Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

WinCity.Ru _ Microsoft Windows Server 2003 _ Проблема переноса/репликации КД

Автор: Yellow Submarine Суббота, 28 Ноября 2009, 12:36

Добрый день.
Мучаюсь уже 2 дня с проблемой. В офисной сети пытаюсь перенести КД с одной машины на другую. Для этого всё стандартно :

подключил второй сервер
поставил на нём AD
перенёс настройки DHCP
DNS зона реплицировалась автоматом на новый КД

На второй КД также перенеслись все учётки со старого КД, однако, упорно не хотят переноситься групповые политики и папка sysvol. Более того, видимо, из-за неполной репликации постоянно блокируются учётные записи. DCDiag ругается на Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC., не пойму где копать. На обоих КД первичный ДНС - собственный IP, вторичный - IP другого КД

dcdiag для старого КД :

Код

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-NameFPSERVER
Starting test: Connectivity
......................... FPSERVER passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-NameFPSERVER
Starting test: Replications
......................... FPSERVER passed test Replications
Starting test: NCSecDesc
......................... FPSERVER passed test NCSecDesc
Starting test: NetLogons
......................... FPSERVER passed test NetLogons
Starting test: Advertising
......................... FPSERVER passed test Advertising
Starting test: KnowsOfRoleHolders
......................... FPSERVER passed test KnowsOfRoleHolders
Starting test: RidManager
......................... FPSERVER passed test RidManager
Starting test: MachineAccount
......................... FPSERVER passed test MachineAccount
Starting test: Services
......................... FPSERVER passed test Services
Starting test: ObjectsReplicated
......................... FPSERVER passed test ObjectsReplicated
Starting test: frssysvol
......................... FPSERVER passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause

Group Policy problems.
......................... FPSERVER failed test frsevent
Starting test: kccevent
......................... FPSERVER passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x825A0011
Time Generated: 11/28/2009 02:23:12
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00003006
Time Generated: 11/28/2009 02:30:45
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 11/28/2009 02:37:05
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 11/28/2009 02:37:11
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 11/28/2009 02:49:48
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 11/28/2009 02:49:51
(Event String could not be retrieved)
......................... FPSERVER failed test systemlog
Starting test: VerifyReferences
......................... FPSERVER passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : office
Starting test: CrossRefValidation
......................... office passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... office passed test CheckSDRefDom

Running enterprise tests on : office.mysite.ru
Starting test: Intersite
......................... office.mysite.ru passed test Intersite
Starting test: FsmoCheck
......................... office.mysite.ru passed test FsmoCheck

netdiag для старого КД :

Код

.......................................

Computer Name: FPSERVER
DNS Host Name: fpserver.office.mysite.ru
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 15 Model 3 Stepping 3, GenuineIntel

Netcard queries test . . . . . . . : Passed
[WARNING] The net card 'Минипорт WAN (IP) - TMeter Miniport' may not be working because it has not received any packets.
GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Минипорт WAN (IP) - Минипорт планировщика пакетов' may not be working because it has not received any packets.
[WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
[WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
[WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Сетевой адаптер 1394' may not be working because it has not received any packets.

Per interface results:

Adapter : Подключение по локальной сети

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : fpserver
IP Address . . . . . . . . : 10.100.0.200
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 10.100.0.201
Dns Servers. . . . . . . . : 10.100.0.200
10.100.0.32

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Adapter : Подключение по локальной сети 2

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : fpserver
IP Address . . . . . . . . : 86.223.61.62
Subnet Mask. . . . . . . . : 255.255.255.240
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 86.223.61.62

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.
No remote names have been found.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{7AEF7ED2-490C-4F06-96B9-4FD7F7661D39}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed
[WARNING] Cannot find a primary authoritative DNS server for the name
'fpserver.office.mysite.ru.'. [ERROR_TIMEOUT]
The name 'fpserver.office.mysite.ru.' may not be registered in DNS.
PASS - All the DNS entries for DC are registered on DNS server '10.100.0.200' and other DCs also have some of the names registered.
PASS - All the DNS entries for DC are registered on DNS server '10.100.0.32' and other DCs also have some of the names registered.
[WARNING] The DNS entries for this DC cannot be verified right now on DNS server 86.223.61.62, ERROR_TIMEOUT.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{7AEF7ED2-490C-4F06-96B9-4FD7F7661D39}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{7AEF7ED2-490C-4F06-96B9-4FD7F7661D39}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

