Служба сервера не смогла установить соответствие для кода ошибки 1355

Всем привет! Прошу помощи по AD, создаю новый домен в новом лесу на платформе Windows Server 2012 Std, после перезагрузки все службы выдают: 1355 Указанный домен не существует или к нему невозможно подключиться.

По порядку.

Аппаратная платформа: HP ML350 Gen9 RAID1 2×1Тб.

ОС: Windows Server 2012 (на время экспериментов ознакомительная версия) обновления установлены.

Ошибки в логах:

Лог Directory Service

Имя журнала:   Directory Service
Источник:      Microsoft-Windows-ActiveDirectory_DomainService
Дата:          10.01.2015 22:26:11
Код события:   1126
Категория задачи:Глобальный каталог
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  АНОНИМНЫЙ ВХОД
Компьютер:     DC.NOVPT.local
Описание:
Доменным службам Active Directory не удается подключиться к глобальному каталогу.

 

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.

Внутренний идентификатор:
3200e24

 
Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»Microsoft-Windows-ActiveDirectory_DomainService» Guid=»{0e8478c5-3605-4e8c-8497-1e730c959516}» EventSourceName=»NTDS General» />
    <EventID Qualifiers=»49152″>1126</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>18</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime=»2015-01-10T19:26:11.264976000Z» />
    <EventRecordID>78</EventRecordID>
    <Correlation />
    <Execution ProcessID=»572″ ThreadID=»764″ />
    <Channel>Directory Service</Channel>
    <Computer>DC.NOVPT.local</Computer>
    <Security UserID=»S-1-5-7″ />
  </System>
  <EventData>
    <Data>3200e24</Data>
    <Data>1355</Data>
    <Data>Указанный домен не существует или к нему невозможно подключиться.</Data>
  </EventData>
</Event>

—————

Имя журнала:   Directory Service
Источник:      Microsoft-Windows-ActiveDirectory_DomainService
Дата:          10.01.2015 22:27:38
Код события:   1844
Категория задачи:Разрешение имен
Уровень:       Предупреждение
Ключевые слова:Классический
Пользователь:  NOVPTАдминистратор
Компьютер:     DC.NOVPT.local
Описание:
Локальному контроллеру домена не удается подключиться к следующему контроллеру домена, хранящему следующий раздел каталога, для разрешения различающихся имен.

 
Контроллер домена:

 
Раздел каталога:
NOVPT.local

 

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.

Внутренний ID:
3200e24
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»Microsoft-Windows-ActiveDirectory_DomainService» Guid=»{0e8478c5-3605-4e8c-8497-1e730c959516}» EventSourceName=»NTDS General» />
    <EventID Qualifiers=»32768″>1844</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>13</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime=»2015-01-10T19:27:38.317390400Z» />
    <EventRecordID>79</EventRecordID>
    <Correlation />
    <Execution ProcessID=»572″ ThreadID=»1352″ />
    <Channel>Directory Service</Channel>
    <Computer>DC.NOVPT.local</Computer>
    <Security UserID=»S-1-5-21-765395494-3087550675-3061494156-500″ />
  </System>
  <EventData>
    <Data>NOVPT.local</Data>
    <Data>1355</Data>
    <Data>3200e24</Data>
    <Data>Указанный домен не существует или к нему невозможно подключиться.</Data>
    <Data>
    </Data>
  </EventData>
</Event>

===========

Лог DNS

Имя журнала:   DNS Server
Источник:      Microsoft-Windows-DNS-Server-Service
Дата:          10.01.2015 22:11:27
Код события:   4013
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DC.NOVPT.local
Описание:
DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут
быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера
для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»Microsoft-Windows-DNS-Server-Service» Guid=»{71A551F5-C893-4849-886B-B5EC8502641E}» EventSourceName=»DNS» />
    <EventID Qualifiers=»32768″>4013</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime=»2015-01-10T19:11:27.000000000Z» />
    <EventRecordID>30</EventRecordID>
    <Correlation />
    <Execution ProcessID=»0″ ThreadID=»0″ />
    <Channel>DNS Server</Channel>
    <Computer>DC.NOVPT.local</Computer>
    <Security />
  </System>
  <EventData Name=»DNS_EVENT_DS_OPEN_WAIT»>
  </EventData>
</Event>

————

Имя журнала:   DNS Server
Источник:      Microsoft-Windows-DNS-Server-Service
Дата:          10.01.2015 22:19:49
Код события:   4512
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DC.NOVPT.local
Описание:
DNS-сервер не может создать встроенный раздел каталога DomainDnsZones.NOVPT.local. Ошибка 9906.
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»Microsoft-Windows-DNS-Server-Service» Guid=»{71A551F5-C893-4849-886B-B5EC8502641E}» EventSourceName=»DNS» />
    <EventID Qualifiers=»32768″>4512</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime=»2015-01-10T19:19:49.000000000Z» />
    <EventRecordID>33</EventRecordID>
    <Correlation />
    <Execution ProcessID=»0″ ThreadID=»0″ />
    <Channel>DNS Server</Channel>
    <Computer>DC.NOVPT.local</Computer>
    <Security />
  </System>
  <EventData Name=»DNS_EVENT_DP_CANT_CREATE_BUILTIN»>
    <Data Name=»param1″>DomainDnsZones.NOVPT.local</Data>
    <Data Name=»param2″>9906</Data>
    <Binary>B2260000</Binary>
  </EventData>
</Event>

————-

Имя журнала:   DNS Server
Источник:      Microsoft-Windows-DNS-Server-Service
Дата:          10.01.2015 22:19:49
Код события:   4512
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DC.NOVPT.local
Описание:
DNS-сервер не может создать встроенный раздел каталога ForestDnsZones.NOVPT.local. Ошибка 9906.
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»Microsoft-Windows-DNS-Server-Service» Guid=»{71A551F5-C893-4849-886B-B5EC8502641E}» EventSourceName=»DNS» />
    <EventID Qualifiers=»32768″>4512</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime=»2015-01-10T19:19:49.000000000Z» />
    <EventRecordID>34</EventRecordID>
    <Correlation />
    <Execution ProcessID=»0″ ThreadID=»0″ />
    <Channel>DNS Server</Channel>
    <Computer>DC.NOVPT.local</Computer>
    <Security />
  </System>
  <EventData Name=»DNS_EVENT_DP_CANT_CREATE_BUILTIN»>
    <Data Name=»param1″>ForestDnsZones.NOVPT.local</Data>
    <Data Name=»param2″>9906</Data>
    <Binary>B2260000</Binary>
  </EventData>
</Event>

————

Имя журнала:   DNS Server
Источник:      Microsoft-Windows-DNS-Server-Service
Дата:          10.01.2015 22:40:21
Код события:   4015
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DC.NOVPT.local
Описание:
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: «00002189: SvcErr: DSID-03200E24, problem 5002 (UNAVAILABLE), data 1355» (может отсутствовать).
Данные о событии содержат сведения об ошибке.
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»Microsoft-Windows-DNS-Server-Service» Guid=»{71A551F5-C893-4849-886B-B5EC8502641E}» EventSourceName=»DNS» />
    <EventID Qualifiers=»49152″>4015</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime=»2015-01-10T19:40:21.000000000Z» />
    <EventRecordID>35</EventRecordID>
    <Correlation />
    <Execution ProcessID=»0″ ThreadID=»0″ />
    <Channel>DNS Server</Channel>
    <Computer>DC.NOVPT.local</Computer>
    <Security />
  </System>
  <EventData Name=»DNS_EVENT_DS_INTERFACE_ERROR»>
    <Data Name=»param1″>00002189: SvcErr: DSID-03200E24, problem 5002 (UNAVAILABLE), data 1355</Data>
    <Binary>34000000</Binary>
  </EventData>
</Event>

==================

Лог Репликация DFS

Имя журнала:   DFS Replication
Источник:      DFSR
Дата:          10.01.2015 22:54:16
Код события:   6016
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DC.NOVPT.local
Описание:
Службе репликации DFS не удалось обновить конфигурацию в доменных службах Active Directory. Служба периодически будет пытаться повторить эту операцию.

 

Дополнительные сведения:
Категория объекта: msDFSR-LocalSettings
DN объекта: CN=DFSR-LocalSettings,CN=DC,OU=Domain Controllers,DC=NOVPT,DC=local
Ошибка: 1355 (Указанный домен не существует или к нему невозможно подключиться.)

