Назад | Перейти на главную страницу

Контроллер домена не реплицирует. SChannel проблема. Клиенты не могут присоединиться к домену

У меня проблема с PDC для домена дерева в нашем лесу AD. Он не может реплицироваться на другие контроллеры домена, и его клиенты теряют доверие к домену и не могут быть сброшены с помощью Test-computersecurechannel -repair, и я не могу присоединиться / повторно присоединиться к клиентам домена.

Это лес Server 2016 с сайтами, созданными как домены дерева. Лес - это xyz.den.lcl, а другие деревья - xyz.atl.lcl (сломанное), xyz.sea.lcl, xyz.cle.lcl, xyz.qucy.lcl и xyz.sat.lcl. Все контроллеры домена являются стандартными версиями Windows 2016, а большинство - виртуальными машинами на кластерах Hyper-v центра обработки данных 2016 года. CLEDC01 является единственным исключением и является физическим сервером.

Меня как бы вырвало здесь кучу информации, но я подозреваю, что все эти результаты вызваны нарушением пароля SChannel / Machine.

Я считаю, что эта проблема изначально была вызвана брандмауэром AV, который я с тех пор удалил, пытаясь исправить эту проблему. Все было хорошо до установки A / V. С тех пор я убедился, что службы RPC прослушивают и достигают всех DC с помощью Portqry и RPCping.

Я также исправил некоторые отсутствующие записи SRV, которые отсутствовали для домена (_kerberos и _Kpassword отсутствовали для каталога xyz.atl.lcl _msdcs). Насколько я могу судить, DNS хорош. Я могу разрешить DC (ATLVMDC01) по всем его записям сервера, по его GUID CNAME в зоне леса _msdcs, rDNS разрешается правильно, у него правильный приоритет для его записей SRV. Я пробежал все в http://go.microsoft.com/fwlink/?linkid=5171

Я также пробовал Netdom resetpwd на DC, чтобы сбросить PW машины.

Когда я пытаюсь использовать nltest для получения DC для xyz.atl.lcl с любого другого сервера / ПК в любом из доменов, я вижу это.

C:\Windows\system32>nltest /dsgetdc:xyz.atl.lcl
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

От ATLVMDC01

C:\Windows\system32>nltest /dsgetdc:xyz.atl.lcl
           DC: \\ATLVMDC01.xyz.atl.lcl
      Address: \\<server ip>
     Dom Guid: <GUID>
     Dom Name: xyz.atl.lcl
  Forest Name: xyz.den.lcl
 Dc Site Name: ATLANTA
Our Site Name: ATLANTA
        Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10
The command completed successfully

Конфигурация сети для ATLVMDC01. Все остальные DC близки к этой конфигурации. Их первичный DNS - это их собственный IP-адрес, а вторичные DNS-серверы - те же 2, что указаны здесь.

Windows IP Configuration

   Host Name . . . . . . . . . . . . : ATLVMDC01
   Primary Dns Suffix  . . . . . . . : xyz.atl.lcl
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : xyz.atl.lcl
                                       xyz.den.lcl
                                       xyz.qucy.lcl
                                       xyz.cle.lcl
                                       xyz.sat.lcl

Ethernet adapter Ethernet 3:

   Connection-specific DNS Suffix  . : xyz.atl.lcl
   Description . . . . . . . . . . . : Microsoft Hyper-V Network Adapter #3
   Physical Address. . . . . . . . . : 00-15-5D-2C-6F-15
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::a174:d654:693c:79c6%5(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.1.245(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.1.1
   DHCPv6 IAID . . . . . . . . . . . : 134223197
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-23-AB-58-66-00-15-5D-2C-6F-05
   DNS Servers . . . . . . . . . . . : 192.168.1.245
                                       172.18.32.165
                                       172.18.32.166
   NetBIOS over Tcpip. . . . . . . . : Enabled

RPLADMIN / REPLSUM

О проблемном ДЦ «ATLVMDC01»


Source DSA          largest delta    fails/total %%   error
 ATLVMDC01         32d.00h:12m:06s   32 /  32  100  (1722) The RPC server is unavailable.
 CLEDC01                   12m:51s    0 /  32    0
 DENVMDC01                 25m:33s    0 /  26    0
 DENVMDC02                 32m:45s    0 /  42    0
 QCYDC001                  11m:51s    0 /  32    0
 SATVMCAM01                25m:00s    0 /  42    0
 SATVMDC01                 32m:49s    0 /  10    0

Из любого другого другого DC

Source DSA          largest delta    fails/total %%   error
ATLVMDC01         32d.00h:12m:06s   32 /  32  100  (1722) The RPC server is unavailable.
 CLEDC01                   12m:51s    0 /  32    0
 DENVMDC01                 25m:33s    0 /  26    0
 DENVMDC02                 32m:45s    0 /  42    0
 QCYDC001                  11m:51s    0 /  32    0
 SATVMCAM01                25m:00s    0 /  42    0
 SATVMDC01                 32m:49s    0 /  10    0

Experienced the following operational errors trying to retrieve replication information:
        8341 - ATLVMDC01.xyz.atl.lcl

На Проблемном DC (ATLVMDC01) DCDIAG / TEST: DNS и DCDIAG / TEST: DNS / E все проходят.

