Слетевший домен
Модератор: Модераторы
Сообщений: 10
• Страница 1 из 1
Vitriol » 13 май 2005, 11:09
Ситуация.
Администратор в удаленной фирме поэкспериментировал с доверительными отношениями доменов...
В общем после того как он закончил свое веселье, контроллеры перестали реплицироватся между собой. один из контроллеров потерял в Сайтах и серверах контейнер NTDS settings, кроме того ntdsutil не позволяет приконнектится ни к одному из серверов. кроме одного на который я перевел все роли кроме schema master. утилита AD Scheme не дает возможности перенсти мастера схемы. вместо прежнего владельца роли. пишет ошибку.
ntdsutil
ldap_modify_sW error 0x34(52 (Unavailable).
Ldap extended error message is 000020AF: SvcErr: DSID-032101CF, problem 5002 (UN
AVAILABLE), data 8438
Win32 error returned is 0x20af(The requested FSMO operation failed. The current
FSMO holder could not be contacted.)
Как заставить серваки менятся ролями?
Администратор в удаленной фирме поэкспериментировал с доверительными отношениями доменов...
В общем после того как он закончил свое веселье, контроллеры перестали реплицироватся между собой. один из контроллеров потерял в Сайтах и серверах контейнер NTDS settings, кроме того ntdsutil не позволяет приконнектится ни к одному из серверов. кроме одного на который я перевел все роли кроме schema master. утилита AD Scheme не дает возможности перенсти мастера схемы. вместо прежнего владельца роли. пишет ошибку.
ntdsutil
ldap_modify_sW error 0x34(52 (Unavailable).
Ldap extended error message is 000020AF: SvcErr: DSID-032101CF, problem 5002 (UN
AVAILABLE), data 8438
Win32 error returned is 0x20af(The requested FSMO operation failed. The current
FSMO holder could not be contacted.)
Как заставить серваки менятся ролями?
Vitriol » 13 май 2005, 11:16
Вот пожалуй то, что мне прислали в виде объяснительной..
Вижу что ужас..В майкрософтовских солюшенах говорят что это зло...Знакомые ржут и говорят что за такое увольняют...Что толку...исправлять все равно мне.
КАА- (11:30 AM) :
1. попробовал ввести доверительные отношения для домена gorkaa ( простая локальная машина в с рабочей группой gorkaa ) . не получилось
2. захотель убить это доверие из актив директори . написал ошибка (коталог занят) убить не удалось
3. поставил на gorkaa дополнительный контроллер домена gmz-nn.local
4. снова попробовал убить это доверие из актив директори .опять написал ошибка (коталог занят)
5. раз не чего не получилось решил убрать этот контроллер gorkaa из нашего домена
6. понизить своей консолью до компьютера домена не удолось ( не найден RPC СЕРВЕР)
7. убить из консоли PDC-1 тоже не получилось
решил отключиться от сети ( физически ) и удалить как последний контроллер домена (локально непосредственно из консоли удаления роллей )
8. усебя убил pdc-1 , server-nn и запустил понижение роли ( не получилось )
операция не завершена и чета там вдухе не могу и сообщение что все изменения произошедшие на дааном контроллере не будут сохранены
после этого я включился в сеть и все упало ( все изменения которые я делал перешли на наши сервера и убили их ) восьмой пункт можно еще расписать ( когда я был локально я три роли перевел на себя а то он мне недавал удалять контроллер говорил что прав нет )
Вижу что ужас..В майкрософтовских солюшенах говорят что это зло...Знакомые ржут и говорят что за такое увольняют...Что толку...исправлять все равно мне.