Контроллер домена: 
Цикл опроса: 60
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
  <System>
    <Provider Name=»DFSR» />
    <EventID Qualifiers=»32768″>6016</EventID>
    <Level>3</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime=»2015-01-10T19:54:16.000000000Z» />
    <EventRecordID>63</EventRecordID>
    <Channel>DFS Replication</Channel>
    <Computer>DC.NOVPT.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data>msDFSR-LocalSettings</Data>
    <Data>CN=DFSR-LocalSettings,CN=DC,OU=Domain Controllers,DC=NOVPT,DC=local</Data>
    <Data>1355</Data>
    <Data>Указанный домен не существует или к нему невозможно подключиться.</Data>
    <Data>
    </Data>
    <Data>60</Data>
  </EventData>
</Event>

=================

В результате вывод команды dcdiag выглядит так:

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера…
   Основной сервер = DC
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-NameDC
      Запуск проверки: Connectivity
         ……………………. DC — пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-NameDC
      Запуск проверки: Advertising
         Неустранимая ошибка: сбой при вызове DsGetDcName (DC), ошибка 1355
         Локатору не удается найти сервер.
         ……………………. DC — не пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ……………………. DC — пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
         ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
         ……………………. DC — не пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ……………………. DC — пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ……………………. DC — пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ……………………. DC — пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ……………………. DC — пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ……………………. DC — пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         Не удается подключиться к общему ресурсу NETLOGON. (DCnetlogon)
         [DC] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя..
         ……………………. DC — не пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ……………………. DC — пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ……………………. DC — пройдена проверка Replications
      Запуск проверки: RidManager
         ……………………. DC — пройдена проверка RidManager
      Запуск проверки: Services
         ……………………. DC — пройдена проверка Services
      Запуск проверки: SystemLog
         Возникло предупреждение. Код события (EventID): 0x000003F6
            Время создания: 01/10/2015   22:18:23
            Строка события:
            Разрешение имен для имени _ldap._tcp.NOVPT. истекло после отсутствия ответа от настроенных серверов DNS.
         Возникла ошибка. Код события (EventID): 0x00000423
            Время создания: 01/10/2015   23:11:41
            Строка события: Служба DHCP не смогла обнаружить папку для авторизации сервера.
         Возникла ошибка. Код события (EventID): 0xC00038D6
            Время создания: 01/10/2015   23:14:19
            Строка события:
            Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на это
м контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.
         ……………………. DC — не пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         ……………………. DC — пройдена проверка VerifyReferences

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ……………………. Schema — пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ……………………. Schema — пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ……………………. Configuration — пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ……………………. Configuration — пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: NOVPT
      Запуск проверки: CheckSDRefDom
         ……………………. NOVPT — пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ……………………. NOVPT — пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: NOVPT.local
      Запуск проверки: LocatorCheck
         Внимание! Сбой при вызове функции DcGetDcName(GC_SERVER_REQUIRED), ошибка 1355
         Не удается найти сервер глобального каталога — все глобальные каталоги отключены.
         Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1355
         Не удается найти сервер времени.
         Сервер, которому принадлежит роль PDC, отключен.
         Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
         Не удается найти сервер точного времени.
         Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка 1355
         Не удается найти центр распространения ключей (KDC) — все KDC отключены.
         ……………………. NOVPT.local — не пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ……………………. NOVPT.local — пройдена проверка Intersite

==================

nslookup

> PS C:UsersАдминистратор> nslookup novpt.local
╤хЁтхЁ:  UnKnown
Address:  192.168.1.1

╚ь :     novpt.local
Address:  192.168.1.1

=======

Вывод команды Ipconfig /all

C:UsersАдминистратор>Ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : DC
   Основной DNS-суффикс  . . . . . . : NOVPT.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : NOVPT.local

Ethernet adapter Embedded LOM 1 Port 1:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
   Физический адрес. . . . . . . . . : FC-15-B4-84-44-52
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.1(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.3
   DNS-серверы. . . . . . . . . . . : 192.168.1.1
   NetBios через TCP/IP. . . . . . . . : Включен

На форуме встречал идентичную ситуацию, описывалась проблема с DFS, рекомендации помеченные в качестве ответа выполнить команду PS: (Get-WmiObject -Namespace «RootMicrosoftDFS» -Class DfsrVolumeConfig).ResumeReplication()

Вот мой результат выполнения:

PS C:UsersАдминистратор> (Get-WmiObject -Namespace «RootMicrosoftDFS» -Class DfsrVolumeConfig).ResumeReplication()
Невозможно вызвать метод для выражения со значением NULL.
строка:1 знак:1
+ (Get-WmiObject -Namespace «RootMicrosoftDFS» -Class DfsrVolumeConfig).ResumeRep …
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvokeMethodOnNull

Очень прошу помощи в решении сложившейся проблемы. Заранее благодарен.

Один из механизмов Active Directory (AD), с которым могут быть связаны всевозможные затруднения, это репликация. Репликация – критически важный процесс в работе одного или более доменов или контроллеров домена (DC), и не важно, находятся они на одном сайте или на разных. Неполадки с репликацией могут привести к проблемам с аутентификацией и доступом к сетевым ресурсам. Обновления объектов AD реплицируются на контроллеры домена, чтобы все разделы были синхронизированы. В крупных компаниях использование большого количества доменов и сайтов – обычное дело. Репликация должна происходить внутри локального сайта, так же как дополнительные сайты должны сохранять данные домена и леса между всеми DC.

В этой статье речь пойдет о методах выявления проблем с репликацией в AD. Кроме того, я покажу, как находить и устранять неисправности и работать с четырьмя наиболее распространенными ошибками репликации AD:

  • Error 2146893022 (главное конечное имя неверно);
  • Error 1908 (не удалось найти контроллер домена);
  • Error 8606 (недостаточно атрибутов для создания объекта);
  • Error 8453 (доступ к репликации отвергнут).

Вы также узнаете, как анализировать метаданные репликации с помощью таких инструментов, как AD Replication Status Tool, встроенная утилита командной строки RepAdmin.exe и Windows PowerShell.

Для всестороннего рассмотрения я буду использовать лес Contoso, который показан на рисунке. В таблице 1 перечислены роли, IP-адреса и настройки DNS-клиента для компьютеров данного леса.

Архитектура леса
Рисунок. Архитектура леса

Роли системы и настройки

Для обнаружения неполадок с репликацией AD запустите AD Replication Status Tool на рабочей станции администратора в корневом домене леса. Например, вы открываете этот инструмент из системы Win8Client, а затем нажимаете кнопку Refresh Replication Status для уверенности в четкой коммуникации со всеми контроллерами домена. В таблице Discovery Missing Domain Controllers на странице Configuration/Scope Settings инструмента можно увидеть два недостающих контроллера домена, как показано на экране 1.

Два недостающих контроллера домена
Экран 1. Два недостающих контроллера домена

В таблице Replication Status Collection Details вы можете проследить статус репликации контроллеров домена, которые никуда не пропадали, как показано на экране 2.

Статус репликации контроллеров домена
Экран 2. Статус репликации контроллеров домена

Пройдя на страницу Replication Status Viewer, вы обнаружите некоторые ошибки в репликации. На экране 3 видно, что возникает немалое число ошибок репликации, возникающих в лесу Contoso. Из пяти контроллеров домена два не могут видеть другие DC, а это означает, что репликация не будет происходить на контроллерах домена, которые не видны. Таким образом, пользователи, подключающиеся к дочерним DC, не будут иметь доступ к самой последней информации, что может привести к проблемам.

Ошибки репликации, возникающие в лесу Contoso
Экран 3. Ошибки репликации, возникающие в лесу Contoso

Поскольку ошибки репликации все же возникают, полезно задействовать утилиту командной строки RepAdmin.exe, которая помогает получить отчет о состоянии репликации по всему лесу. Чтобы создать файл, запустите следующую команду из Cmd.exe:

Repadmin /showrel * /csv > ShowRepl.csv

Проблема с двумя DC осталась, соответственно вы увидите два вхождения LDAP error 81 (Server Down) Win32 Err 58 на экране, когда будет выполняться команда. Мы разберемся с этими ошибками чуть позже. А теперь откройте ShowRepl.csv в Excel и выполните следующие шаги:

  1. Из меню Home щелкните Format as table и выберите один из стилей.
  2. Удерживая нажатой клавишу Ctrl, щелкните столбцы A (Showrepl_COLUMNS) и G (Transport Type). Правой кнопкой мыши щелкните в этих столбцах и выберите Hide.
  3. Уменьшите ширину остальных столбцов так, чтобы был виден столбец K (Last Failure Status).
  4. Для столбца I (Last Failure Time) нажмите стрелку вниз и отмените выбор 0.
  5. Посмотрите на дату в столбце J (Last Success Time). Это последнее время успешной репликации.
  6. Посмотрите на ошибки в столбце K (Last Failure Status). Вы увидите те же ошибки, что и в AD Replication Status Tool.

Таким же образом вы можете запустить средство RepAdmin.exe из PowerShell. Для этого сделайте следующее:

1. Перейдите к приглашению PowerShell и введите команду

Repadmin /showrepl * /csv | ConvertFrom-Csv | Out-GridView

2. В появившейся сетке выберите Add Criteria, затем Last Failure Status и нажмите Add.

3. Выберите подчеркнутое слово голубого цвета contains в фильтре и укажите does not equal.

4. Как показано на экране 4, введите 0 в поле, так, чтобы отфильтровывалось все со значением 0 (успех) и отображались только ошибки.

Задание фильтра
Экран 4. Задание фильтра

Теперь, когда вы знаете, как проверять статус репликации и обнаруживать ошибки, давайте посмотрим, как выявлять и устранять четыре наиболее распространенные неисправности.