dcdiag для нового КД

Код

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-NameFPSERVER-2
Starting test: Connectivity
......................... FPSERVER-2 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-NameFPSERVER-2
Starting test: Replications
......................... FPSERVER-2 passed test Replications
Starting test: NCSecDesc
......................... FPSERVER-2 passed test NCSecDesc
Starting test: NetLogons
Unable to connect to the NETLOGON share! (\FPSERVER-2netlogon)
[FPSERVER-2] An net use or LsaPolicy operation failed with error 1203, ЌЁ ®¤ Ё§ б«г¦Ў ¤®бвгЇ Є бҐвЁ Ґ б¬®Ј« ®Ўа Ў®в вм § ¤ л© бҐвҐў®© Їгвм..
......................... FPSERVER-2 failed test NetLogons
Starting test: Advertising
Warning: DsGetDcName returned information for \fpserver.office.mysite.ru, when we were trying to reach FPSERVER-2.
Server is not responding or is not considered suitable.
......................... FPSERVER-2 failed test Advertising
Starting test: KnowsOfRoleHolders
......................... FPSERVER-2 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... FPSERVER-2 passed test RidManager
Starting test: MachineAccount
......................... FPSERVER-2 passed test MachineAccount
Starting test: Services
......................... FPSERVER-2 passed test Services
Starting test: ObjectsReplicated
......................... FPSERVER-2 passed test ObjectsReplicated
Starting test: frssysvol
......................... FPSERVER-2 passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause

Group Policy problems.
......................... FPSERVER-2 failed test frsevent
Starting test: kccevent
......................... FPSERVER-2 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 11/28/2009 02:38:42
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 11/28/2009 02:38:42
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 11/28/2009 02:38:49
(Event String could not be retrieved)
......................... FPSERVER-2 failed test systemlog
Starting test: VerifyReferences
......................... FPSERVER-2 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : office
Starting test: CrossRefValidation
......................... office passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... office passed test CheckSDRefDom

Running enterprise tests on : office.mysite.ru
Starting test: Intersite
......................... office.mysite.ru passed test Intersite
Starting test: FsmoCheck
......................... office.mysite.ru passed test FsmoCheck

netdiag для нового КД

Код

.....................................

Computer Name: FPSERVER-2
DNS Host Name: fpserver-2.office.mysite.ru
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 6 Model 23 Stepping 10, GenuineIntel

Netcard queries test . . . . . . . : Passed
GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
[WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
[WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

Per interface results:

Adapter : Подключение по локальной сети

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : fpserver-2
IP Address . . . . . . . . : 10.100.0.32
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 10.100.0.200
Dns Servers. . . . . . . . : 10.100.0.32
10.100.0.200

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.

Global results:

[B]Domain membership test . . . . . . : Failed
[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.[/B]

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{7E2768A6-41A6-47EE-B95D-61CE69058038}
1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '10.100.0.32' and other DCs also have some of the names registered.
PASS - All the DNS entries for DC are registered on DNS server '10.100.0.200' and other DCs also have some of the names registered.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{7E2768A6-41A6-47EE-B95D-61CE69058038}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{7E2768A6-41A6-47EE-B95D-61CE69058038}
The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Passed
Secure channel for domain 'OFFICE' is to '\fpserver.office.mysite.ru'.

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

Автор: Yellow Submarine Воскресенье, 29 Ноября 2009, 18:10

Сам спросил - сам ответил, может быть кому-то будет полезно. Причина была в унаследованном старом КД. Ошибка с репликацией на нём. Решение - http://support.microsoft.com/kb/290762/

Автор: Yellow Submarine Понедельник, 30 Ноября 2009, 12:27

Однако осталась проблема с блокированием всех учёток. В логах безопасности постоянно появляются сообщения в входе/выходе разных учёток. Где копать ?

user posted image

Код

Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 538
Дата: 30.11.2009
Время: 12:06:24
Пользователь: OFFICEABorisov
Компьютер: FPSERVER
Описание:
Выход пользователя из системы:
Пользователь: ABorisov
Домен: OFFICE
Код входа: (0x0,0x21A88B)
Тип входа: 3

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Код

Тип события: Аудит успехов
Источник события: Security
Категория события: Вход учетной записи
Код события: 680
Дата: 30.11.2009
Время: 12:06:24
Пользователь: OFFICEABorisov
Компьютер: FPSERVER
Описание:
Попытка входа выполнена: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: ABorisov
Исходная рабочая станция: ABORISOV-WKS
Код ошибки: 0x0

