оЕ ЪОБА, ЮФП РТПЙЪПЫМП, ОП УП ЧЮЕТБЫОЕЗП ДОС ЧПЪОЙЛМЙ РТПВМЕНЩ У
ЛПОФТПММЕТБНЙ ДПНЕОБ.
оЕ ЧПЪНПЦОП ЧПКФЙ ОБ УЕТЧЕТ, ОБРТЙНЕТ LSASRV ОБ ЖБКМ УЕТЧЕТ УППВЭБЕФ:

The Security System detected an autenfication error for the Server
LDAP/adc1.domain.lical/@DOMAIN.LOCAL
The failure code from authenfication protocol Kerberos was @There are
currently no logon servers available to service the logon request
(0xc000005e)

дТХЗЙЕ УМХЦВЩ УППВЭБАФ РТЙНЕТОП БОПМПЗЙЮОПЕ. у ТБВПЮЙИ УФБОГЙК ЙОПЗДБ
ХДБЕФУС (ПЮЕОШ ТЕДЛП ЧПКФЙ, ОП ЮБЭЕ РТПУЙФ ЧЧЕУФЙ РБТПМШ). ч УЕФЕЧПН
ПЛТХЦЕОЙЕ ЧЙДОЩ ЧУЕ НБЫЙОЩ.

чЮЕТБ ХДБМСМ ЙЪ доу ЪБРЙУШ ПВ WINS, ОП УЕЗПДОС ЧПУУФБОПЧЙМ, ТСД РТПВМЕН
ЙУЮЕЪ (ЛБУБМЙУШ УППВЭЕОЙК Ч ЖБКТЧПМЕ ОБУЮЕФ NETBIOS - ПВТБЭЕОЙЕ РП ВТПДЛБУФ
БДТЕУБН), ОП ПУОПЧОБС ПУФБЕФУС, ОЕ ХДБЕФУС УЧСЪБФШУС У ЛПОФТПММЕТПН.

йНЕЕФУС ДЧБ ЛПОФТПММЕТБ ДПНЕОБ, ОБ ЛБЦДПН УФПЙФ DNS, DHCP, WINS

рЕТЕДБЮБ ТПМЕК У ЛПОФТПММЕТБ ОБ ЛПОФТПММЕТ РТПИПДЙФ Ч ПУОПЧОПН ОПТНБМШОП, ОП
ЙОПЗДБ ЕУФШ УВПЙ ФП Ч ТЕЛМЙЛБГЙЙ, ФП Ч РЕТЕДБЮЙ ТПМЙ НБУФЕТБ ЙНЕОПЧБОЙК, ОП
УРХУФС ОЕЛПФПТПЕ ЧТЕНС РЕТЕДБЕФУС.
зМПВБМШОЩК ЛБФБМПЗ ОБ ПВЕЙИ ЛПОФТПММЕТПЧ ДПНЕОБ.

уППФЧЕФУФЧЕООП ОЕ ТБВПФБЕФ ТЕРМЙЛБГЙС НЕЦДХ ЖБКМ-УЕТЧЕТБНЙ, РПУЛПМШЛХ ОЕ
ОБИПДЙФ ЛПОФТПММЕТ ДПНЕОБ. оЕ ЧПЪНПЦОП ПФПВТБЪЙФШ namespace.

юЕЗП ФПМШЛП ОЕ РТПВПЧБМ, ЗПМПЧБ ХЦЕ ЮХЗХООБС.

рТПВМЕНБ ЧЕТПСФОЕЕ ЧУЕЗП Ч доу, ОП ЧЩКФЙ ОБ ОЕЕ ОЕ ХДБЕФУС. еДЙОУФЧЕООП
ЧПУУФБОПЧМЕОЙЕ ЪБРЙУЕК WINS УОСМП ЮБУФШ РТПВМЕН, ЪБРЙУЙ Ч доу ДЕМБЕФ УБНБ
УМХЦВБ.



Posted via ActualForum NNTP Server 1.4

Проблемы с кодировкой при постинге из NNTP

Не знаю, что произошло, но со вчерашнего дня возникли проблемы с контроллерами домена.
Не возможно войти на сервер, например LSASRV на файл сервер сообщает:

The Security System detected an autenfication error for the Server LDAP/adc1.domain.lical/@DOMAIN.LOCAL
The failure code from authenfication protocol Kerberos was @There are currently no logon servers available to service the logon request (0xc000005e)

Другие службы сообщают примерно анологичное. С рабочих станций иногда удается (очень редко войти, но чаще просит ввести пароль). В сетевом окружение видны все машины.

Вчера удалял из ДНС запись об WINS, но сегодня восстановил, ряд проблем исчез (касались сообщений в файрволе насчет NETBIOS - обращение по бродкаст адресам), но основная остается, не удается связаться с контроллером.

Имеется два контроллера домена, на каждом стоит DNS, DHCP, WINS

Передача ролей с контроллера на контроллер проходит в основном нормально, но иногда есть сбои то в рекликации, то в передачи роли мастера именований, но спустя некоторое время передается.
Глобальный каталог на обеих контроллеров домена.

Соответственно не работает репликация между файл-серверами, поскольку не находит контроллер домена. Не возможно отобразить namespace.

Чего только не пробовал, голова уже чугунная.

Проблема вероятнее всего в ДНС, но выйти на нее не удается. Единственно восстановление записей WINS сняло часть проблем, записи в ДНС делает сама служба.

роли гоняю, для проверки и для проверки с выключеным контроллером.
Утилиты прогнал еще с утра, ошибок нет, тесты passed
Логи точно также с утра анализирую, суть их сводится по сути к тому, что не удается пройти аутентификацию, некоторые говорят явно, что недоступен контроллер домена, остальные просто указывают не невозможность выполнения операции.

Осталось одно средство понизить один контроллер и потом снова повысить, но думаю это без результатно, если проблема в ДНС, то реплицированы будут теже самые данные, репликация кстати между ДНС работает. Работает репликация между WINS. Не работает аутентификация и соответственно ни пользователи, ни службы не могут получить права.
Причина почему прекратило работать не известно, из серьезного убирал только WINS и вторые сетевые карты для удаленного администрирования. Правда примерно в то время когда прекратило работать, может что то зацепило, но вопрос что и как бороть.

За сегодняшний день, чего я только не перепробовал. Все безрезультатно. Есть файрвол, но стоит отдельно и не зависимо включен или нет, работа не меняется. Шлюз я пробовал и через файрвол и через другой путь. На клиентах пока не стоит файрвол клиент (эта часть в стадии отладки), но на моей машине есть возможность использовать клиент или нет. Результат одинаков, кроме того, что когда был удалена служба WINS, то файрвол регистрировал ошибки обращения по NETBIOS по адресам 192.168.1.255 и 255.255.255.255, после востановления WINS эти ошибки прекратились.

Ну а роли менял для проверки, чтобы не грешить на них и контроллер, ну и что бы проверить, что связь между контроллерами есть.

Дополнительная информация с любого контроллера домен есть стабильный доступ до любых серверов. Ну это понятно, они обладают этой информацией, а вот внешние источники не могут достучаться до контроллеров. Сканирование портов показывает, что все необходимые порты открыты и слушают. Это DNS, WINS, LDAP, Kerberos и прочее.

Насчет сетевых плат проверю, восстановить нет проблем, поскольку встроеные.

Гораздо интереснее другое, насчет ДНС, возможно случайно удалена какая ни будь важная запись, поскольку удаленно удалял из ДНС запись Wind Lookup и мог случайно удалить соседнею, тем более, что в тот момент возникли сетевые проблемы у провайдера.
Нет ли у кого под рукой домена Windows 2003, интересуют серверные записи SRV и подобные из доменной зоны и из _msdsc

Платы удалялись (запрещались) только на серверах, рабочии станции не трогались. Правда подобное делалось и ранее несколько раз. Но сейчас попробую это проверить, восстановить на контроллерах домена и посмотрю на результат, правда не смогу удаленно воткнуть кабеля, но это вроде не должно повлиять.

Dimitry SibiryakovНе то, чтобы я верил в полезность, но... время синхронизировано (включая
часовые пояса)?
Первое что сделал, правда я и не трогал время.
Проблема в том, что недоступен NETLOGON сервис и отсюда все проблемы.

Буду сейчас пробовать по рекомендации с сетевыми платами, может действительно дело в этом. Например, когда восстанавливал WINS откуда то выплыли старые ИП адреса. Сам WINS мне не нужен, включил временно.

Огромное спасибо.
Если не затруднит, то приведи и доменные записи. А я пока сравню эти со своими.
У меня есть следующие записи


Пока провел эксперимент с сетевыми платами, вернул их в систему.
На контроллерах ИП адреса плате присвоились, а на серверах нет, кабель требует.
Проверка подключения к домену пока спорная, с рабочей станции вроде стало входить, с серверов пока нет, но пока и адресов для второй платы не присвоено.

Сравнил, есть различия в _msdcs:, но это связано с двумя контроллерами. Два GUID, два NS и Wins Lookup

Остально по сути одинаково, включая номера портов

Сравнил, есть различия в _msdcs:, но это связано с двумя контроллерами. Два GUID, два NS и Wins Lookup

Остально по сути одинаково, включая номера портов

MZHКстати, в твоем списке не видно ни A, ни CNAME для DC2. Или ты их поправил при копировании?
Есть только одна запись, в домене, в DomainDnsZones, ForestDnsZone, одинаково на обеих ДНС
вот полный текст

В обеих ДНС
Рекомендуешь сделать две?
Во всех трех местах и в обеих ДНС (правда это автоматически реплицируется)?
Но это не должно влиять, это для обращения без имени контроллера (domain.local)

MZHТогда я бы еще раз проверил, что творится при аутентификации клиентов, включив предварительно на контроллерах аудит отказов по максимуму.
Посмотрю дома Зубанова, может, подкинет свежих идей :)
Врядли на контроллере будут какие либо записи, поскольку вроде станции не могут найти контроллер (NETLOGON), как я понимаю это GC порты 3268/3269
Но включу, забыл что есть аудит.

MZHЯ бы добавил записи для второго.
Ведь если нет А-записей, то откуда клиентам и первому контроллеру его отыскать? Без прямого сопоставления вряд ли его определят.
Если я добавлю в один ДНС, то записи будут реплицированы, поэтому если добавлять то будут две строчки во всех ДНС
Другое дело если добавлять в _msdcs/dc но это тоже будет по две одинаковых строчки, эти записи тоже реплицируются. А это значит, что контроллер будет по очереди выдавать, то один, то второй контроллер, при соответствующих запросах.

Кстати где именно включить аудит?

Попал на другую рабочую станцию, результата нет, разрешение платы не помогло.

MZHНа сегодня свежих идей уже нет, уезжаю домой :)
Запустил ставить второй контроллер, завтра посмотрю, как правильно выглядит DNS с двумя контроллерами.
А я наверно попробую поставить для теста третий контроллер.