Исправление ошибки AD Replication Error -2146893022

Итак, начнем с устранения ошибки -2146893022, возникающей между DC2 и DC1. Из DC1 запустите команду Repadmin для проверки статуса репликации DC2:

Repadmin /showrepl dc2

На экране 5 показаны результаты, свидетельствующие о том, что репликация перестала выполняться, поскольку возникла проблема с DC2: целевое основное имя неверно. Тем не менее, описание ошибки может указать ложный путь, поэтому приготовьтесь копать глубже.

Проблема с DC2 - целевое основное имя неверно
Экран 5. Проблема с DC2 — целевое основное имя неверно

Во-первых, следует определить, есть ли базовое подключение LDAP между системами. Для этого запустите следующую команду из DC2:

Repadmin /bind DC1

На экране 5 видно, что вы получаете сообщение об ошибке LDAP. Далее попробуйте инициировать репликацию AD с DC2 на DC1:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

И на этот раз отображается та же ошибка с главным именем, как показано на экране 5. Если открыть окно Event Viewer на DC2, вы увидите событие с Event ID 4 (см. экран 6).

Сообщение о событии с Event ID 4
Экран 6. Сообщение о событии с Event ID 4

Выделенный текст в событии указывает на причину ошибки. Это означает, что пароль учетной записи компьютера DC1 отличается от пароля, который хранится в AD для DC1 в Центре распределения ключей – Key Distribution Center (KDC), который в данном случае запущен на DC2. Значит, следующая наша задача – определить, соответствует ли пароль учетной записи компьютера DC1 тому, что хранится на DC2. В командной строке на DC1 введите две команды:

Repadmin /showobjmeta dc1 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta1.txt
Repadmin /showobjmeta dc2 «cn=dc1,ou=domain controllers,

dc=root,dc=contoso,dc=com» > dc1objmeta2.txt

Далее откройте файлы dc1objmeta1.txt и dc1objmeta2.txt, которые были созданы, и посмотрите на различия версий для dBCSPwd, UnicodePWD, NtPwdHistory, PwdLastSet и lmPwdHistory. В нашем случае файл dc1objmeta1.txt показывает версию 19, тогда как версия в файле dc1objmeta2.txt – 11. Таким образом, сравнивая эти два файла, мы видим, что DC2 содержит информацию о старом пароле для DC1. Операция Kerberos не удалась, потому что DC1 не смог расшифровать билет службы, представленный DC2.

KDC, запущенный на DC2, не может быть использован для Kerberos вместе с DC1, так как DC2 содержит информацию о старом пароле. Чтобы решить эту проблему, вы должны заставить DC2 использовать KDC на DC1, чтобы завершить репликацию. Для этого вам, в первую очередь, необходимо остановить службу KDC на DC2:

Net stop kdc

Теперь требуется начать репликацию корневого раздела Root:

Repadmin /replicate dc2 dc1 «dc=root,dc=contoso,dc=com»

Следующим вашим шагом будет запуск двух команд Repadmin /showobjmeta снова, чтобы убедиться в том, что версии совпадают. Если все хорошо, вы можете перезапустить службу KDC:

Net start kdc

Обнаружение и устранение ошибки AD Replication Error 1908

Теперь, когда мы устранили ошибку -2146893022, давайте перейдем к ошибке репликации AD 1908, где DC1, DC2 и TRDC1 так и не удалось выполнить репликацию из ChildDC1. Решить проблему можно следующим образом. Используйте Nltest.exe для создания файла Netlogon.log, чтобы выявить причину ошибки 1908. Прежде всего, включите расширенную регистрацию на DC1, запустив команду:

Nltest /dbflag:2080fff

Теперь, когда расширенная регистрация включена, запустите репликацию между DC – так все ошибки будут зарегистрированы. Этот шаг поможет запустить три команды для воспроизведения ошибок. Итак, во-первых, запустите следующую команду на DC1:

Repadmin /replicate dc1 childdc1 dc=child,dc=root,
dc=contoso,dc=com

Результат, показанный на экране 7, говорит о том, что репликация не состоялась, потому что DC домена не может быть найден.

Репликация не состоялась, потому что DC домена не может быть найден
Экран 7. Репликация не состоялась, потому что DC домена не может быть найден

Во-вторых, из DC1 попробуйте определить местоположение KDC в домене child.root.contoso.com с помощью команды:

Nltest /dsgetdc:child /kdc

Результаты на экране 7 свидетельствуют, что такого домена нет. В-третьих, поскольку вы не можете найти KDC, попытайтесь установить связь с любым DC в дочернем домене, используя команду:

Nltest /dsgetdc:child

В очередной раз результаты говорят о том, что нет такого домена, как показано на экране 7.

Теперь, когда вы воспроизвели все ошибки, просмотрите файл Netlogon.log, созданный в папке C:Windowsdebug. Откройте его в «Блокноте» и найдите запись, которая начинается с DSGetDcName function called. Обратите внимание, что записей с таким вызовом будет несколько. Вам нужно найти запись, имеющую те же параметры, что вы указали в команде Nltest (Dom:child и Flags:KDC). Запись, которую вы ищете, будет выглядеть так:

DSGetDcName function called: client PID=2176,
Dom:child Acct:(null) Flags:KDC

Вы должны просмотреть начальную запись, равно как и последующие, в этом потоке. В таблице 2 представлен пример потока 3372. Из этой таблицы следует, что поиск DNS записи KDC SRV в дочернем домене был неудачным. Ошибка 1355 указывает, что заданный домен либо не существует, либо к нему невозможно подключиться.

Пример потока 3372

Поскольку вы пытаетесь подключиться к Child.root.contoso.com, следующий ваш шаг – выполнить для него команду ping из DC1. Скорее всего, вы получите сообщение о том, что хост не найден. Информация из файла Netlogon.log и ping-тест указывают на возможные проблемы в делегировании DNS. Свои подозрения вы можете проверить, сделав тест делегирования DNS. Для этого выполните следующую команду на DC1:

Dcdiag /test:dns /dnsdelegation > Dnstest.txt

На экране 8 показан пример файла Dnstest.txt. Как вы можете заметить, это проблема DNS. Считается, что IP-адрес 192.168.10.1 – адрес для DC1.

Пример файла Dnstest.txt
Экран 8. Пример файла Dnstest.txt

Чтобы устранить проблему DNS, сделайте следующее:

1. На DC1 откройте консоль управления DNS.

2. Разверните Forward Lookup Zones, разверните root.contoso.com и выберите child.

3. Щелкните правой кнопкой мыши (как в родительской папке) на записи Name Server и выберите пункт Properties.

4. Выберите lamedc1.child.contoso.com и нажмите кнопку Remove.

5. Выберите Add, чтобы можно было добавить дочерний домен сервера DNS в настройки делегирования.

6. В окне Server fully qualified domain name (FQDN) введите правильный сервер childdc1.child.root.contoso.com.

7. В окне IP Addresses of this NS record введите правильный IP-адрес 192.168.10.11.

8. Дважды нажмите кнопку OK.

9. Выберите Yes в диалоговом окне, где спрашивается, хотите ли вы удалить связующую запись (glue record) lamedc1.child.contoso.com [192.168.10.1]. Glue record – это запись DNS для полномочного сервера доменных имен для делегированной зоны.

10. Используйте Nltest.exe для проверки, что вы можете найти KDC в дочернем домене. Примените опцию /force, чтобы кэш Netlogon не использовался:

Nltest /dsgetdc:child /kdc /force

11. Протестируйте репликацию AD из ChildDC1 на DC1 и DC2. Это можно сделать двумя способами. Один из них – выполнить команду

Repadmin /replicate dc1 childdc1 «dc=child,dc=root,
dc=contoso,dc=com»

Другой подход заключается в использовании оснастки Active Directory Sites и Services консоли Microsoft Management Console (MMC), в этом случае правой кнопкой мыши щелкните DC и выберите Replicate Now, как показано на экране 9. Вам нужно это сделать для DC1, DC2 и TRDC1.

Использование оснастки Active Directory Sites и?Services
Экран 9. Использование оснастки Active Directory Sites и?Services

После этого вы увидите диалоговое окно, как показано на экране 10. Не учитывайте его, нажмите OK. Я вкратце расскажу об этой ошибке.

Ошибка при репликации
Экран 10. Ошибка при репликации

Когда все шаги выполнены, вернитесь к AD Replication Status Tool и обновите статус репликации на уровне леса. Ошибки 1908 больше быть не должно. Ошибка, которую вы видите, это ошибка 8606 (недостаточно атрибутов для создания объекта), как отмечалось на экране 10. Это следующая трудность, которую нужно преодолеть.

Устранение ошибки AD Replication Error 8606

Устаревший объект (lingering object) – это объект, который присутствует на DC, но был удален на одном или нескольких других DC. Ошибка репликации AD 8606 и ошибка 1988 в событиях Directory Service – хорошие индикаторы устаревших объектов. Важно учитывать, что можно успешно завершить репликацию AD и не регистрировать ошибку с DC, содержащего устаревшие объекты, поскольку репликация основана на изменениях. Если объекты не изменяются, то реплицировать их не нужно. По этой причине, выполняя очистку устаревших объектов, вы допускаете, что они есть у всех DC (а не только DCs logging errors).