КАА- (11:30 AM) :
1. попробовал ввести доверительные отношения для домена gorkaa ( простая локальная машина в с рабочей группой gorkaa ) . не получилось
2. захотель убить это доверие из актив директори . написал ошибка (коталог занят) убить не удалось
3. поставил на gorkaa дополнительный контроллер домена gmz-nn.local
4. снова попробовал убить это доверие из актив директори .опять написал ошибка (коталог занят)
5. раз не чего не получилось решил убрать этот контроллер gorkaa из нашего домена
6. понизить своей консолью до компьютера домена не удолось ( не найден RPC СЕРВЕР)
7. убить из консоли PDC-1 тоже не получилось
решил отключиться от сети ( физически ) и удалить как последний контроллер домена (локально непосредственно из консоли удаления роллей )
8. усебя убил pdc-1 , server-nn и запустил понижение роли ( не получилось )
операция не завершена и чета там вдухе не могу и сообщение что все изменения произошедшие на дааном контроллере не будут сохранены
после этого я включился в сеть и все упало ( все изменения которые я делал перешли на наши сервера и убили их ) восьмой пункт можно еще расписать ( когда я был локально я три роли перевел на себя а то он мне недавал удалять контроллер говорил что прав нет )
domovoy » 13 май 2005, 11:25
Vitriol
За это не увольняют, за это УБИВАТЬ НУЖНО НА МЕСТЕ
ИМХО свой домен он убил фактически судя по всему.
А теперь опиши, что происходит в твоем домене на данный момент и будем исправлять ситуацию.
Сколько контролеров в каком состоянии АД и реплткация, как все настроено ну и т.д.
ИМХО если хоть один из твоих контролеров жив то все еще поправимо.
За это не увольняют, за это УБИВАТЬ НУЖНО НА МЕСТЕ
ИМХО свой домен он убил фактически судя по всему.
А теперь опиши, что происходит в твоем домене на данный момент и будем исправлять ситуацию.
Сколько контролеров в каком состоянии АД и реплткация, как все настроено ну и т.д.
ИМХО если хоть один из твоих контролеров жив то все еще поправимо.
Правильно заданный вопрос - это уже половина ответа.
Vitriol » 13 май 2005, 11:43
Сенкс...что откликнулись.
Сечас..Куча кирпичей в евент виверах...в основном о репликации....
Два контроллера...на одном стоит Ексчейндж со всеми вытекающими
Называется
PDC-1 на нем 2003 винда. Ntds settings живой...коннектора нет.
Ошибки в эвентвивере связаны с репликацией.
Active Directory failed to construct a mutual authentication service principal name (SPN) for the following domain controller.
Domain controller:
33dba48d-1ee4-4424-8b98-4e44ae140876._msdcs.gmz-nn.local
The call was denied. Communication with this domain controller might be affected.
Этот Контроллер может конектится ntdsutil к второму контроллеру
server-nn 2000 винда..
кторый если посмотреть в sites n services (connect to forest) не имеет контейнера Ntds settings
если приконнектится к нему в тех же сайтах и сервисах В серваках и PDC-1 и Server-NN видим конетейнеры Ntds settings с болтающимся там коннектором к PDC-1 (автоматически генерирован)
Ошибки в эвентвивере:
Directory Service
Ошибка 6(6) (внутренний код 32106f1). Обратитесь в службу поддержки продуктов Microsoft.
Не удалось выполнить автоматическое обновление информации на этом объекте-компьютере и этом объекте-сервере, произошла ошибка 0. Будет сделана новая попытка через 22 мин. DSID 32b033c.
Не удалось выполнить привязку к контроллеру домена. Попытка будет повторена на следующем цикле опроса.
Не удалось инициализировать распределитель идентификаторов учетных записей. Запись данных этого события содержит код ошибки. Система будет пытаться выполнить инициализацию, пока она не будет выполнена успешно, а до тех пор создание учетных записей на этом контроллере домена будет запрещено. Посмотрите другие записи событий SAM в журнале событий, которые могут указывать истинную причину этой ошибки.
Голова уже сломана....Пните если что забыл отреагирую быстренько....
Сечас..Куча кирпичей в евент виверах...в основном о репликации....
Два контроллера...на одном стоит Ексчейндж со всеми вытекающими
Называется
PDC-1 на нем 2003 винда. Ntds settings живой...коннектора нет.
Ошибки в эвентвивере связаны с репликацией.
Active Directory failed to construct a mutual authentication service principal name (SPN) for the following domain controller.
Domain controller:
33dba48d-1ee4-4424-8b98-4e44ae140876._msdcs.gmz-nn.local
The call was denied. Communication with this domain controller might be affected.
