01 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... DC01 - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... DC01 - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... DC01 - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... DC01 - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         ......................... DC01 - пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... DC01 - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... DC01 - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... DC01 - пройдена проверка RidManager
      Запуск проверки: Services
         ......................... DC01 - пройдена проверка Services
      Запуск проверки: SystemLog
         Возникло предупреждение. Код события (EventID): 0x00000081
            Время создания: 01/30/2025   16:48:22
            Строка события:
            NTP-клиенту не удалось задать узел домена в качестве источника времени из-за ошибки обнаружения. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент не найден. (0x800706E1)
         ......................... DC01 - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         ......................... DC01 - пройдена проверка VerifyReferences


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: PDKKTB
      Запуск проверки: CheckSDRefDom
         ......................... PDKKTB- пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... PDKKTB- пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: PDKKTB.LAN
      Запуск проверки: LocatorCheck
         Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355
         Не удается найти основной контроллер домена.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1355
         Не удается найти сервер времени.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
         Не удается найти сервер точного времени.
         ......................... PDKKTB.LAN - не пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... PDKKTB.LAN - пройдена проверка Intersite
На DC-00 (новый) настроил службу времени с синхронизацией из внешних источников. Синхронизация проходит.
На DC01 (старый) настроил синхронизацию с PDC. Синхронизация не проходит:
Спойлер для скрыто:
C:\WINDOWS\system32>w32tm /resync
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.

C:\WINDOWS\system32>w32tm /monitor
DC01.PDKKTB.LAN[[::1]:123]:
    ICMP: 0ms задержка
    NTP: -0.7227527s смещение относительно dc-00.PDKKTB.LAN
        RefID: (не указано или не синхронизировано) [0x00000000]
        Страта: 0
dc-00.PDKKTB.LAN *** PDC ***[192.168.1.2:123]:
    ICMP: 0ms задержка
    NTP: +0.0000000s смещение относительно dc-00.PDKKTB.LAN
        RefID: ntp.ix.ru [194.190.168.1]
        Страта: 2
Старый сервер не понижал и пока боюсь что-то делать с ним, так как на нём висит DFS, сетевыми файлами постоянно пользуются в течение рабочего дня. Я бы уже сделал репликацию на новый, но появляются ошибки и репликация не проходит. Управлять DFS, как я уже упоминал, не могу. Думаю надо сначала исправить ошибки dcdiag, а потом уже синхронизацию и т.д.

Подскажите какие шаги сделать дальше, чтобы исправить ошибки?  :dont_know:

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7246
  • Рейтинг: 49
  • Пол: Мужской
  • Откуда: замкадыш
Сервер времени чини первым
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Timzi

  • Начинающий
  • *
  • Сообщений: 37
  • Рейтинг: 1
    • Просмотр профиля
  • Откуда: Владивосток
Сервер времени чини первым
А может быть это симптомом, а не причиной? Может не сервер времени надо чинить, а другую роль, тогда и сервер времени пойдёт?
Порты открыты (брэндмауэр отключен на обоих), определяются и резолвятся.
PortQry.exe -n dc-00 -p UDP -e 123
Спойлер для скрыто:
Querying target system called:
dc-00
Attempting to resolve name to IP address...
Name resolved to 192.168.1.2
querying...
UDP port 123 (ntp service): LISTENING or FILTERED
Меня смущает вот это:
dcdiag /test:fsmocheck (запустил на старом dc01)
Спойлер для скрыто:
Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = dc01
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DC01
      Запуск проверки: Connectivity
         ......................... DC01 - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DC01


   Выполнение проверок разделов на: ForestDnsZones

   Выполнение проверок разделов на: DomainDnsZones

   Выполнение проверок разделов на: Schema

   Выполнение проверок разделов на: Configuration

   Выполнение проверок разделов на: PDKKTB

   Выполнение проверок предприятия на: PDKKTB.LAN
      Запуск проверки: FsmoCheck
         Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355
         Не удается найти основной контроллер домена.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1355
         Не удается найти сервер времени.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
         Не удается найти сервер точного времени.
         ......................... PDKKTB.LAN - не пройдена проверка FsmoCheck
Может он не может найти PDC, соответственно и не запрашивает у него синхронизацию времени? Может dc01 понизить надо, тогда он будет брать время с нового?
Не могу найти причину отсутствия синхронизации (для начала времени).


Updated: 31 January 2025, 09:32:42

Серьёзно... Я уже не знаю что делать с сервером времени.. Уже пересоздавал, перезапускал, параметры проверял.
Думаю, что не в нём дело, он зависим от какой-то другой доменной роли, которая некорректно захватилась/передалась/настроилась/.....ась
Поставил новую тестовую Win10,привязал к домену (всё прошло как по методичке, без косяков), вошёл под доменной учёткой, тоже всё норм.
w32tm /resync на этом клиенте тоже поругался, что нет доступных источников времени.
Какие ещё есть варианты?
Немного передохну и буду принудительно присваивать все необходимые роли новому КД.

Да, ещё вспомнил, что старый сервер рос с Win 2003 до Win 2016 и у него осталась репликация FRS, а сейчас перевели на DFSR, новый сервер (Win 2016) уже расcчитывает на DFSR  и у них не прошла полная синхронизация. На новом нет netlogon и sysvol.
« Последнее редактирование: 31 января 2025, 09:32:42 от Timzi »