Чтобы устранить проблему, в первую очередь убедитесь в наличии ошибки, выполнив следующую команду Repadmin на DC1:

Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Вы увидите сообщение об ошибке, как показано на экране 11. Кроме того, вы увидите событие с кодом в Event Viewer DC1 (см. экран 12). Обратите внимание, что событие с кодом 1988 только дает отчет о первом устаревшем объекте, который вам вдруг встретился. Обычно таких объектов много.

Ошибка из-за наличия устаревшего объекта
Экран 11. Ошибка из-за наличия устаревшего объекта
Событие с кодом 1988
Экран 12. Событие с кодом 1988

Вы должны скопировать три пункта из информации об ошибке 1988 в событиях: идентификатор globally unique identifier (GUID) устаревшего объекта, сервер-источник (source DC), а также уникальное, или различающееся, имя раздела – distinguished name (DN). Эта информация позволит определить, какой DC имеет данный объект.

Прежде всего, используйте GUID объекта (в данном случае 5ca6ebca-d34c-4f60-b79c-e8bd5af127d8) в следующей команде Repadmin, которая отправляет результаты в файл Objects.txt:

Repadmin /showobjmeta * «e8bd5af127d8>» > Objects.txt

Если вы откроете файл Objects.txt, то увидите, что любой DC, который возвращает метаданные репликации для данного объекта, содержит один или более устаревших объектов. DC, не имеющие копии этого объекта, сообщают статус 8439 (уникальное имя distinguished name, указанное для этой операции репликации, недействительно).

Затем вам нужно, используя GUID объект Directory System Agent (DSA) DC1, идентифицировать все устаревшие объекты в разделе Root на DC2. DSA предоставляет доступ к физическому хранилищу информации каталога, находящейся на жестком диске. В AD DSA – часть процесса Local Security Authority. Для этого выполните команду:

Repadmin /showrepl DC1 > Showrepl.txt

В Showrepl.txt GUID объект DSA DC1 появляется вверху файла и выглядит следующим образом:

DSA object GUID: 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e

Ориентируясь на эту информацию, вы можете применить следующую команду, чтобы удостовериться в существовании устаревших объектов на DC2, сравнив его копию раздела Root с разделом Root DC1.

Repadmin /removelingeringobjects DC2 70ff33ce-2f41-4bf4-
b7ca-7fa71d4ca13e «dc=root,dc=contoso,dc=com»
/Advisory_mode

Далее вы можете просмотреть журнал регистрации событий Directory Service на DC2, чтобы узнать, есть ли еще какие-нибудь устаревшие объекты. Если да, то о каждом будет сообщаться в записи события 1946. Общее число устаревших объектов для проверенного раздела будет отмечено в записи события 1942.

Вы можете удалить устаревшие объекты несколькими способами. Предпочтительно использовать ReplDiag.exe. В качестве альтернативы вы можете выбрать RepAdmin.exe.

Используем ReplDiag.exe. С вашей рабочей станции администратора в корневом домене леса, а в нашем случае это Win8Client, вы должны выполнить следующие команды:

Repldiag /removelingeringobjects
Repadmin /replicate dc1 dc2 «dc=root,dc=contoso,dc=com»

Первая команда удаляет объекты. Вторая команда служит для проверки успешного завершения репликации (иными словами, ошибка 8606 больше не регистрируется). Возвращая команды Repadmin /showobjmeta, вы можете убедиться в том, что объект был удален из всех, что объект был удален DC. Если у вас есть контроллер только для чтения read-only domain controller (RODC) и он содержал данный устаревший объект, вы заметите, что он все еще там находится. Дело в том, что текущая версия ReplDiag.exe не удаляет объекты из RODC. Для очистки RODC (в нашем случае, ChildDC2) выполните команду:

Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=root,dc=contoso,dc=com» /Advisory_mode

После этого просмотрите журнал событий Directory Service на ChildDC2 и найдите событие с кодом 1939. На экране 13 вы видите уведомление о том, что устаревшие объекты были удалены.

Сообщение об удалении устаревших объектов
Экран 13. Сообщение об удалении устаревших объектов

Используем RepAdmin.exe. Другой способ, позволяющий удалить устаревшие объекты – прибегнуть к помощи RepAdmin.exe. Сначала вы должны удалить устаревшие объекты главных контроллеров домена (reference DC) с помощью кода, который видите в листинге 1. После этого необходимо удалить устаревшие объекты из всех остальных контроллеров домена (устаревшие объекты могут быть показаны или на них могут обнаружиться ссылки на нескольких контроллерах домена, поэтому убедитесь, что вы удалили их все). Необходимые для этой цели команды приведены в листинге 2.

Как видите, использовать ReplDiag.exe гораздо проще, чем RepAdmin.exe, поскольку вводить команд вам придется намного меньше. Ведь чем больше команд, тем больше шансов сделать опечатку, пропустить команду или допустить ошибку в командной строке.

Устранение ошибки AD Replication Error 8453

Предыдущие ошибки репликации AD были связаны с невозможностью найти другие контроллеры домена. Ошибка репликации AD с кодом состояния 8453 возникает, когда контроллер домена видит другие DC, но не может установить с ними связи репликации.

Например, предположим, что ChildDC2 (RODC) в дочернем домене не уведомляет о себе как о сервере глобального каталога – Global Catalog (GC). Для получения статуса ChildDC2 запустите следующие команды на ChildDC2:

Repadmin /showrepl childdc2 > Repl.txt

Данная команда отправляет результаты Repl.txt. Если вы откроете этот текстовый файл, то увидите вверху следующее:

BoulderChildDC2
DSA Options: IS_GC DISABLE_OUTBOUND_REPL IS_RODC
WARNING: Not advertising as a global catalog

Если вы внимательно посмотрите на раздел Inbound Neighbors, то увидите, что раздел DC=treeroot,DC=fabrikam,DC=com отсутствует, потому что он не реплицируется. Взгляните на кнопку файла – вы увидите ошибку:

Source: BoulderTRDC1
******* 1 CONSECTUTIVE FAILURES since 2014-01-12 11:24:30
Last error: 8453 (0x2105):
Replication access was denied
Naming Context: DC=treeroot,DC=fabrikam,DC=com

Эта ошибка означает, что ChildDC2 не может добавить связь репликации (replication link) для раздела Treeroot. Как показано на экране 14, данная ошибка также записывается в журнал регистрации событий Directory Services на ChildDC2 как событие с кодом 1926.

Отсутствие связи репликации
Экран 14. Отсутствие связи репликации

Здесь вам нужно проверить, нет ли проблем, связанных с безопасностью. Для этого используйте DCDiag.exe:

Dcdiag /test:checksecurityerror

На экране 15 показан фрагмент вывода DCDiag.exe.

Фрагмент вывода DCDiag.exe
Экран 15. Фрагмент вывода DCDiag.exe

Как видите, вы получаете ошибку 8453, потому что группа безопасности Enterprise Read-Only Domain Controllers не имеет разрешения Replicating Directory Changes.

Чтобы решить проблему, вам нужно добавить отсутствующую запись контроля доступа – missing access control entry (ACE) в раздел Treeroot. В этом вам помогут следующие шаги:

1. На TRDC1 откройте оснастку ADSI Edit.

2. Правой кнопкой мыши щелкните DC=treeroot,DC=fabrikam,DC=com и выберите Properties.

3. Выберите вкладку Security.

4. Посмотрите разрешения на этот раздел. Отметьте, что нет записей для группы безопасности Enterprise Read-Only Domain Controllers.

5. Нажмите Add.

6. В окне Enter the object names to select наберите ROOTEnterprise Read-Only Domain Controllers.

7. Нажмите кнопку Check Names, затем выберите OK, если указатель объектов (object picker) разрешает имя.

8. В диалоговом окне Permissions для Enterprise Read-Only Domain Controllers снимите флажки Allow для следующих разрешений

*Read

*Read domain password & lockout policies («Чтение политики блокировки и пароля домена»)

*Read Other domain parameters

9. Выберите флажок Allow для разрешения Replicating Directory Changes, как показано на экране 16. Нажмите OK.

10. Вручную запустите Knowledge Consistency Checker (KCC), чтобы немедленно сделать перерасчет топологии входящей репликации на ChildDC2, выполнив команду

Repadmin /kcc childdc2
Включение разрешения Replicating Directory Change
Экран 16. Включение разрешения Replicating Directory Change

Данная команда заставляет KCC на каждом целевом сервере DC незамедлительно делать перерасчет топологии входящей репликации, добавляя снова раздел Treeroot.

Состояние репликации критически важно

Репликация во всех отношениях в лесу AD имеет решающее значение. Следует регулярно проводить ее диагностику, чтобы изменения были видны всем контроллерам домена, иначе могут возникать различные проблемы, в том числе связанные с аутентификацией. Проблемы репликации нельзя обнаружить сразу. Поэтому если вы пренебрегаете мониторингом репликации (в крайнем случае, периодически делайте проверку), то рискуете столкнуться с трудностями в самый неподходящий момент. Моей задачей было показать вам, как проверять статус репликации, обнаруживать ошибки и в то же время как справиться с четырьмя типичными проблемами репликации AD.