Этот Контроллер может конектится ntdsutil к второму контроллеру
server-nn 2000 винда..
кторый если посмотреть в sites n services (connect to forest) не имеет контейнера Ntds settings
если приконнектится к нему в тех же сайтах и сервисах В серваках и PDC-1 и Server-NN видим конетейнеры Ntds settings с болтающимся там коннектором к PDC-1 (автоматически генерирован)
Ошибки в эвентвивере:
Directory Service
Ошибка 6(6) (внутренний код 32106f1). Обратитесь в службу поддержки продуктов Microsoft.
Не удалось выполнить автоматическое обновление информации на этом объекте-компьютере и этом объекте-сервере, произошла ошибка 0. Будет сделана новая попытка через 22 мин. DSID 32b033c.
Не удалось выполнить привязку к контроллеру домена. Попытка будет повторена на следующем цикле опроса.
Не удалось инициализировать распределитель идентификаторов учетных записей. Запись данных этого события содержит код ошибки. Система будет пытаться выполнить инициализацию, пока она не будет выполнена успешно, а до тех пор создание учетных записей на этом контроллере домена будет запрещено. Посмотрите другие записи событий SAM в журнале событий, которые могут указывать истинную причину этой ошибки.
Голова уже сломана....Пните если что забыл отреагирую быстренько....
domovoy » 13 май 2005, 12:21
Vitriol
Если в АД в OU контролеры присуствуют оба сервера (контролера) то имхо для начала просто пересоздай в Сайтах и серверах сервер у которого нет Ntds settings по идее он его сам должен будет создать и создай коннектор на второй севак, в обще востанови репликации в ручном варианте, после этого имхо netdiag /fix и dsdiag /fix первый должен будет пофиксить ошибки в DNS
После этого чистим эвент и запускаем перликацию вручную и смотрим проходит или нет если нет то номера ошибок в студию, или сам смотри поиск расшифровки на странице http://www.networkdoc.ru/insop/online.html
Если в АД в OU контролеры присуствуют оба сервера (контролера) то имхо для начала просто пересоздай в Сайтах и серверах сервер у которого нет Ntds settings по идее он его сам должен будет создать и создай коннектор на второй севак, в обще востанови репликации в ручном варианте, после этого имхо netdiag /fix и dsdiag /fix первый должен будет пофиксить ошибки в DNS
После этого чистим эвент и запускаем перликацию вручную и смотрим проходит или нет если нет то номера ошибок в студию, или сам смотри поиск расшифровки на странице http://www.networkdoc.ru/insop/online.html
Правильно заданный вопрос - это уже половина ответа.
Vitriol » 13 май 2005, 12:43
Начинаем...
Убили Server-NN в сайтах и серверах. персоздал. Нету. нету Ntds Settings
Убили Server-NN в сайтах и серверах. персоздал. Нету. нету Ntds Settings
Vitriol » 13 май 2005, 13:00
Сделал ручные коннекты почистил эвентвивер реплицируем.
Ошибка
PDC-1
An attempt to transfer the operations master role represented by the following object failed.
Object:
CN=Schema,CN=Configuration,DC=gmz-nn,DC=local
Current operations master role:
CN=NTDS Settings\0ADEL:33dba48d-1ee4-4424-8b98-4e44ae140876,CN=SERVER-NN\0ADEL:507ee8c1-1b87-4b33-96fe-da71228a5d07,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=gmz-nn,DC=local
Proposed operations master role:
CN=NTDS Settings,CN=PDC-1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=gmz-nn,DC=local
Additional Data
Error value:
8
Server-NN
На другом конце
Ошибка 6(6) (внутренний код 32106f1). Обратитесь в службу поддержки продуктов Microsoft.
Ошибка
PDC-1
An attempt to transfer the operations master role represented by the following object failed.
