Слетевший домен

Обсуждение сетевых операционных систем и их применения (Windows, Linux, FreeBSD, Novell и т.д.)

Модератор: Модераторы

Новый участник
Сообщения: 6
Зарегистрирован: 13 май 2005, 10:29
Откуда: Москва

Сообщение Vitriol » 13 май 2005, 11:09

Ситуация.
Администратор в удаленной фирме поэкспериментировал с доверительными отношениями доменов...
В общем после того как он закончил свое веселье, контроллеры перестали реплицироватся между собой. один из контроллеров потерял в Сайтах и серверах контейнер NTDS settings, кроме того ntdsutil не позволяет приконнектится ни к одному из серверов. кроме одного на который я перевел все роли кроме schema master. утилита AD Scheme не дает возможности перенсти мастера схемы. вместо прежнего владельца роли. пишет ошибку.
ntdsutil
ldap_modify_sW error 0x34(52 (Unavailable).
Ldap extended error message is 000020AF: SvcErr: DSID-032101CF, problem 5002 (UN
AVAILABLE), data 8438

Win32 error returned is 0x20af(The requested FSMO operation failed. The current
FSMO holder could not be contacted.)

Как заставить серваки менятся ролями?

Новый участник
Сообщения: 6
Зарегистрирован: 13 май 2005, 10:29
Откуда: Москва

Сообщение Vitriol » 13 май 2005, 11:16

Вот пожалуй то, что мне прислали в виде объяснительной..
Вижу что ужас..В майкрософтовских солюшенах говорят что это зло...Знакомые ржут и говорят что за такое увольняют...Что толку...исправлять все равно мне.
КАА- (11:30 AM) :
1. попробовал ввести доверительные отношения для домена gorkaa ( простая локальная машина в с рабочей группой gorkaa ) . не получилось
2. захотель убить это доверие из актив директори . написал ошибка (коталог занят) убить не удалось
3. поставил на gorkaa дополнительный контроллер домена gmz-nn.local
4. снова попробовал убить это доверие из актив директори .опять написал ошибка (коталог занят)
5. раз не чего не получилось решил убрать этот контроллер gorkaa из нашего домена
6. понизить своей консолью до компьютера домена не удолось ( не найден RPC СЕРВЕР)
7. убить из консоли PDC-1 тоже не получилось
решил отключиться от сети ( физически ) и удалить как последний контроллер домена (локально непосредственно из консоли удаления роллей )
8. усебя убил pdc-1 , server-nn и запустил понижение роли ( не получилось )
операция не завершена и чета там вдухе не могу и сообщение что все изменения произошедшие на дааном контроллере не будут сохранены

после этого я включился в сеть и все упало ( все изменения которые я делал перешли на наши сервера и убили их ) восьмой пункт можно еще расписать ( когда я был локально я три роли перевел на себя а то он мне недавал удалять контроллер говорил что прав нет )

Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 13 май 2005, 11:25

Vitriol
За это не увольняют, за это УБИВАТЬ НУЖНО НА МЕСТЕ :wacko:
ИМХО свой домен он убил фактически судя по всему.

А теперь опиши, что происходит в твоем домене на данный момент и будем исправлять ситуацию.
Сколько контролеров в каком состоянии АД и реплткация, как все настроено ну и т.д.
ИМХО если хоть один из твоих контролеров жив то все еще поправимо.
Правильно заданный вопрос - это уже половина ответа.

Новый участник
Сообщения: 6
Зарегистрирован: 13 май 2005, 10:29
Откуда: Москва

Сообщение Vitriol » 13 май 2005, 11:43

Сенкс...что откликнулись.
Сечас..Куча кирпичей в евент виверах...в основном о репликации....
Два контроллера...на одном стоит Ексчейндж со всеми вытекающими
Называется
PDC-1 на нем 2003 винда. Ntds settings живой...коннектора нет.
Ошибки в эвентвивере связаны с репликацией.
Active Directory failed to construct a mutual authentication service principal name (SPN) for the following domain controller.

Domain controller:
33dba48d-1ee4-4424-8b98-4e44ae140876._msdcs.gmz-nn.local

The call was denied. Communication with this domain controller might be affected.

Этот Контроллер может конектится ntdsutil к второму контроллеру

server-nn 2000 винда..
кторый если посмотреть в sites n services (connect to forest) не имеет контейнера Ntds settings
если приконнектится к нему в тех же сайтах и сервисах В серваках и PDC-1 и Server-NN видим конетейнеры Ntds settings с болтающимся там коннектором к PDC-1 (автоматически генерирован)

Ошибки в эвентвивере:
Directory Service
Ошибка 6(6) (внутренний код 32106f1). Обратитесь в службу поддержки продуктов Microsoft.

Не удалось выполнить автоматическое обновление информации на этом объекте-компьютере и этом объекте-сервере, произошла ошибка 0. Будет сделана новая попытка через 22 мин. DSID 32b033c.