Листинг 1. Команды для удаления устаревших объектов из Reference DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc1.child.
root.contoso.com 0b457f73-96a4-429b-ba81-
1a3e0f51c848 «dc=forestdnszones,dc=root,
dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Root.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones.
Repadmin /removelingeringobjects dc1.root.
contoso.com 3fe45b7f-e6b1-42b1-bcf4-2561c38cc3a6
«dc=root,dc=contoso,dc=com»

Листинг 2. Команды для удаления устаревших объектов из остальных DC

REM Команды для удаления устаревших объектов
REM из раздела Configuration.
Repadmin /removelingeringobjects dc1.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«cn=configuration,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«cn=configuration,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела ForestDNSZones.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=forestdnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones–Root.
Repadmin /removelingeringobjects dc2.child.root.
contoso.com 70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e
«dc=domaindnszones,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена Child.
Repadmin /removelingeringobjects dc1.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.
com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=child,dc=root,dc=contoso,dc=com»
Repadmin /removelingeringobjects trdc1.treeroot.
fabrikam.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела DomainDNSZones-Child.
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0c559ee4-0adc-42a7-8668-e34480f9e604
«dc=domaindnszones,dc=child,dc=root,dc=contoso,dc=com»
REM Команды для удаления устаревших объектов
REM из раздела домена TreeRoot.
Repadmin /removelingeringobjects childdc1.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects childdc2.child.root.
contoso.com 0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc1.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»
Repadmin /removelingeringobjects dc2.root.contoso.com
0b457f73-96a4-429b-ba81-1a3e0f51c848
«dc=treeroot,dc=fabrikam,dc=com»


База знаний —


Windows Server

На ошибку мы вышли следующим образом:

  • В домен ввели новый сервер и сделали его контроллером домена
  • Перенесли на него все роли и сделали сервером глобальных каталогов
  • Старый сервер роли нормально не отдал
  • Новый сервер не считает себя работающим контроллером домена

Диагностика

dcdiag дает : Warning: DcGetDcName(TIME_SERVER) call failed, error 1355

netdiag дает:

Domain membership test . . . . . . : Failed
[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.

В оснастке «Пользователи и компьютеры» вызываем информацию о хозяине ролей на старом сервере и видим надпись Error.

Что произошло: от старого конролера домена не прошла нормально синхронизация.

Лечение

Выполняем следующие команды:

net stop ntfrs
rd /s /q c:winntntfrsjet
net start ntfrs

После этого выполняем dcdiag и netdiag. Все тесты должны быть выполнены без ошибок.

RRS feed

  • Remove From My Forums
  • Question

  • When trying to connect to another forest DC I get the following error message: failed-connection error code 1355

    I temp disabled the firewall service on the dc, I’m able to authenticate, but I cannot get the containers in the other forest

Answers

  •  Gert Albertse wrote:

    When trying to connect to another forest DC I get the following error message: failed-connection error code 1355

    I temp disabled the firewall service on the dc, I’m able to authenticate, but I cannot get the containers in the other forest

    1355 translates to ERROR_NO_SUCH_DOMAIN and is usually related to a DNS problem. You need to make sure that you’ve got DNS setup correctly such that you can correctly resolve the SRV records in the other forest.


  • To add on to Paul’s response…

    In the MIIS Reskit, you can find a tool called MIISDCInfo.

    You can use this tool to troubleshoot LDAP ping related issues.

    When you configure an ADMA, ILM sends such a LDAP ping to the network in an attempt to locate a DC for the configured forest.

    A miss configured DNS configuration is one possible problem for a failing LDAP ping.

    Another one is a firewall that blocks certain ports – including the MSRPC port.

    What you can try to get around the issue if it is firewall related, is to enter the IP address of a target DC as forest and domain name instead of the related string values.

    In case of already configured MAs, you can also configure preferred DCs in form of IP addresses.

    I hope this helps.

    Cheers,

    Markus

    ///////////////////////////////////////////////////////////////////////
    Markus Vilcinskas

    Technical Writer
    Microsoft Identity Integration Server

    mailto:markvi@microsoft.com.NO_SPAM

    This posting is provided «AS IS» with no warranties, and confers no rights.
    Use of included script samples are subject to the terms specified at

    http://www.microsoft.com/info/copyright.htm
    ///////////////////////////////////////////////////////////////////////

All replies

  •  Gert Albertse wrote:

    When trying to connect to another forest DC I get the following error message: failed-connection error code 1355

    I temp disabled the firewall service on the dc, I’m able to authenticate, but I cannot get the containers in the other forest

    1355 translates to ERROR_NO_SUCH_DOMAIN and is usually related to a DNS problem. You need to make sure that you’ve got DNS setup correctly such that you can correctly resolve the SRV records in the other forest.


  • To add on to Paul’s response…

    In the MIIS Reskit, you can find a tool called MIISDCInfo.

    You can use this tool to troubleshoot LDAP ping related issues.

    When you configure an ADMA, ILM sends such a LDAP ping to the network in an attempt to locate a DC for the configured forest.

    A miss configured DNS configuration is one possible problem for a failing LDAP ping.

    Another one is a firewall that blocks certain ports – including the MSRPC port.

    What you can try to get around the issue if it is firewall related, is to enter the IP address of a target DC as forest and domain name instead of the related string values.

    In case of already configured MAs, you can also configure preferred DCs in form of IP addresses.

    I hope this helps.

    Cheers,

    Markus

    ///////////////////////////////////////////////////////////////////////
    Markus Vilcinskas

    Technical Writer
    Microsoft Identity Integration Server

    mailto:markvi@microsoft.com.NO_SPAM

    This posting is provided «AS IS» with no warranties, and confers no rights.
    Use of included script samples are subject to the terms specified at

    http://www.microsoft.com/info/copyright.htm
    ///////////////////////////////////////////////////////////////////////

  • Hi,

    we can do this in two ways 

    1)Add the host name and ip addres of the targe doman controller in the host entry of the ILM server, 

    the host file is located at «c:WINDOWSsystem32driversetchosts» this will resolve the domain controller name of the target domain.

    2) Add the  dns server ip address of the target  doamin controller in the advance TCP/IP settings.

  • This will not help you in case of error 1355 since the error means «domain not found» and not  «DC not found»…

    Cheers,
    Markus


    Markus Vilcinskas, Technical Content Developer, Microsoft Corporation


Содержание

  1. Компьютер попытался присоединиться к домену но произошел сбой код ошибки 1355
  2. Лучший отвечающий
  3. Вопрос
  4. Ответы
  5. Компьютер попытался присоединиться к домену но произошел сбой код ошибки 1355
  6. Вопрос
  7. Указанный домен не существует или к нему невозможно подключиться
  8. Компьютер попытался присоединиться к домену но произошел сбой код ошибки 1355
  9. Компьютер попытался присоединиться к домену но произошел сбой код ошибки 1355

Этот форум закрыт. Спасибо за участие!

trans

Лучший отвечающий

trans

Вопрос

trans

trans

Ответы

trans

trans

trans

trans

На компьютере, котором стоит traffic inspector, и который Вы используете в качестве прокси, нужно приписать локальные днс Ваших контроллеров, что собственно Вы уже сделали.

В этом случае ВСЕ имена (и внутренние, и, если их не будет в Вашей зоне- внешние) будут разрешаться контроллером домена. Т.е. машина спросит контроллер, и контроллеру Вам будет необходимо предоставить доступ в интернет для разрешения dns имен (т.е. создать правило, которое разрешит траффик DNS (udp 53) от КД во внешний мир)

trans

trans

Внешние ДНС на контроллере могут быть только в одном месте- во вкладке пересылка.

Ну, в двух, если быть точным. В рут хинтах.

Итак, давайте разжую, чтобы непонимания неосталось на всю оставшуюся жизнь:

Итак, в нашем примере у нас есть рс с трифик инспектором, или любая другая рс без оного- не принципиально.

Если мы говорим о домене, то все настройки выше уже выполнены, а моя статья зачитана до дыр.

Когда р.с хочет разрешить имя контроллера(например, чтобы стянуть с него политики), которое находится во внутренней (вашей, которую держит на себе контроллер) зоне домена.

Станция смотрит в настройки своего адаптера, и бежит к контроллеру (потому что его адрес прописан на сетевом адаптере), спрашивает у него хостнейм.ру.

Контроллер не находит такой хост в зонах, которые он держит. И идет за записью на пересылку(пересылает запрос серверам иентернет) или рут хинтам.

Если что-то еще покрыто мраком- готов добить.

Источник

trans

Вопрос

trans

trans

Всем привет! Прошу помощи по AD, создаю новый домен в новом лесу на платформе Windows Server 2012 Std, после перезагрузки все службы выдают: 1355 Указанный домен не существует или к нему невозможно подключиться.

Аппаратная платформа: HP ML350 Gen9 RAID1 2×1Тб.

ОС: Windows Server 2012 (на время экспериментов ознакомительная версия) обновления установлены.

Лог Directory Service

Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 10.01.2015 22:26:11
Код события: 1126
Категория задачи:Глобальный каталог
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: DC.NOVPT.local
Описание:
Доменным службам Active Directory не удается подключиться к глобальному каталогу.

