оЕ ЪОБА, ЮФП РТПЙЪПЫМП, ОП УП ЧЮЕТБЫОЕЗП ДОС ЧПЪОЙЛМЙ РТПВМЕНЩ У
ЛПОФТПММЕТБНЙ ДПНЕОБ.
оЕ ЧПЪНПЦОП ЧПКФЙ ОБ УЕТЧЕТ, ОБРТЙНЕТ LSASRV ОБ ЖБКМ УЕТЧЕТ УППВЭБЕФ:

The Security System detected an autenfication error for the Server
LDAP/adc1.domain.lical/@DOMAIN.LOCAL
The failure code from authenfication protocol Kerberos was @There are
currently no logon servers available to service the logon request
(0xc000005e)

дТХЗЙЕ УМХЦВЩ УППВЭБАФ РТЙНЕТОП БОПМПЗЙЮОПЕ. у ТБВПЮЙИ УФБОГЙК ЙОПЗДБ
ХДБЕФУС (ПЮЕОШ ТЕДЛП ЧПКФЙ, ОП ЮБЭЕ РТПУЙФ ЧЧЕУФЙ РБТПМШ). ч УЕФЕЧПН
ПЛТХЦЕОЙЕ ЧЙДОЩ ЧУЕ НБЫЙОЩ.

чЮЕТБ ХДБМСМ ЙЪ доу ЪБРЙУШ ПВ WINS, ОП УЕЗПДОС ЧПУУФБОПЧЙМ, ТСД РТПВМЕН
ЙУЮЕЪ (ЛБУБМЙУШ УППВЭЕОЙК Ч ЖБКТЧПМЕ ОБУЮЕФ NETBIOS - ПВТБЭЕОЙЕ РП ВТПДЛБУФ
БДТЕУБН), ОП ПУОПЧОБС ПУФБЕФУС, ОЕ ХДБЕФУС УЧСЪБФШУС У ЛПОФТПММЕТПН.

йНЕЕФУС ДЧБ ЛПОФТПММЕТБ ДПНЕОБ, ОБ ЛБЦДПН УФПЙФ DNS, DHCP, WINS

рЕТЕДБЮБ ТПМЕК У ЛПОФТПММЕТБ ОБ ЛПОФТПММЕТ РТПИПДЙФ Ч ПУОПЧОПН ОПТНБМШОП, ОП
ЙОПЗДБ ЕУФШ УВПЙ ФП Ч ТЕЛМЙЛБГЙЙ, ФП Ч РЕТЕДБЮЙ ТПМЙ НБУФЕТБ ЙНЕОПЧБОЙК, ОП
УРХУФС ОЕЛПФПТПЕ ЧТЕНС РЕТЕДБЕФУС.
зМПВБМШОЩК ЛБФБМПЗ ОБ ПВЕЙИ ЛПОФТПММЕТПЧ ДПНЕОБ.

уППФЧЕФУФЧЕООП ОЕ ТБВПФБЕФ ТЕРМЙЛБГЙС НЕЦДХ ЖБКМ-УЕТЧЕТБНЙ, РПУЛПМШЛХ ОЕ
ОБИПДЙФ ЛПОФТПММЕТ ДПНЕОБ. оЕ ЧПЪНПЦОП ПФПВТБЪЙФШ namespace.

юЕЗП ФПМШЛП ОЕ РТПВПЧБМ, ЗПМПЧБ ХЦЕ ЮХЗХООБС.

рТПВМЕНБ ЧЕТПСФОЕЕ ЧУЕЗП Ч доу, ОП ЧЩКФЙ ОБ ОЕЕ ОЕ ХДБЕФУС. еДЙОУФЧЕООП
ЧПУУФБОПЧМЕОЙЕ ЪБРЙУЕК WINS УОСМП ЮБУФШ РТПВМЕН, ЪБРЙУЙ Ч доу ДЕМБЕФ УБНБ
УМХЦВБ.