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Код

Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 30.11.2009
Время: 12:06:24
Пользователь: OFFICEABorisov
Компьютер: FPSERVER
Описание:
Успешный сетевой вход в систему:
Пользователь: ABorisov
Домен: OFFICE
Код входа: (0x0,0x21B638)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: ABORISOV-WKS
Код GUID: -
Имя вызывающего пользователя: -
Домен вызывающего: -
Код входа вызывающего: -
Код процесса вызывающего: -
Промежуточные службы:-
Адрес сети источника: 10.100.0.6
Порт источника: 0

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Автор: Egor Понедельник, 30 Ноября 2009, 13:08

А с чего ты взял, что блокируются? Ну вот хотя-бы один аргумент?

ЗЫ Или ты никогда не встречал строки " Аудит отказа"?

Автор: Yellow Submarine Понедельник, 30 Ноября 2009, 13:55

Видимо с того, что через некоторое время пользователи, включая мой логин, не могут залогиниться в систему с ошибкой - ваша учётная запись заблокирована. В базе АД на всех учётках стоит галка - "заблокировать учётную запись"

Автор: Optiman Понедельник, 30 Ноября 2009, 15:20

Цитата(Yellow Submarine @ Суббота, 28 Ноября 2009, 15:36)

На обоих КД первичный ДНС - собственный IP, вторичный - IP другого КД

Была подобная проблема. 2 недели маялся, кучу советов перекопал.
Проверь на обоих серверах, есть ли доступ к папкам NETLOGON и SYSVOL (страй домен должен пускать нового и наоборот). Если нет доступа, на первом DC (как я понимаю им является старый сервер) в настройках TCP/IP удали из списка ДНС все IP-шники. Когда нажмешь ОК, у тебя сервер сообшит, что-то типа: раз нет никакого IP в списке ДНС, то этот сервер будет выступать, как главный ДНС-сервер. Тогда появится доступ к папкам NETLOGON и SYSVOL и пойдет репликация.

Автор: Yellow Submarine Понедельник, 30 Ноября 2009, 15:33

Спасибо за ответ. С репликацией проблем нет, системные папки шарятся и синхронизируются, доступ к ним есть, решение я уже писал. Игры с днс не помогали.

По теме, сбросил групповые политики. Пока учётки не блокируются, заодно прогнал тест на вирус KIDO. На моей машине и старом КД он был. Буду прогонять на остальных клиентских машинах. Не понятна причина массовых блокировок всех учёток, даже тех, которые не используются. Неужели это из-за того что КИДО сидел на КД ?

Автор: Egor Понедельник, 30 Ноября 2009, 20:10

Цитата(Yellow Submarine @ Сегодня, 15:33)

На моей машине и старом КД он был.

Круто. На DC KIDO.
использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.
http://www.ixbt.com/news/soft/index.shtml?11/76/78

Цитата(Yellow Submarine @ Сегодня, 13:55)

В базе АД на всех учётках стоит галка - "заблокировать учётную запись"

Подсказать, когда такая "галочка" появляется?

IMHO после KIDO, вполне возможно, что на DC вообще целый зверинец.

Автор: Yellow Submarine Понедельник, 30 Ноября 2009, 21:46

Всяко может быть, КД достался в наследство, на антивирусы никто разоряться не хотел, вот и результат.

Цитата

Подсказать, когда такая "галочка" появляется?

Не стоит себя так утруждать

Автор: Egor Понедельник, 30 Ноября 2009, 22:09

Как скажешь

ЗЫ Проблема решена?

Автор: Yellow Submarine Понедельник, 30 Ноября 2009, 22:32

Пока не знаю, мне думается, что блокироваться они перестали из-за того, что я сбросил политики и теперь в свойствах безопасности вообще нет условий по их блокировке + погасил на время новый КД. На моём рабочем ПК, кстати, стоит касперский, но никаких вирусов не находил. А софтина от того же касперского по ликвидации КИДО что-то нашла... Странно это всё... Да и сайты у меня все всегда работали, а КИДО сайты производителей антивирусов блокирует. В логах безопасности нормально, что за одну секунду происходит куча событий по входу/выходу ? В принципе через пару дней я всё равно полностью переползу на новый КД, а старый погашу, но хотелось бы понять в чём проблема.