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.
Внутренний идентификатор:
3200e24

Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.
Xml события:

1126
0
2
18
0
0x8080000000000000

78

Directory Service
DC.NOVPT.local

3200e24
1355
Указанный домен не существует или к нему невозможно подключиться.

Имя журнала: Directory Service
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 10.01.2015 22:27:38
Код события: 1844
Категория задачи:Разрешение имен
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: NOVPTАдминистратор
Компьютер: DC.NOVPT.local
Описание:
Локальному контроллеру домена не удается подключиться к следующему контроллеру домена, хранящему следующий раздел каталога, для разрешения различающихся имен.

Раздел каталога:
NOVPT.local

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.
Внутренний ID:
3200e24
Xml события:

1844
0
3
13
0
0x8080000000000000

79

Directory Service
DC.NOVPT.local

NOVPT.local
1355
3200e24
Указанный домен не существует или к нему невозможно подключиться.

Лог DNS

Имя журнала: DNS Server
Источник: Microsoft-Windows-DNS-Server-Service
Дата: 10.01.2015 22:11:27
Код события: 4013
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: DC.NOVPT.local
Описание:
DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации.
Xml события:

Имя журнала: DNS Server
Источник: Microsoft-Windows-DNS-Server-Service
Дата: 10.01.2015 22:19:49
Код события: 4512
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: DC.NOVPT.local
Описание:
DNS-сервер не может создать встроенный раздел каталога DomainDnsZones.NOVPT.local. Ошибка 9906.
Xml события:

4512
0
3
0
0
0x80000000000000

33

DNS Server
DC.NOVPT.local

DomainDnsZones.NOVPT.local
9906
B2260000

Имя журнала: DNS Server
Источник: Microsoft-Windows-DNS-Server-Service
Дата: 10.01.2015 22:19:49
Код события: 4512
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: DC.NOVPT.local
Описание:
DNS-сервер не может создать встроенный раздел каталога ForestDnsZones.NOVPT.local. Ошибка 9906.
Xml события:

4512
0
3
0
0
0x80000000000000

34

DNS Server
DC.NOVPT.local

ForestDnsZones.NOVPT.local
9906
B2260000

Имя журнала: DNS Server
Источник: Microsoft-Windows-DNS-Server-Service
Дата: 10.01.2015 22:40:21
Код события: 4015
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: DC.NOVPT.local
Описание:
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: «00002189: SvcErr: DSID-03200E24, problem 5002 (UNAVAILABLE), data 1355» (может отсутствовать). Данные о событии содержат сведения об ошибке.
Xml события:

4015
0
2
0
0
0x80000000000000

35

DNS Server
DC.NOVPT.local

00002189: SvcErr: DSID-03200E24, problem 5002 (UNAVAILABLE), data 1355
34000000

Лог Репликация DFS

Имя журнала: DFS Replication
Источник: DFSR
Дата: 10.01.2015 22:54:16
Код события: 6016
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: DC.NOVPT.local
Описание:
Службе репликации DFS не удалось обновить конфигурацию в доменных службах Active Directory. Служба периодически будет пытаться повторить эту операцию.

Дополнительные сведения:
Категория объекта: msDFSR-LocalSettings
DN объекта: CN=DFSR-LocalSettings,CN=DC,OU=Domain Controllers,DC=NOVPT,DC=local
Ошибка: 1355 (Указанный домен не существует или к нему невозможно подключиться.)
Контроллер домена:
Цикл опроса: 60
Xml события:

6016
3
0
0x80000000000000

63
DFS Replication
DC.NOVPT.local

msDFSR-LocalSettings
CN=DFSR-LocalSettings,CN=DC,OU=Domain Controllers,DC=NOVPT,DC=local
1355
Указанный домен не существует или к нему невозможно подключиться.

60

В результате вывод команды dcdiag выглядит так:

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DC
* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Выполнение основных проверок

nslookup

> PS C:UsersАдминистратор> nslookup novpt.local
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

╚ь : novpt.local
Address: 192.168.1.1

Вывод команды Ipconfig /all

Настройка протокола IP для Windows

Ethernet adapter Embedded LOM 1 Port 1:

Вот мой результат выполнения:

+ CategoryInfo : InvalidOperation: (:) [], RuntimeException
+ FullyQualifiedErrorId : InvokeMethodOnNull

Очень прошу помощи в решении сложившейся проблемы. Заранее благодарен.

Источник

Указанный домен не существует или к нему невозможно подключиться

Установил Win 2012 Server. Переименовал ПК. Установил статический IP с ДНСом 127.0.0.1. Установил контроллер домена. Настроил контроллер домена на уровне Win 2012 Server с вкл.флагом DNS сервер. Никаких ошибок при настройке домена не было. В итоге после перезагрузки ПК очень долго думает с надпись «Подождите. «, при попытке открыть все что связано с доменом, например, Active Directory домены и доверия, то выдает ошибку «Указанный домен не существует или к нему невозможно подключиться». Делал еще несколько перезагрузок, в итоге ПК каждый раз очень долго думает с надпись «Подождите. » и также ничего не открывается связанное с доменом.

В логах AD DS ошибка:

Доменным службам Active Directory не удается подключиться к глобальному каталогу.

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.
Внутренний идентификатор:
3200e24

Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.

В логах DNS ошибка:

Список DNS-сервера ограниченных интерфейсов не содержит допустимых IP-адресов для компьютера сервера. DNS-сервер будет использовать все IP-интерфейсы компьютера.

Чтобы проверить и переустановить IP-адреса, которые DNS-сервер должен прослушивать, используйте диспетчер DNS, «Свойства сервера», диалог интерфейсов. Для получения более подробной информации обратитесь к разделу встроенной справки «Прослушивание DNS-сервером только ограниченного числа адресов».

(11) Значит, нужно принудительно захватить роль Domain Naming Master. Тут все расписано: http://saradmin.ru/?p=681

А вообще ума не приложу, как так могло получиться. Или ты в существующей схеме AD свой контроллер создал?

(24) Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = srv
* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Выполнение основных проверок

Источник

Сообщения: 260
Благодарности: 26

pushpinПрофиль | Отправить PM | Цитировать

Изначально был домен на 2003 r2, подняли резервный 2008, записи все реплицировались, сделали 2008 основным.Пришло время удалять 2003 домен, при чем удалил принудительно его теперь нет уже))Роли перед этим все передали на 2008 естественно, после того как удалили его перестал функционировать и 2008. Получается домена нет вообще, пользователи конечно заходят под своими учетками но управления уже ни какого нет. В данный момент когда открываю active directory пишет «Не удалось найти сведения об именах по следующей причине: Указанный домен не существует или к нему невозможно подключиться.Обратитесь к администратору и проверьте правильность настройки домена и что домен работает». Кажется что проблема где то в ДНС, но не могу найти. Опыта маловото еще, 3й месяц работаю всего знаний не так много, сейчас даже не знаю в какую сторону копать.Помогите кто может.

Ethernet adapter Подключение по локальной сети:

Windows PowerShell
(C) Корпорация Майкрософт, 2009. Все права защищены.

PS C:Usersalex> dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = SERV2008
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Выполнение основных проверок

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.
Внутренний идентификатор:
3200e25

Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.»
————————————————
В событиях днс была ошибка
«DNS-серверу не удалось открыть сокет для адреса «192.168.0.101».
Убедитесь, что данный адрес является допустимым IP-адресом компьютера сервера. Если он не является допустимым, используйте диалог «Интерфейсы» на вкладке «Свойства сервера» диспетчера DNS для удаления его из списка IP-интерфейсов. После этого остановите и снова запустите DNS-сервер. (Если этот IP-интерфейс единственный на компьютере, DNS-сервер может не запуститься по причине описанной ошибки. В этому случае удалите значение DNSParameters ListenAddress в разделе служб реестра и перезапустите сервер.)

Если указанный IP-адрес является допустимым для данного компьютера, убедитесь, что не запущены другие приложения (например, другой DNS-сервер), которые могут использовать DNS-порт. «

Вот как то так, даже не знаю че делать.Не хотелось бы создавать новый домен и всех по новой подключать. Спасибо за внимание. Кто знает прошу помощи.

moderator

Сообщения: 3724
Благодарности: 747

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

Выполните команды и вывод покажите:
ntdsutil
roles
connections
connect to server SERV2008
quit
select operation target
list domains
select domain 0
list sites
select site 0
list servers in site »

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

moderator

Сообщения: 3724
Благодарности: 747

Выполните команды и затем перезагрузите КД.
ntdsutil
roles
connections
connect to server SERV2008
quit
metadata cleanup »

Источник

Abu

Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрых выходных вам други.
В общем ЖОПА smile
Начнём по порядку. есть контроллер домена 2003 и реплика его на 2008.
На днях перевёл с 2003 все роли FSMO на 2008. Всё работало, пока не перзапустился 2003. Немного попрыгав я поднял.
В общем на данный момент не работает как надо DNS. Домен не видит инет и всё тут, не по IP не по имени. Например ya.ru пингуется нормально но через браузер пустота как по имени так и по адресу.

Код:

C:Documents and Settingsadmin>netdom query fsmo
Schema owner DC.9000let.ru

Domain role owner DC.9000let.ru

PDC role main-dc.9000let.ru

RID pool manager main-dc.9000let.ru

Infrastructure owner main-dc.9000let.ru

The command completed successfully.