Posted via ActualForum NNTP Server 1.4

Проблемы с кодировкой при постинге из NNTP

Не знаю, что произошло, но со вчерашнего дня возникли проблемы с контроллерами домена.
Не возможно войти на сервер, например LSASRV на файл сервер сообщает:

The Security System detected an autenfication error for the Server LDAP/adc1.domain.lical/@DOMAIN.LOCAL
The failure code from authenfication protocol Kerberos was @There are currently no logon servers available to service the logon request (0xc000005e)

Другие службы сообщают примерно анологичное. С рабочих станций иногда удается (очень редко войти, но чаще просит ввести пароль). В сетевом окружение видны все машины.

Вчера удалял из ДНС запись об WINS, но сегодня восстановил, ряд проблем исчез (касались сообщений в файрволе насчет NETBIOS - обращение по бродкаст адресам), но основная остается, не удается связаться с контроллером.

Имеется два контроллера домена, на каждом стоит DNS, DHCP, WINS

Передача ролей с контроллера на контроллер проходит в основном нормально, но иногда есть сбои то в рекликации, то в передачи роли мастера именований, но спустя некоторое время передается.
Глобальный каталог на обеих контроллеров домена.

Соответственно не работает репликация между файл-серверами, поскольку не находит контроллер домена. Не возможно отобразить namespace.

Чего только не пробовал, голова уже чугунная.

Проблема вероятнее всего в ДНС, но выйти на нее не удается. Единственно восстановление записей WINS сняло часть проблем, записи в ДНС делает сама служба.

роли гоняю, для проверки и для проверки с выключеным контроллером.
Утилиты прогнал еще с утра, ошибок нет, тесты passed
Логи точно также с утра анализирую, суть их сводится по сути к тому, что не удается пройти аутентификацию, некоторые говорят явно, что недоступен контроллер домена, остальные просто указывают не невозможность выполнения операции.

Осталось одно средство понизить один контроллер и потом снова повысить, но думаю это без результатно, если проблема в ДНС, то реплицированы будут теже самые данные, репликация кстати между ДНС работает. Работает репликация между WINS. Не работает аутентификация и соответственно ни пользователи, ни службы не могут получить права.
Причина почему прекратило работать не известно, из серьезного убирал только WINS и вторые сетевые карты для удаленного администрирования. Правда примерно в то время когда прекратило работать, может что то зацепило, но вопрос что и как бороть.

За сегодняшний день, чего я только не перепробовал. Все безрезультатно. Есть файрвол, но стоит отдельно и не зависимо включен или нет, работа не меняется. Шлюз я пробовал и через файрвол и через другой путь. На клиентах пока не стоит файрвол клиент (эта часть в стадии отладки), но на моей машине есть возможность использовать клиент или нет. Результат одинаков, кроме того, что когда был удалена служба WINS, то файрвол регистрировал ошибки обращения по NETBIOS по адресам 192.168.1.255 и 255.255.255.255, после востановления WINS эти ошибки прекратились.

Ну а роли менял для проверки, чтобы не грешить на них и контроллер, ну и что бы проверить, что связь между контроллерами есть.

Дополнительная информация с любого контроллера домен есть стабильный доступ до любых серверов. Ну это понятно, они обладают этой информацией, а вот внешние источники не могут достучаться до контроллеров. Сканирование портов показывает, что все необходимые порты открыты и слушают. Это DNS, WINS, LDAP, Kerberos и прочее.

Насчет сетевых плат проверю, восстановить нет проблем, поскольку встроеные.

Гораздо интереснее другое, насчет ДНС, возможно случайно удалена какая ни будь важная запись, поскольку удаленно удалял из ДНС запись Wind Lookup и мог случайно удалить соседнею, тем более, что в тот момент возникли сетевые проблемы у провайдера.
Нет ли у кого под рукой домена Windows 2003, интересуют серверные записи SRV и подобные из доменной зоны и из _msdsc

Платы удалялись (запрещались) только на серверах, рабочии станции не трогались. Правда подобное делалось и ранее несколько раз. Но сейчас попробую это проверить, восстановить на контроллерах домена и посмотрю на результат, правда не смогу удаленно воткнуть кабеля, но это вроде не должно повлиять.

Dimitry SibiryakovНе то, чтобы я верил в полезность, но... время синхронизировано (включая
часовые пояса)?
Первое что сделал, правда я и не трогал время.
Проблема в том, что недоступен NETLOGON сервис и отсюда все проблемы.

Буду сейчас пробовать по рекомендации с сетевыми платами, может действительно дело в этом. Например, когда восстанавливал WINS откуда то выплыли старые ИП адреса. Сам WINS мне не нужен, включил временно.

Огромное спасибо.
Если не затруднит, то приведи и доменные записи. А я пока сравню эти со своими.
У меня есть следующие записи


Пока провел эксперимент с сетевыми платами, вернул их в систему.
На контроллерах ИП адреса плате присвоились, а на серверах нет, кабель требует.
Проверка подключения к домену пока спорная, с рабочей станции вроде стало входить, с серверов пока нет, но пока и адресов для второй платы не присвоено.

Сравнил, есть различия в _msdcs:, но это связано с двумя контроллерами. Два GUID, два NS и Wins Lookup

Остально по сути одинаково, включая номера портов

Сравнил, есть различия в _msdcs:, но это связано с двумя контроллерами. Два GUID, два NS и Wins Lookup

Остально по сути одинаково, включая номера портов

MZHКстати, в твоем списке не видно ни A, ни CNAME для DC2. Или ты их поправил при копировании?
Есть только одна запись, в домене, в DomainDnsZones, ForestDnsZone, одинаково на обеих ДНС
вот полный текст

В обеих ДНС
Рекомендуешь сделать две?
Во всех трех местах и в обеих ДНС (правда это автоматически реплицируется)?
Но это не должно влиять, это для обращения без имени контроллера (domain.local)

MZHТогда я бы еще раз проверил, что творится при аутентификации клиентов, включив предварительно на контроллерах аудит отказов по максимуму.
Посмотрю дома Зубанова, может, подкинет свежих идей :)
Врядли на контроллере будут какие либо записи, поскольку вроде станции не могут найти контроллер (NETLOGON), как я понимаю это GC порты 3268/3269
Но включу, забыл что есть аудит.

MZHЯ бы добавил записи для второго.
Ведь если нет А-записей, то откуда клиентам и первому контроллеру его отыскать? Без прямого сопоставления вряд ли его определят.
Если я добавлю в один ДНС, то записи будут реплицированы, поэтому если добавлять то будут две строчки во всех ДНС
Другое дело если добавлять в _msdcs/dc но это тоже будет по две одинаковых строчки, эти записи тоже реплицируются. А это значит, что контроллер будет по очереди выдавать, то один, то второй контроллер, при соответствующих запросах.

Кстати где именно включить аудит?

Попал на другую рабочую станцию, результата нет, разрешение платы не помогло.

MZHНа сегодня свежих идей уже нет, уезжаю домой :)
Запустил ставить второй контроллер, завтра посмотрю, как правильно выглядит DNS с двумя контроллерами.
А я наверно попробую поставить для теста третий контроллер.

MZHК слову о птичках, вот что получилось после добавления второго:
Name Type Data

(same as parent folder) Start of Authority (SOA) [41], ad-vm1.ad-test.com., hostmaster.ad-test.com.
(same as parent folder) Name Server (NS) ad-vm1.ad-test.com.
(same as parent folder) Host (A) 192.168.247.130
(same as parent folder) Host (A) 192.168.247.3
ad-vm1 Host (A) 192.168.247.3
AD-VM2 Host (A) 192.168.247.130

По-моему, у тебя немного не так.
Но все остальное завтра :)
В какой зоне?

авторс трудом осилил топик и вот мои 2 копейки:
подозреваю "dns island" ибо в днс на обоих контроллерах д.б. одинаковые зоны и сервисные записи в основном должны содержать оба контроллера ... исключение - записи ролей ...
кроме того смущает присутствие в записях вместо "DC1" имён "DC" ...
непонятны описатели в разных днс-партишнах .. днс контроллеров интегрированы через один и тот же партишн в AD ?
в прямой зоне также не хватает a-записи другого контроллера ...
непонятно вообще как репликация работает ...
---
при поднятии второго контроллера не поторопилися ему личный днс поставить до момента када прошла репликация зон с первого контроллера ?
Зоны одинаковые, но многое в твоих словах не понятно, можно более конкретно, например не понятно что имеется в виду под ролями и насчет записей контроллера, предлагаешь так, например для _msdcs.domain.local/dc/_tcp предлагаешь сделать такие записи
и так далее?
А если какие нибудь варианты с уничтожением зон? Создадутся и реплицируются?

Вообще какой путь правильный в данной ситуации?
Но выключение контроллера не меняет ситуацию.
Насчет DC1 и DC это просто описки, имеются ввиду ADC1 и ADC2
Что имеется ввиду под паритишеными и интегрированием в один и тотже паритишн. ДНС - AD integrated в единственный домен domain.local и расположены на обеих контролерах.
Насчет прямой зоны, их же по крайней мере две (у меня три) и в каждой зоне есть папки, какую конкретно и в каком месте A запись ты имеешь ввиду, можно как ни будь более конкретно?

Насчет поторопился, возможно, я поднял контроллер и дал ему роль, при этом создал зону. Может стоит убрать роль и снова дать ДНС роль второму контроллеру, не создавая при этом зон.
Я не могу сообразить какой путь и какую последовательность надо сделать в данный момент.
Могу при необходимости понизить роль до сервера и потом снова поднять, если это будет более быстрый и более простой вариант.
И как именно поднимать ДНС, роль сама создастся - врядли, могу дать роль и ничего не трогать - зоны сами создадутся через репликацию или как.

Я лично дал роль и создал доменную прямую и обратную зону, ввел пару записей, остальное само реплицировалось, но были ошибки.

Мне нужна стратегия, как сейчас поступить.
Домен рабочий, пользователи работают уже несколько недель, проблема возникла вчера. Причина непонятна, иначе было бы проще.

Можно дать какие либо конкретные советы, как мне выйти из ситуации, точный рецепт не нужен, если только не о введение дополнительных, отсутствующих записей в существующий ДНС.

Я просто не представляю что мне сейчас делать, как восстановить работу малой кровью и чтобы ситуация не повторилась через некоторое время.

Если можно, то очень нужна помощь. Без нее я могу потратить много времени, которое в данном случае золото.

Вот информация об ошибки при установке дополнительного контроллера, может это подскажет где у меня ошибка.

DNS was successfully queries for the service location (SRV) resource used to locate a dfomain controller foe domain nitrofert.local

The query was foer the SRV record for _ldap._tcp.dc/_msdcs.nitrofert.local

The following domain controller were identified by the query:

adc1.nitrofert.local

Common causes of this error include:

- Host (A) record that map the name of the domain controller to its IP addresses are missing or contain incorrect addresses/

- Domain controller registerd in DNS are not connected to the network or are not running.

Вроде как где то надо проставить адрес этого контроллера, адреса (A) есть в следующих местах в доменной зоне, в DoьainDnsZone, в ForestDnsZone

Где у меня ошибка?

В доменной зоне () есть запись об adc1.nitrofert.local и об

Соответсвенно есть и обратные записи для зоны 192.16.1.x

Biz© авторпредлагаешь сделать такие записи

_ldap SRV [0][100][389] adc1.domain.local
_ldap SRV [0][100][389] adc2.domain.local
_kerberos SRV [0][100][88] adc1.domain.local
_kerberos SRV [0][100][88] adc2.domain.local
и так далее?
именно ... в вашем случае только в pdc дб 1 запись на dc с заданной ролью.

автор A 192.168.1.32
adc1 A 192.168.1.32
adc2 A 192.168.1.33
нужна ещё
автор A 192.168.1.33
Не думаю, что дело в этом, по существующей схема система отработало несколько недель.
Конечно не добавить, но как это будет работать, ведь один раз будет выдавать .32, второй раз .33, аналогично и для _ldap записей.
А у тебя именно так сделано, продублированы все записи _ldap, _kerberos во всех ветках _msdsc и доменной зоны?

Если опирать на последнею информацию при попытке установки дополнительного контроллера, то выходит, что из _msdsc получается запись об adc1, а вот запись об adc1 как бы получить не может, хотя запись есть в ДНС и nslookup нормально резолвит. Тут что то другое, может быть в керберос или с глобальным каталогом. Хотя время везде совпадает, да и отпал целый домен (кстати не совсем отпал, если долго ждать, то в сетевом окружении появляется ссылка DFS on nitrofert.local, дальше правда не удается пройти, только изредка, но вчера моя рабочая станция смогла подключиться почти ко всем серверам, по крайней мере на первый уровень дерева, на второй уровень опять или отказ или большая пауза).

Сейчас проверяю все связаное, например нашел проблему в реестре по W32Time, после смены роли PDC осталась запись NT5DS вместо NTP, исправил, но это не дало результата.

Сейчас еще проверю политики контроллеров и кербероса, может там что найду, по крайней мере временно снижу уровень безопасности до NTLM, может будет временное решение, а то людям надо работать, а доступа к серверу нет, уже вторые сутки. Посмотрю сетевым монитором повнимательнее, пока ничего плохого не нашел.

Восстановил вторые сетевые карты, тоже без результата.

По WINS - вот здесь вижу не порядок, запись 1С только дляя первого контроллера, а по идее должны быть две. Кроме того после подключения второй карты собственником записей стала вторая карта, а адрес у нее публичный, не знаю только на что влияет поле OWNER. WINS на данный момент один, второй остановлен, но когда запущет, то есть непорядок, запись 1С ссылается только на свой контроллер, а должно быть две записи, по одной на контролер.
Но WINS включен только временно, пока не разрешу проблему.

Biz©насчёт партишнов гляньте в остнастке днс там где задаётся интеграция зон в AD ... там 3 варианта репликации ... выберите одинаковый вариант на обоих днс ...
Перерыл все меню и ничего не нашел, есть единственный пункт Create Default ... на этот пункт ругается, говорит уже есть. Может ты имеешь ввиду Zone Transfer для каждой зоны, так у меня везде стоит - Only tо servers on the Name Servers tab

Biz© авторпредлагаешь сделать такие записи

_ldap SRV [0][100][389] adc1.domain.local
_ldap SRV [0][100][389] adc2.domain.local
_kerberos SRV [0][100][88] adc1.domain.local
_kerberos SRV [0][100][88] adc2.domain.local
и так далее?
именно ... в вашем случае только в pdc дб 1 запись на dc с заданной ролью.

автор A 192.168.1.32
adc1 A 192.168.1.32
adc2 A 192.168.1.33
нужна ещё
автор A 192.168.1.33
Не думаю, что дело в этом, по существующей схема система отработало несколько недель.
Конечно не добавить, но как это будет работать, ведь один раз будет выдавать .32, второй раз .33, аналогично и для _ldap записей.
А у тебя именно так сделано, продублированы все записи _ldap, _kerberos во всех ветках _msdsc и доменной зоны?

Если опирать на последнею информацию при попытке установки дополнительного контроллера, то выходит, что из _msdsc получается запись об adc1, а вот запись об adc1 как бы получить не может, хотя запись есть в ДНС и nslookup нормально резолвит. Тут что то другое, может быть в керберос или с глобальным каталогом. Хотя время везде совпадает, да и отпал целый домен (кстати не совсем отпал, если долго ждать, то в сетевом окружении появляется ссылка DFS on nitrofert.local, дальше правда не удается пройти, только изредка, но вчера моя рабочая станция смогла подключиться почти ко всем серверам, по крайней мере на первый уровень дерева, на второй уровень опять или отказ или большая пауза).

Сейчас проверяю все связаное, например нашел проблему в реестре по W32Time, после смены роли PDC осталась запись NT5DS вместо NTP, исправил, но это не дало результата.

Сейчас еще проверю политики контроллеров и кербероса, может там что найду, по крайней мере временно снижу уровень безопасности до NTLM, может будет временное решение, а то людям надо работать, а доступа к серверу нет, уже вторые сутки. Посмотрю сетевым монитором повнимательнее, пока ничего плохого не нашел.

Восстановил вторые сетевые карты, тоже без результата.

По WINS - вот здесь вижу не порядок, запись 1С только дляя первого контроллера, а по идее должны быть две. Кроме того после подключения второй карты собственником записей стала вторая карта, а адрес у нее публичный, не знаю только на что влияет поле OWNER. WINS на данный момент один, второй остановлен, но когда запущет, то есть непорядок, запись 1С ссылается только на свой контроллер, а должно быть две записи, по одной на контролер.
Но WINS включен только временно, пока не разрешу проблему.

Сделал дублированые записи, во всех зонах и папках на adc1/adc2, кроме _tcp._pdc._msdsc
Результата конечно не дало, но может так правильнее.

Dimitry Sibiryakov
Анатолий, извини за глупый вопрос, а ты dcdiag /fix не пробовал? Он по
идее должен зарегистрировать все необходимые DNS записи...
Спасибо за совет, не пробовал, но взял на воружение.

Сначала о проблеме - проблема решана, оказалось, что файрвол клиент и контроллер противопоказаны, убрал клиента, все заработало.
Огромное спасибо всем кто помогал советами.

По ДНС
появилась ожидаемая "проблема", при nslookup 192.168.1.33 получаю по кругу (round robin)
но только для adc2

Dimitry Sibiryakov
Анатолий, извини за глупый вопрос, а ты dcdiag /fix не пробовал? Он по
идее должен зарегистрировать все необходимые DNS записи...
Проверил, новых не зарегистрировал, но разрегистрировал все WINS Lookup
мне осталось только убрать эту роль.

Возвращаюсь обратно к этой теме.
Вчера обнаружил, что в ДНС разрегистрировались почти все записи, которые относились к первому контроллеру, на котором как раз все роли.
Сеть работала, но временами некоторые подвисания.
Восстановил все или почти все и теперь надо понаблюдать, случайность это или закономерность.

Да пробовал я все это и registerdns и dcdiag/fix
Просто интересно куда все это делось.
Вероятность рук не исключаю.

MZHА если включить расгиренный логгинг DNS и посмотреть, чем он занимается?
Ну сейчас поздно смотреть, пока все в норме.

Если повторится, то придется включить, хотя представляю размер помойки.

aleks2 Anatoly PodgoretskyВозвращаюсь обратно к этой теме.
Вчера обнаружил, что в ДНС разрегистрировались почти все записи, которые относились к первому контроллеру, на котором как раз все роли.
Сеть работала, но временами некоторые подвисания.
Восстановил все или почти все и теперь надо понаблюдать, случайность это или закономерность.

Дык у тебя ДВА контроллера и ОДИН DNS?
Мазохист...
У меня AD Integrated DNS - а машин две (первый и второй контроллер домена), на которых поднят этот ДНС.