Object:
CN=Schema,CN=Configuration,DC=gmz-nn,DC=local
Current operations master role:
CN=NTDS Settings\0ADEL:33dba48d-1ee4-4424-8b98-4e44ae140876,CN=SERVER-NN\0ADEL:507ee8c1-1b87-4b33-96fe-da71228a5d07,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=gmz-nn,DC=local
Proposed operations master role:
CN=NTDS Settings,CN=PDC-1,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Configuration,DC=gmz-nn,DC=local
Additional Data
Error value:
8
Server-NN
На другом конце
Ошибка 6(6) (внутренний код 32106f1). Обратитесь в службу поддержки продуктов Microsoft.
domovoy » 13 май 2005, 13:51
Vitriol
1. Проверяем служебные записи контролеров в ДНС
Основная часть их дублирует оба контролера, одиночны только записи относящиеся к ролям и GC. Если чего оо нет можно внести в ручную или
2. прогоняем на основном контролере netdiag /fix, как замечание в некоторых случаях он фиксит структуру служебных записей в ДНС только после полного удаления служебных папок, если выйдет так, то просто скажи сначала ДНС сохранить данные, а потом скопируй куда нибуть файл конфига, если что его можно будет подложить обратно.
1. Проверяем служебные записи контролеров в ДНС
Основная часть их дублирует оба контролера, одиночны только записи относящиеся к ролям и GC. Если чего оо нет можно внести в ручную или
2. прогоняем на основном контролере netdiag /fix, как замечание в некоторых случаях он фиксит структуру служебных записей в ДНС только после полного удаления служебных папок, если выйдет так, то просто скажи сначала ДНС сохранить данные, а потом скопируй куда нибуть файл конфига, если что его можно будет подложить обратно.
| Цитата |
| Ошибка
PDC-1 An attempt to transfer the operations master role represented by the following object failed. [/quote] Event ID ошибки какой ? Правильно заданный вопрос - это уже половина ответа.
.................................
Computer Name: PDC-1 DNS Host Name: pdc-1.gmz-nn.local System info : Windows 2000 Server (Build 3790) Processor : x86 Family 15 Model 2 Stepping 9, GenuineIntel List of installed hotfixes : Q147222 Netcard queries test . . . . . . . : Passed Per interface results: Adapter : Local Area Connection 2 Netcard queries test . . . : Passed Host Name. . . . . . . . . : pdc-1.gmz-nn.local IP Address . . . . . . . . : 192.168.1.254 Subnet Mask. . . . . . . . : 255.255.255.0 Default Gateway. . . . . . : 192.168.1.243 NetBIOS over Tcpip . . . . : Disabled Dns Servers. . . . . . . . : 192.168.1.254 AutoConfiguration results. . . . . . : Passed Default gateway test . . . : Passed WINS service test. . . . . : Skipped NetBT is disable on this interface. [Test skipped]. Global results: Domain membership test . . . . . . : Passed NetBT transports test. . . . . . . : Skipped There are no interfaces that have NetBT enabled. [Test skipped] Autonet address test . . . . . . . : Passed IP loopback ping test. . . . . . . : Passed Default gateway test . . . . . . . : Passed NetBT name test. . . . . . . . . . : Skipped There are no interfaces that have NetBT enabled. [Test skipped] Winsock test . . . . . . . . . . . : Passed DNS test . . . . . . . . . . . . . : Passed PASS - All the DNS entries for DC are registered on DNS server '192.168.1.25 4' and other DCs also have some of the names registered. Redir and Browser test . . . . . . : Skipped There are no interfaces that have NetBT enabled. [Test skipped] DC discovery test. . . . . . . . . : Passed DC list test . . . . . . . . . . . : Passed Trust relationship test. . . . . . : Skipped Kerberos test. . . . . . . . . . . : Passed LDAP test. . . . . . . . . . . . . : Passed Bindings test. . . . . . . . . . . : Passed WAN configuration test . . . . . . : Skipped No active remote access connections. Modem diagnostics test . . . . . . : Passed IP Security test . . . . . . . . . : Skipped Note: run "netsh ipsec dynamic show /?" for more detailed information The command completed successfully --------------------------- Replicate Now --------------------------- The following error occurred during the attempt to synchronize naming context gmz-nn.local from domain controller PDC-1 to domain controller SERVER-NN: Not enough storage is available to complete this operation. This operation will not continue. --------------------------- OK ---------------------------
Сообщений: 10
• Страница 1 из 1
Вернуться в Сетевые операционные системы Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16 |