запускаю с 2008 dcdiag

Код:

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DC
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Выполнение основных проверок

Сервер проверки: Default-First-Site-NameDC
Пропуск всех проверок, поскольку сервер DC не отвечает на запросы служ
каталога.

Код:

Настройка протокола IP для Windows

Ethernet adapter Подключение по локальной сети 2:

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Код:

C:Usersskorik>ipconfig /registerdns

Настройка протокола IP для Windows

Начата регистрация записей ресурсов DNS для всех адаптеров этого компьютера. Отчет об ошибках будет выведен в окне «Просмотр событий» через 15 минут.

запускаy с 2003 (он раньше был основной DC)

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-NameMAIN-DC
Starting test: Connectivity
. MAIN-DC passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-NameMAIN-DC
Starting test: Replications
. MAIN-DC passed test Replications
Starting test: NCSecDesc
. MAIN-DC passed test NCSecDesc
Starting test: NetLogons
. MAIN-DC passed test NetLogons
Starting test: Advertising
. MAIN-DC passed test Advertising
Starting test: KnowsOfRoleHolders
. MAIN-DC passed test KnowsOfRoleHolders
Starting test: RidManager
. MAIN-DC passed test RidManager
Starting test: MachineAccount
. MAIN-DC passed test MachineAccount
Starting test: Services
. MAIN-DC passed test Services
Starting test: ObjectsReplicated
. MAIN-DC passed test ObjectsReplicated
Starting test: frssysvol
. MAIN-DC passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
. MAIN-DC failed test frsevent
Starting test: kccevent
. MAIN-DC passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC0001B59
Time Generated: 09/14/2013 15:32:43
(Event String could not be retrieved)
. MAIN-DC failed test systemlog
Starting test: VerifyReferences
. MAIN-DC passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidatio

Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidatio

Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom

Running partition tests on : 9000let
Starting test: CrossRefValidation
. 9000let passed test CrossRefValidation
Starting test: CheckSDRefDom
. 9000let passed test CheckSDRefDom

Running enterprise tests on : 9000let.ru
Starting test: Intersite
. 9000let.ru passed test Intersite
Starting test: FsmoCheck
. 9000let.ru passed test FsmoCheck

Код:

C:Documents and Settingsadmin>ipconfig /registerdns

Настройка протокола IP для Windows

Ошибка регистрации DNS-записей: Сервер RPC недоступен.

ВЫРУЧАЙТЕ ПЛИЗ. Лучше сделать в выходные пока в офисе некого нет, чем в понедельник мне будут выносить мозг.
Куда копать, ссылочки и тд и итп. В нашей всеморной поойке хрен чё найдёшь sad

Всего записей: 23 | Зарегистр. 15-06-2005 | Отправлено: 16:21 14-09-2013
bga83

Silver Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

Например ya.ru пингуется нормально но через браузер пустота как по имени так и по адресу

это значит, что DNS все-таки работает, и проблемы имеются с фаерволами, маршрутами и пр.
Учитывая нехватку данных в части адресов точно ничего сказать нельзя, но советую проверить где именно находится DNS, и корректно ли он прописан на контроллерах.

Всего записей: 2008 | Зарегистр. 30-11-2007 | Отправлено: 16:59 14-09-2013
Flash709

Abu

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору есть три днс
192.168.0.1 freebsd
192.168.0.60 main-DC
192.168.0.248 DC
те что виндовые реплицирут друг друга.
тот что на фрихе идёт как secondary
фишка в том что nslookup со всех котнроллерах определяет всё. пробовал с 192.168.0.1 nslookp
gw1# nslookup
> 192.168.0.60
Server: 192.168.0.60
Address: 192.168.0.60#53

** server can’t find 60.0.168.192.in-addr.arpa.: NXDOMAIN

Внёс руками данные
> 192.168.0.60
Server: 192.168.0.60
Address: 192.168.0.60#53

60.0.168.192.in-addr.arpa name = main-dc.9000let.ru.

Тоже самое было и для 192.168.0.248, также внёс руками.
Фишка в том что если я 100% рабочий 192.168.0.1 прописываю на клиенте как основной DNS, инет всё ровно не открывается. что за хрень уже ума не приложу sad
Также я решил перекинуть все роли с DC обратно на main-dc теперь оёрт что домен не доступен. Видать что-то навернулось в домене, немогу понять что.

Всего записей: 23 | Зарегистр. 15-06-2005 | Отправлено: 17:22 14-09-2013
ipmanyak

FanBoy

Проверь доступность домена с раб станций. Судя по логам репликации у тебя нет, SYSVOL не реплицирован. Как реплицировать SYSVOL найдешь в инете, нос анчала итсправь всё в плане DNS

Добавлено:
А инет то как раздается? NAT или прокси через ФРЮ? NAT или проксю пашут там, проверял?

———-
В сортире лучше быть юзером, чем админом.

Всего записей: 10720 | Зарегистр. 10-12-2003 | Отправлено: 18:36 14-09-2013 | Исправлено: ipmanyak, 20:01 14-09-2013
Flash709

Abu

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak
Спасибо за дельные советы. Попробую сейчас.
Инет через фриху, на ней 80 порт через проксю. На фрихе нечего сломаться не могло 100%.

Добавлено:
У меня подозрение что «саботаж», я буквально на днях поудалял права у пользователей которые каким-то боком были админами домена.
Всё упало вчера вечером примерно в 22-00, до этого момента с утра был сбой ДНС, но я всё восстановил, после чего с помирающего 2003 решил перевести все роли. Перевёл, всё работало. Вечером всё почему-то упало и до сих пор пытаюсь разгрест sad
Подозреваю что-что-то накручено в самом DNS.

Добавлено:
на 192.168.0.60
C:Documents and Settingsadmin>ipconfig /registerdns

Настройка протокола IP для Windows

Ошибка регистрации DNS-записей: Сервер RPC недоступен.

Всего записей: 23 | Зарегистр. 15-06-2005 | Отправлено: 19:47 14-09-2013
ipmanyak

FanBoy

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору внеси исправления и покажи новые dcdiag

———-
В сортире лучше быть юзером, чем админом.

Всего записей: 10720 | Зарегистр. 10-12-2003 | Отправлено: 20:02 14-09-2013
Flash709

Abu

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору c 248 сервера

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DC
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Выполнение основных проверок

Настройка протокола IP для Windows

Ethernet adapter Подключение по локальной сети 2:

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-NameMAIN-DC
Starting test: Connectivity
. MAIN-DC passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-NameMAIN-DC
Starting test: Replications
. MAIN-DC passed test Replications
Starting test: NCSecDesc
. MAIN-DC passed test NCSecDesc
Starting test: NetLogons
. MAIN-DC passed test NetLogons
Starting test: Advertising
. MAIN-DC passed test Advertising
Starting test: KnowsOfRoleHolders
. MAIN-DC passed test KnowsOfRoleHolders
Starting test: RidManager
. MAIN-DC passed test RidManager
Starting test: MachineAccount
. MAIN-DC passed test MachineAccount
Starting test: Services
w32time Service is stopped on [MAIN-DC]
. MAIN-DC failed test Services
Starting test: ObjectsReplicated
. MAIN-DC passed test ObjectsReplicated
Starting test: frssysvol
. MAIN-DC passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
. MAIN-DC failed test frsevent
Starting test: kccevent
. MAIN-DC passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC25A002E
Time Generated: 09/14/2013 20:01:14
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC25A002E
Time Generated: 09/14/2013 20:02:14
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B6F
Time Generated: 09/14/2013 20:02:15
(Event String could not be retrieved)
. MAIN-DC failed test systemlog
Starting test: VerifyReferences
. MAIN-DC passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom

Running partition tests on : 9000let
Starting test: CrossRefValidation
. 9000let passed test CrossRefValidation
Starting test: CheckSDRefDom
. 9000let passed test CheckSDRefDom

Running enterprise tests on : 9000let.ru
Starting test: Intersite
. 9000let.ru passed test Intersite
Starting test: FsmoCheck
. 9000let.ru passed test FsmoCheck

Настройка протокола IP для Windows

ошибку чпро RCP исправил, была выключена слуба клиента DHCP

Всего записей: 23 | Зарегистр. 15-06-2005 | Отправлено: 20:16 14-09-2013
ipmanyak

FanBoy

инет работает с тачек?

———-
В сортире лучше быть юзером, чем админом.

Всего записей: 10720 | Зарегистр. 10-12-2003 | Отправлено: 20:55 14-09-2013
Flash709

Abu

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору нет инет не работает sad
всё остальное ща попробую

Код:

C:Usersskorik>dcdiag /fix

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DC
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Выполнение основных проверок

Код:

REPADMIN/SHOWREPL

Код:

REPADMIN/SYNCALL
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: В данный момент выполняется следующая репликация:
От: d2469942-2a07-457e-ba3e-b1cd9014f4a2._msdcs.9000let.ru
Кому: ebf84c23-97ea-4095-89fe-e97591b71dfb._msdcs.9000let.ru
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: d2469942-2a07-457e-ba3e-b1cd9014f4a2._msdcs.9000let.ru
Кому: ebf84c23-97ea-4095-89fe-e97591b71dfb._msdcs.9000let.ru
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.

Добавлено:
что-то 248 умирает на глазах sad

FanBoy

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору net stop ntfrs
dcdiag /fix
netdiag /fix
net start ntfrs
DCDIAG.EXE /e /test:frssysvol

Если останется все по-прежнему, то читай статью
How to rebuild the SYSVOL tree and its content in a domain
http://support.microsoft.com/kb/315457

В свое время при переносе на виртуалку слетела репликация SYSVOL,
лечил по статье http://support.microsoft.com/kb/315457 правкой реестра, вносил D4

Код:

Краткое содержание:

Добавлено:
Пропажа инета имхо никак не связана с доменом, если в dns сервере на контроллерах прописал пеерсылку неразрешимых запросов.
Покажи что ли трассу и пинг с тачек.

Добавлено:
в днс сервере открой св-ва любого из контроллеров.
Затем вкладка Пересылка (Forwarders) там укажи или адрес фоюхи или провайдерские или гуглевский 8.8.8.8,Я не знаю каек у тебя устроен выход в инет в том числе как переправляются днс запросы, тебе лучше знать.
Также там в днс сервере проверь вкладку Интерфейсы, проверь на каких адресах слушает, 127.0.0.1 убери, пропиши его собственный IP локальный

———-
В сортире лучше быть юзером, чем админом.

Всего записей: 10720 | Зарегистр. 10-12-2003 | Отправлено: 21:09 14-09-2013
Flash709

Abu

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору на клиентах инет забегал вдруг. Почему целый час не бегал после настроек.
Но на серверах инета нет.
За стотейки огромное спасибо, буду читать.

Трассировка маршрута к ya.ru [93.158.134.3]
с максимальным числом прыжков 30:

1

Всего записей: 23 | Зарегистр. 15-06-2005 | Отправлено: 21:23 14-09-2013
ipmanyak

FanBoy

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

На клиентах в DNS прописаны 192.168.0.60 и 192.168.0.1
Ща попробую прописать 248 и 60

На твое усмотрение. Можешь оставить только 192.168.0.1. Но тогда рабочме станции не смогут региться в dns сервере на контроллере, если тебе это не требуется, а оно не очень требуется, то можно наплевать.
nslookup имя_другого_контроллера
должно всегда работать, то есть серверы должны друг друга резолвить и пингать всегда

———-
В сортире лучше быть юзером, чем админом.

Всего записей: 10720 | Зарегистр. 10-12-2003 | Отправлено: 21:27 14-09-2013 | Исправлено: ipmanyak, 21:28 14-09-2013
Flash709

Abu

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:

Затем вкладка Пересылка (Forwarders) там укажи или адрес фоюхи или провайдерские или гуглевский 8.8.8.8,Я не знаю каек у тебя устроен выход в инет в том числе как переправляются днс запросы, тебе лучше знать

ТАм прописано у меня и фриха и провайдер, добавил на всякий случай ещё и гугловскую.
Выход в инет прост, всё идёт на гейт, гейт заварачивает все запросы на провайдера, попутно пропуская всё что с 80,21,8080 портов через squid (для лимита траффика по пользователям) также настроены вланы с ограничением по скорости и тд и тп. но не суть.
100% беда в DNS

Добавлено:
ipmanyak
Если ты с Масквобада, то я готов приехать и проставицца пивом или чем нить покрепче. Если нет, то решаемо smile

Источник

While extending the Active Directory schema for SCCM, I encountered the AD Schema Error Code 1355. In this article, I will cover the solutions to resolve “failed to extend the Active Directory Schema Error Code = 1355”.

One of the important steps that you perform before installing SCCM is creating the system management container and extending the AD Schema. You should only move forward with installation after effectively extending the AD schema for Configuration Manager.

When you extend the Active Directory schema for Configuration Manager, you introduce new structures to Active Directory. Configuration Manager sites use these new structures to publish key information in a secure location where clients can easily access it.

In general, when you extend Active Directory Schema for SCCM, it’s successful. However, in some cases, you may encounter errors such as failed to extend the Active Directory Schema Error Code = 1355.

Recommended Article: How to Find Active Directory Schema Version

The AD schema error 1355 translates to ERROR_NO_SUCH_DOMAIN. This means the specified domain could not be contacted or does not exist. In the below image, we see the error “failed to extend the Active Directory schema” when you use extadsch.exe to extend the AD schema for SCCM. The error details are logged in C:ExtADSch.log.

SCCM Extend AD Schema Error Code 1355

SCCM Extend AD Schema Error Code 1355

Upon reviewing the ExtADSch.log, we see the following errors.

Unable to connect to RootDSE - Cannot update Active Directory. Error code = 1355.
Failed to extend the Active Directory Schema.

failed to extend the Active Directory Schema Error Code = 1355

Failed to extend the Active Directory Schema Error Code = 1355

Also Read: Failed to Extend SCCM Active Directory Schema Error 8202

We will now look for possible solutions to resolve the SCCM extend AD schema error code 1355.

Solution 1: Examine the Event Viewer for Domain Availability errors

The Windows Event Viewer shows a log of application and system messages, including errors, information messages, and warnings. In the event of error 1355, if the Configuration Manager server fails to contact the domain controller, the event viewer should log these errors.

Launch the event viewer on the computer on which you are encountering error code 1355 and expand Windows logs and select System. If you see Event ID 5719, it means your domain isn’t available. Either the machine is unable to find the domain controller or there are DNS issues in the setup.

Remember that whenever your server is unable to reach the domain or has authentication problems, you’ll not be able to extend the AD schema for SCCM. This may result in AD schema error code 1355.

To resolve this issue, you can restart the server once and attempt to extend the schema again. If you still see the NETLOGON errors, contact your system administrator and perform the troubleshooting.

Event Viewer - SCCM AD Schema Error 1355

Event Viewer – SCCM AD Schema Error 1355

Related: Find who uninstalled Application from Windows Server

Solution 2: Perform NSLookup To Troubleshoot DNS Issues

The second troubleshooting step that you can perform to fix the SCCM AD Schema Error 1355 is to perform NSLookup. This is the best tool for troubleshooting DNS resolution issues. By using Nslookup, you can look up any website’s IP address and get detailed information about all the DNS records associated with a particular domain name.

Related Article: Manage Microsoft Account Unusual Sign-in Activity Emails

If you are unable to extend the AD schema for SCCM, you must ensure the Active Directory server is reachable and can be resolved with NSLookup.

Launch the command prompt as an administrator and run the command nslookup ADServerName. You can also run the command nslookup your-domain.com. The NSLookup utility queries the DNS server and returns the IP address.

After you resolve the DNS issues, you should be able to extend the AD schema for Configuration Manager. If you still get error code 1355 during extending AD Schema for SCCM, check the next solution.

Perform NSLookup To Troubleshoot DNS Issues

Perform NSLookup To Troubleshoot DNS Issues

Solution 3: Check the AD Account Permissions

To extend the AD schema, you should use an account that is a member of the Schema Admins security group. If the account doesn’t have permission to extend the AD schema for Configuration Manager, you will end up getting error code 1355.

To check if the account is part of the Schema admins group, launch the Active Directory Users and Computers (ADUC) console. Expand the Domain > Users. You should now see all the users present in your Active Directory. Right-click the user account and select Properties. In the User Account Properties window, switch to the Member of tab, and here the Schema Admins group should be listed.

If you see the Schema Admins group listed under Member of tab, it means the user account is part of Schema Admins group and has permissions to extend the Active Directory Schema for Configuration Manager.

Check the AD Account Permissions

Check the AD Account Permissions

Restarting a Windows server usually solves the majority of problems. A single reboot normally helps, and you can try the same when you encounter error code 1355 for AD Schema error.

Useful Article: Windows Server Boot Loop Issues

Now let’s try to extend the schema by running the extadsch.exe command. We see “Successfully extended the Active Directory schema“, which indicates that the schema has been extended for Configuration Manager successfully.

Extend AD Schema for ConfigMgr Successful

Extend AD Schema for ConfigMgr Successful

The ExtADSch.log also confirms that the Active Directory schema for Configuration Manager has been extended successfully.

Extend AD Schema for ConfigMgr Successful

Extend AD Schema for ConfigMgr Successful

Read Next

  • Create System Management Container, Extend AD Schema
  • Reset DSRM Administrator Password using Ntdsutil
  • Upgrade Domain Controller – Server 2019 to Server 2022
  • Enable Active Directory Recycle Bin

Photo of Prajwal Desai

Prajwal Desai is a Microsoft MVP in Enterprise Mobility. He writes articles on SCCM, Intune, Windows 365, Azure, Windows Server, Windows 11, WordPress and other topics, with the goal of providing people with useful information.

  • Служба самсунг experience произошел сбой как исправить ошибку
  • Служба репликации файлов обнаружила ошибку jrnl wrap error
  • Служба регистрации ошибок не останавливается
  • Служба регистрации ошибок виндовс
  • Служба регистрации ошибок windows можно ли отключить