Погода: -12°C
  • Народ! Помогите, плиз, если кто сталкивался. Нужно восстановить домен. А ситуация следующая:

    Есть (или был...) домен, 2 контроллера с Win2k3, вроде все работало. Неделю назад переустановил систему на одном из них (предварительно понизив его до сервера, а потом снова добавив как DC). Все вроде шоколадно было. И вот сегодня, хотел переставить систему на другом из них и тоже решил demote-нуть его до сервера, а он начал материться, что он больше домен контроллеров не видит и все такое.... (Т.е. действий никаких не совершалось - только была 3 раза нажада кнопочка next в dcpromo, а потом, соответственно облом). И тут началось.... Не знаю, почему именно, но оба контроллера отказываются теперь работать. Т.е. загружаться они загружаются, но на каждом из них в event viewer-е ошибки на тему невозможности репликации, невозможности определить домен в сети и т.п.... Точно ID не помню... Перетряс хелп по Active Directory Troubleshooting, technet и Google, но так и не смог пофиксить все это. В процессе "перетряса" поорудовал ntdsutil, и пробовал seize все роли то на один, то на другой, не помогло... С DNS и на одной, и на другой машине все в порядке... На 100 раз проверил... Никаких firewall-ов на машинах не стоит, да и если бы и стояли - все работало вроде бы... Клиенты домен не видят, хотя по FQDN DC пингуется... На обоих домен-контроллерах почему-то нету шары SYSVOL и NETLOGON. Насолько я знаю, они должны быть. Пробовал создавать руками, после перезагрузки исчезали. Причем в Event Viewer-е одного из компов есть ошибки, что "active directory promotion (или вроде того) еще не до конца закончен, и поэтому когда что-то там завершиться, sysvol появится", причем это тот DC, который как раз старый, и переставлялся он в августе...

    Кто-нибудь может сказать, что можно сделать, чтобы хотя бы на одном из них можно было AD восстановить? Кстати, сама AD как ни странно, работает, и snap-in Active Directory Users & Computers, Domains & Trusts, Sites & Services - работают, а домен даже на домен-контроллере не видится. При этом грузится теперь DC минут 10 (долго ждет на этапе preparing network connections, т.е. сервисы запускает), в event viewer-е больше всего ошибок LsaSrv, есть кажется одна netlogon и еще несколько (ID и описания я не помню, т.к. сейчас дома).

    Можно ли это восстановить, или уже нужно морально готовиться переделывать всю директорию с нуля? А то юзеров то за компы не пускает, говорит, что "домен не найден"...

    Завтра будет лучше!!! ©
    Whatever you do - do it at Microsoft!

  • а что видно в этих обвязках, если говоришь что они запускаются, потому как сам факт запуска, это еще ничего не значит? AD Sites and services и AD Users and Computers? логи бы поконкретнее, но имхо.... а AD толстый? не проще ли будет те переустановить его.... бэкапить все нада ))))) о это уже риторика.... хотелось бы поиметь ответы на два первых вопроса... да еще а в днс что именно, там ссылки на глобальный каталог итд. остались скажи что там в разделе _tcp например

  • Урааааа!!!! Я все-таки победил домен!!! И поднял его!!!!

    О том, как этом у меня все-таки получилось, можно почитать тут: http://forum.ixbt.com/0022/046584.html. Там правда остались еще ошибки в Event Viewer'е:

    Во вкладках Application, Directory Service, DNS Server, File Replication Service и Security в Event Viewer-е ошибок нет..
    Остались следующие ошибки во владке System:
    (warning) LsaSrv 40960 в следующий вариациях:
    The Security System detected an authentication error for the server #SERVER#. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
    (0xc000005e)"., где #SERVER# принимает следующие значения (несколько ошибок): "" (в смысле вообще ничего там нет - пробел и точка), "cifs/SERVER_NAME", "LDAP/Localhost", "ldap/SERVER_NAME.FQDN" и опять "LDAP/SERVER_NAME". Следом за каждый таким варнингом дуплетом следует варнинг LsaSrv 40961:
    The Security System could not establish a secured connection with the server #SERVER#. No authentication protocol was available. с теми же значениями #SERVER#.

    Что бы это могло быть? Что за logon servers?

    А еще есть такие ошибки:
    Error DHCPServer 1059 - The DHCP service failed to see a directory server for authorization.
    Следом следует Information DHCPServer 1044 - The DHCP/BINL service on the local machine, belonging to the Windows Administrative domain ad.afti.nsu.ru, has determined that it is authorized to start. It is servicing clients now.
    А следом опять Error DHCPServer 1059 - The DHCP service failed to see a directory server for authorization.

    Но в итоге DHCP все-таки работает.... Странно как-то...

    ЗЫ: Насчет бэкапов согласен... Но почему-то я полностью расчитывал на надежность бэкапа в виде связки 2-х DC, а оказалось нет... Видимо надо все-таки иногда бэкапить образ системы....

    Завтра будет лучше!!! ©
    Whatever you do - do it at Microsoft!

  • А на котором из серваков работал DHCP?

  • На том, на котором она сейчас и есть (на том, что я восстанавливал).

    ЗЫ: Раньше DHCP была на обоих серваках, но на втором она почему-то глючила и время от времени очищала (!) настройки Scope Options, и соответственно иногда клиенты получали только IP-шник, а поля DNS, Router и т.д. оставались у них пустыми. За другим же DHCP сервером таких глюков замечено не было... Я тогда просто снес DHCP на 2-м серваке, и все стало замечательно. Но было это все где-то месяц назад.

    Завтра будет лучше!!! ©
    Whatever you do - do it at Microsoft!

  • Не знаю, у кого как, а у меня в сети DHCP живет только на тачке с определенным IP-адресом. Все попытки перенести его на другой компьютер успеха не приносили. Компу приходилось давать все тот же определенный IP. Я уже голову сломала над этой проблемой... О том, чтобы поднять резервный DHCP даже речи нет, он просто не будет работать...

    А что теперь делать... Делай резервный контроллер домена, а потом переначиняй основной. Что тут еще сделаешь... Ну и бэкап АД первым делом, понятно...

Записей на странице:

Перейти в форум

Модераторы: