[1126] Доменным службам Active Directory не удается подключиться к глобальному каталогу

Windows / MS
1

Начала появляться такая ошибка после установки второго КД
Оба КД работают на Win2008R2 x64

Репликация работает нормально. Ошибка появляется только на КД1. На КД2 журнал чистый, без ошибок.

КД1:

[spoiler=DCDIAG]Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = DCServer

  • Идентифицирован лес AD.
    Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DCSERVER
Запуск проверки: Connectivity
… DCSERVER - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DCSERVER
Запуск проверки: Advertising
… DCSERVER - пройдена проверка Advertising
Запуск проверки: FrsEvent
… DCSERVER - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об
ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
… DCSERVER - не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
… DCSERVER - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
… DCSERVER - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
… DCSERVER - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
… DCSERVER - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
… DCSERVER - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
… DCSERVER - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
… DCSERVER - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
… DCSERVER - пройдена проверка Replications
Запуск проверки: RidManager
… DCSERVER - пройдена проверка RidManager
Запуск проверки: Services
… DCSERVER - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x00004E8F
Время создания: 12/31/2015 17:47:29
Строка события:
Подключение по требованию к удаленному интерфейсу “PPPoE” через порт “PPPoE4-0” успешно инициировано, но не
закончено, из-за ошибки: В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени поль
зователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа…
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/31/2015 17:47:28
Строка события:
Разрешение имен для имени 68.121.209.41.in-addr.arpa истекло после отсутствия ответа от настроенных серверов
DNS.
Возникло предупреждение. Код события (EventID): 0x00000086
Время создания: 12/31/2015 17:47:40
Строка события:
NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения
DNS-имен на “”. NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Запроше
нное имя верно, но данные запрошенного типа не найдены. (0x80072AFC)
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/31/2015 17:49:15
Строка события:
Разрешение имен для имени DCServer.school8.local истекло после отсутствия ответа от настроенных серверов DNS
.
Возникла ошибка. Код события (EventID): 0x0000168F
Время создания: 12/31/2015 17:49:47
Строка события:
Ошибка при динамическом удалении записи DNS “_kerberos._tcp.dc._msdcs.school8.local. 600 IN SRV 0 100 88 DCS
erver.school8.local.” на следующем DNS-сервере.
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/31/2015 17:49:47
Строка события:
Разрешение имен для имени _msdcs.school8.local истекло после отсутствия ответа от настроенных серверов DNS.
Возникло предупреждение. Код события (EventID): 0x8000001D
Время создания: 12/31/2015 17:49:49
Строка события:
Центр распространения ключей (KDC) не может найти подходящий сертификат для использования при регистрации см
арт-карт или KDC-сертификат не может быть проверен. Регистрация смарт-карт не может работать правильно, если данная проб
лема не разрешена. Для исправления неполадки либо проверьте существующий сертификат KDC при помощи certutil.exe, либо за
просите новый KDC-сертификат.
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/31/2015 17:55:31
Строка события:
Разрешение имен для имени DCServer.school8.local истекло после отсутствия ответа от настроенных серверов DNS
.
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/31/2015 17:55:33
Строка события:
Разрешение имен для имени 16.248.29.31.in-addr.arpa истекло после отсутствия ответа от настроенных серверов
DNS.
Возникло предупреждение. Код события (EventID): 0x00000086
Время создания: 12/31/2015 17:55:39
Строка события:
NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения
DNS-имен на “”. NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Запроше
нное имя верно, но данные запрошенного типа не найдены. (0x80072AFC)
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/31/2015 18:16:27
Строка события:
Разрешение имен для имени 225.193.104.86.in-addr.arpa истекло после отсутствия ответа от настроенных серверо
в DNS.
Возникло предупреждение. Код события (EventID): 0x00000086
Время создания: 12/31/2015 18:16:34
Строка события:
NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения
DNS-имен на “”. NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Запроше
нное имя верно, но данные запрошенного типа не найдены. (0x80072AFC)
Возникло предупреждение. Код события (EventID): 0x00000086
Время создания: 12/31/2015 18:16:34
Строка события:
NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения
DNS-имен на “”. NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Запроше
нное имя верно, но данные запрошенного типа не найдены. (0x80072AFC)
… DCSERVER - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
… DCSERVER - пройдена проверка VerifyReferences

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
… ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… ForestDnsZones - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
… DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… DomainDnsZones - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
… Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… Schema - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
… Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… Configuration - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: school8
Запуск проверки: CheckSDRefDom
… school8 - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… school8 - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: school8.local
Запуск проверки: LocatorCheck
… school8.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
… school8.local - пройдена проверка Intersite
[/spoiler]

[spoiler=IPCONFIG]Настройка протокола IP для Windows

Адаптер PPP PPPoE:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 10.44.253.248
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 80.73.65.54

Ethernet adapter Local:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.5.5
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :

Ethernet adapter CKC Internet:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.162.1.42
Маска подсети . . . . . . . . . . : 255.255.255.248
Основной шлюз. . . . . . . . . : 192.162.1.41

Ethernet adapter STK Internet:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 10.110.132.38
Маска подсети . . . . . . . . . . : 255.255.255.192
Основной шлюз. . . . . . . . . : 10.110.132.1

Адаптер PPP RAS (Dial In) Interface:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.5.57
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :

Туннельный адаптер isatap.{5D887CB6-9E5D-444B-9E3D-42CB879E4E2A}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер Подключение по локальной сети* 2:

DNS-суффикс подключения . . . . . :
IPv6-адрес. . . . . . . . . . . . : 2002:c0a2:12a::c0a2:12a
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301

Туннельный адаптер isatap.{B416129F-B711-4BB1-A34D-B6B96DA5E20B}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер 6TO4 Adapter:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{6E06F030-7526-11D2-BAF4-00600815A4BD}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{BF52C4BE-A80A-4CA9-8354-08FAEB07EA27}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{F8F1A3C0-7A9D-4BF9-868E-E45FF0671DF7}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
[/spoiler]

2

КД2:

[spoiler=DCDIAG]Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = FILESERVER

  • Идентифицирован лес AD.
    Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\FILESERVER
Запуск проверки: Connectivity
… FILESERVER - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\FILESERVER
Запуск проверки: Advertising
Внимание: FILESERVER не объявлен как сервер времени.
… FILESERVER - не пройдена проверка Advertising
Запуск проверки: FrsEvent
… FILESERVER - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об
ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
… FILESERVER - не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
… FILESERVER - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
… FILESERVER - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
… FILESERVER - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
… FILESERVER - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
… FILESERVER - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
… FILESERVER - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
… FILESERVER - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
… FILESERVER - пройдена проверка Replications
Запуск проверки: RidManager
… FILESERVER - пройдена проверка RidManager
Запуск проверки: Services
Неверный тип запуска службы: w32time на FILESERVER, текущее значение - DISABLED, ожидаемое значение -
DEMAND_START
Служба w32time в [FILESERVER] остановлена
… FILESERVER - не пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x00001695
Время создания: 12/31/2015 17:48:47
Строка события:
Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "
school8.local.". Эти записи используются другими компьютерами для поиска данного сервера как контроллера домена (если у
казан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложений).
Возникло предупреждение. Код события (EventID): 0x00001695
Время создания: 12/31/2015 17:48:47
Строка события:
Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "
ForestDnsZones.school8.local.". Эти записи используются другими компьютерами для поиска данного сервера как контроллера
домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложений).

     Возникло предупреждение. Код события (EventID): 0x00001695
        Время создания: 12/31/2015   17:48:47
        Строка события:
        Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "

DomainDnsZones.school8.local.". Эти записи используются другими компьютерами для поиска данного сервера как контроллера
домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложений).

     Возникла ошибка. Код события (EventID): 0x0000168F
        Время создания: 12/31/2015   17:50:20
        Строка события:
        Ошибка при динамическом удалении записи DNS "_kerberos._tcp.dc._msdcs.school8.local. 600 IN SRV 0 100 88 FIL

ESERVER.school8.local." на следующем DNS-сервере.
Возникла ошибка. Код события (EventID): 0x0000168F
Время создания: 12/31/2015 17:50:21
Строка события:
Ошибка при динамическом удалении записи DNS “_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.school8
.local. 600 IN SRV 0 100 88 FILESERVER.school8.local.” на следующем DNS-сервере.
Возникла ошибка. Код события (EventID): 0x0000168F
Время создания: 12/31/2015 17:50:21
Строка события:
Ошибка при динамическом удалении записи DNS “_kerberos._tcp.school8.local. 600 IN SRV 0 100 88 FILESERVER.sc
hool8.local.” на следующем DNS-сервере.
Возникла ошибка. Код события (EventID): 0x0000168F
Время создания: 12/31/2015 17:50:21
Строка события:
Ошибка при динамическом удалении записи DNS “_kerberos._tcp.Default-First-Site-Name._sites.school8.local. 60
0 IN SRV 0 100 88 FILESERVER.school8.local.” на следующем DNS-сервере.
Возникла ошибка. Код события (EventID): 0x0000168F
Время создания: 12/31/2015 17:50:21
Строка события:
Ошибка при динамическом удалении записи DNS “_kerberos._udp.school8.local. 600 IN SRV 0 100 88 FILESERVER.sc
hool8.local.” на следующем DNS-сервере.
Возникла ошибка. Код события (EventID): 0x0000168F
Время создания: 12/31/2015 17:50:21
Строка события:
Ошибка при динамическом удалении записи DNS “_kpasswd._tcp.school8.local. 600 IN SRV 0 100 464 FILESERVER.sc
hool8.local.” на следующем DNS-сервере.
Возникла ошибка. Код события (EventID): 0x0000168F
Время создания: 12/31/2015 17:50:21
Строка события:
Ошибка при динамическом удалении записи DNS “_kpasswd._udp.school8.local. 600 IN SRV 0 100 464 FILESERVER.sc
hool8.local.” на следующем DNS-сервере.
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/31/2015 17:50:21
Строка события:
Разрешение имен для имени _kerberos._tcp.dc._msdcs.SCHOOL8.LOCAL истекло после отсутствия ответа от настроен
ных серверов DNS.
Возникло предупреждение. Код события (EventID): 0x000003F6
Время создания: 12/31/2015 17:50:21
Строка события:
Разрешение имен для имени _kerberos._tcp.school8.local истекло после отсутствия ответа от настроенных сервер
ов DNS.
Возникло предупреждение. Код события (EventID): 0x8000001D
Время создания: 12/31/2015 17:50:29
Строка события:
Центр распространения ключей (KDC) не может найти подходящий сертификат для использования при регистрации см
арт-карт или KDC-сертификат не может быть проверен. Регистрация смарт-карт не может работать правильно, если данная проб
лема не разрешена. Для исправления неполадки либо проверьте существующий сертификат KDC при помощи certutil.exe, либо за
просите новый KDC-сертификат.
Возникло предупреждение. Код события (EventID): 0x00001695
Время создания: 12/31/2015 17:51:00
Строка события:
Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "
school8.local.". Эти записи используются другими компьютерами для поиска данного сервера как контроллера домена (если у
казан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложений).
Возникло предупреждение. Код события (EventID): 0x00001695
Время создания: 12/31/2015 17:51:00
Строка события:
Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "
ForestDnsZones.school8.local.". Эти записи используются другими компьютерами для поиска данного сервера как контроллера
домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложений).

     ......................... FILESERVER - не пройдена проверка SystemLog
  Запуск проверки: VerifyReferences
     ......................... FILESERVER - пройдена проверка VerifyReferences

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
… ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… ForestDnsZones - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
… DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… DomainDnsZones - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
… Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… Schema - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
… Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… Configuration - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: school8
Запуск проверки: CheckSDRefDom
… school8 - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
… school8 - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: school8.local
Запуск проверки: LocatorCheck
… school8.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
… school8.local - пройдена проверка Intersite
[/spoiler]

[spoiler=IPCONFIG]Настройка протокола IP для Windows

Ethernet adapter Local:

DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.5.7
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :

Туннельный адаптер isatap.{9DC70768-235A-431C-9941-83F275C81C2B}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
[/spoiler]

3

Мастер глобального каталога и мастер схемы на одном контроллере не живут (кроме случая единственного контроллера).
Разнеси роли на разные контроллеры…

4

Почему же, где то в Best Practice по настрйоке FSMO ролей читал… Рекомендуется разносить так:

Контроллер №1
Schema Master
Domain Master

Контроллер №2
RID Master
Infrastructure Master
PDC Emulator

5

Всем привет.
Покуралесил на славу, новый год удался, весь порасшибся нафиг. Писать особо не могу, руку обжег на рождество в бане :dash2:

По поводу ролей, вот по этой схеме передать роли? [url=http://interface31.ru/tech_it/2013/08/upravlenie-rolyami-fsmo-pri-pomoshhi-ntdsutil.html]http://interface31.ru/tech_it/2013/08/upravlenie-rolyami-fsmo-pri-pomoshhi-ntdsutil.html[/url]

Во вложении netdom с обоих КД

ДК1fsmo.jpg

ДК2fsmo.jpg

6

В свое время для работы с роялми, в том числе для переноса / захвата ролей использовал ntdsutil - http://sys-admin.kz/systadm/139-work-with-roles-dc.html

7

Не, ну это понятно. Я просто не догнал суть. Мне нужно с основного КД1 передать немножко ролей на КД2?
КД2 я так понимаю сейчас вообще ролей не имеет?

8

Лол… Это походу из-за Касперского было. Отключил сетевые экраны в каспере на обеих КД и ошибки пропали :dash2:

9

Изначально тебе говорили - проблема в коннективити…

10

а там обычный касперский для дома был KIS/KAV?

11

KES 10-й. Причем из-за этой же падлы и 1C отказывалась работать.
Ох ёёё…

Сейчас на серверах перехожу на Антивирус Касперского 8.0 для Windows Servers Enterprise Edition по совету разработчиков. А на клиентах остается тот же KES.