Не удалось выполнить привязку к контроллеру домена. Попытка будет повторена на следующем цикле опроса.

Не удалось инициализировать распределитель идентификаторов учетных записей. Запись данных этого события содержит код ошибки. Система будет пытаться выполнить инициализацию, пока она не будет выполнена успешно, а до тех пор создание учетных записей на этом контроллере домена будет запрещено. Посмотрите другие записи событий SAM в журнале событий, которые могут указывать истинную причину этой ошибки.

Голова уже сломана....Пните если что забыл отреагирую быстренько....

Администратор
Аватара пользователя
Сообщения: 2875
Зарегистрирован: 05 янв 2004, 17:21
Откуда: Москва

Сообщение GifteD » 13 май 2005, 11:58

Vitriol
dcdiag в студию и netdiag. Для наглядности происходящего.

Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 13 май 2005, 12:21

Vitriol
Если в АД в OU контролеры присуствуют оба сервера (контролера) то имхо для начала просто пересоздай в Сайтах и серверах сервер у которого нет Ntds settings по идее он его сам должен будет создать и создай коннектор на второй севак, в обще востанови репликации в ручном варианте, после этого имхо netdiag /fix и dsdiag /fix первый должен будет пофиксить ошибки в DNS

После этого чистим эвент и запускаем перликацию вручную и смотрим проходит или нет если нет то номера ошибок в студию, или сам смотри поиск расшифровки на странице http://www.networkdoc.ru/insop/online.html
Правильно заданный вопрос - это уже половина ответа.

Новый участник
Сообщения: 6
Зарегистрирован: 13 май 2005, 10:29
Откуда: Москва

Сообщение Vitriol » 13 май 2005, 12:43

Начинаем...
Убили Server-NN в сайтах и серверах. персоздал. Нету. нету Ntds Settings

Новый участник
Сообщения: 6
Зарегистрирован: 13 май 2005, 10:29
Откуда: Москва

Сообщение Vitriol » 13 май 2005, 13:00

Сделал ручные коннекты почистил эвентвивер реплицируем.
Ошибка

PDC-1
An attempt to transfer the operations master role represented by the following object failed.

Object:
CN=Schema,CN=Configuration,DC=gmz-nn,DC=local
Current operations master role:
CN=NTDS Settings\0ADEL:33dba48d-1ee4-4424-8b98-4e44ae140876,CN=SERVER-NN\0ADEL:507ee8c1-1b87-4b33-96fe-da71228a5d07,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=gmz-nn,DC=local
Proposed operations master role:
CN=NTDS Settings,CN=PDC-1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=gmz-nn,DC=local

Additional Data
Error value:
8


Server-NN

На другом конце
Ошибка 6(6) (внутренний код 32106f1). Обратитесь в службу поддержки продуктов Microsoft.

Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 13 май 2005, 13:51

Vitriol
1. Проверяем служебные записи контролеров в ДНС
Основная часть их дублирует оба контролера, одиночны только записи относящиеся к ролям и GC. Если чего оо нет можно внести в ручную или
2. прогоняем на основном контролере netdiag /fix, как замечание в некоторых случаях он фиксит структуру служебных записей в ДНС только после полного удаления служебных папок, если выйдет так, то просто скажи сначала ДНС сохранить данные, а потом скопируй куда нибуть файл конфига, если что его можно будет подложить обратно.
Цитата
Ошибка
PDC-1
An attempt to transfer the operations master role represented by the following object failed.
[/quote]

Event ID ошибки какой ?
Правильно заданный вопрос - это уже половина ответа.

Новый участник
Сообщения: 6
Зарегистрирован: 13 май 2005, 10:29
Откуда: Москва

Сообщение Vitriol » 13 май 2005, 13:58

.................................

Computer Name: PDC-1
DNS Host Name: pdc-1.gmz-nn.local
System info : Windows 2000 Server (Build 3790)
Processor : x86 Family 15 Model 2 Stepping 9, GenuineIntel
List of installed hotfixes :
Q147222


Netcard queries test . . . . . . . : Passed



Per interface results:

Adapter : Local Area Connection 2

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : pdc-1.gmz-nn.local
IP Address . . . . . . . . : 192.168.1.254
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.1.243
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . : 192.168.1.254


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed


WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Skipped
There are no interfaces that have NetBT enabled. [Test skipped]


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Skipped
There are no interfaces that have NetBT enabled. [Test skipped]


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.1.25
4' and other DCs also have some of the names registered.


Redir and Browser test . . . . . . : Skipped
There are no interfaces that have NetBT enabled. [Test skipped]


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

---------------------------
Replicate Now
---------------------------
The following error occurred during the attempt to synchronize naming context gmz-nn.local from domain controller PDC-1 to domain controller SERVER-NN:

Not enough storage is available to complete this operation.



This operation will not continue.
---------------------------
OK
---------------------------

Вернуться в Сетевые операционные системы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 25