C:\Windows\system32>dcdiag /test:DNS

Directory Server Diagnosis

Performing initial setup:
   Trying to find home server...
   Home Server = ATLVMDC01
   * Identified AD Forest.
   Done gathering initial info.

Doing initial required tests

   Testing server: ATLANTA\ATLVMDC01
      Starting test: Connectivity
         ......................... ATLVMDC01 passed test Connectivity

Doing primary tests

   Testing server: ATLANTA\ATLVMDC01

      Starting test: DNS

         DNS Tests are running and not hung. Please wait a few minutes...
         ......................... ATLVMDC01 passed test DNS

   Running partition tests on : DomainDnsZones

   Running partition tests on : xyz

   Running partition tests on : ForestDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running enterprise tests on : xyz.den.lcl
      Starting test: DNS
         ......................... xyz.den.lcl passed test DNS

На всех других DC я вижу это для DCDIAG / TEST: DNS / E

Directory Server Diagnosis

Performing initial setup:
   Trying to find home server...
   Home Server = DENVMDC01
   * Identified AD Forest.
   [ATLVMDC01] LDAP bind failed with error 8341,
   A directory service error has occurred..
   Got error while checking if the DC is using FRS or DFSR. Error: A directory service error has occurred.The
   VerifyReferences, FrsEvent and DfsrEvent tests might fail because of this error.

   Done gathering initial info.

Doing initial required tests

   Testing server: DENVER\DENVMDC01
      Starting test: Connectivity
         ......................... DENVMDC01 passed test Connectivity

   Testing server: DENVER\DENVMDC02
      Starting test: Connectivity
         ......................... DENVMDC02 passed test Connectivity

   Testing server: QUINCY\QCYDC001
      Starting test: Connectivity
         ......................... QCYDC001 passed test Connectivity

   Testing server: ATLANTA\ATLVMDC01
      Starting test: Connectivity
         Got error while checking LDAP and RPC connectivity. Please check your firewall settings.
         ......................... ATLVMDC01 failed test Connectivity

   Testing server: CLEVELAND\CLEDC01
      Starting test: Connectivity
         ......................... CLEDC01 passed test Connectivity

   Testing server: SANANTONIO\SATVMDC01
      Starting test: Connectivity
         ......................... SATVMDC01 passed test Connectivity

   Testing server: SANANTONIO\SATVMCAM01
      Starting test: Connectivity
         ......................... SATVMCAM01 passed test Connectivity

Doing primary tests

   Testing server: DENVER\DENVMDC01

   Testing server: DENVER\DENVMDC02

   Testing server: QUINCY\QCYDC001

   Testing server: ATLANTA\ATLVMDC01

   Testing server: CLEVELAND\CLEDC01

   Testing server: SANANTONIO\SATVMDC01

   Testing server: SANANTONIO\SATVMCAM01

Starting test: DNS
Starting test: DNS
Starting test: DNS
Starting test: DNS
Starting test: DNS
Starting test: DNS
Starting test: DNS                                                                     Starting test: DNS
DNS Tests are running and not hung. Please waita few minutes...

ATLVMDC01 failed test DNS
SATVMDC01 passed test DNS
DENVMDC01 passed test DNS
SATVMCAM01 passed test DNS
CLEDC01 passed test DNS
DENVMDC02 passed test DNS
QCYDC001 passed test DNS

   Running partition tests on : DomainDnsZones

   Running partition tests on : ForestDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running partition tests on : xyz

   Running partition tests on : DomainDnsZones

   Running partition tests on : xyz

   Running partition tests on : DomainDnsZones

   Running partition tests on : xyz

   Running partition tests on : DomainDnsZones

   Running partition tests on : xyz

   Running partition tests on : DomainDnsZones

   Running partition tests on : xyz

   Running partition tests on : DomainDnsZones

   Running partition tests on : xyz

   Running enterprise tests on : xyz.den.lcl
      Starting test: DNS
         Test results for domain controllers:

            DC: ATLVMDC01.xyz.atl.lcl
            Domain: xyz.atl.lcl


               TEST: Authentication (Auth)
                  Error: Authentication failed with specified credentials

               TEST: Basic (Basc)
                  Error: No LDAP connectivity
                  Error: No WMI connectivity
                  No host records (A or AAAA) were found for this DC


            DC: QCYDC001.xyz.qucy.lcl
            Domain: xyz.qucy.lcl


               TEST: Basic (Basc)
                  Warning: adapter [00000003] QLogic BCM57800 10 Gigabit Ethernet (NDIS VBD Client) has invalid DNS
                  server: <server ip> (<name unavailable>)
                  Warning: Adapter B0:83:FE:D2:39:FB has dynamic IP address (can be a misconfiguration)
                  Warning: Adapter B0:83:FE:D2:39:F9 has dynamic IP address (can be a misconfiguration)

            DNS server: 8.8.8.8 (<name unavailable>)
               3 test failure on this DNS server
               Name resolution is not functional. _ldap._tcp.xyz.den.lcl. failed on the DNS server 8.8.8.8

            DNS server: <server ip> (<name unavailable>)
               1 test failure on this DNS server
               PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server <server ip>               Name resolution is not functional. _ldap._tcp.xyz.den.lcl. failed on the DNS server 192.168.130.3

         Summary of DNS test results:

                                            Auth Basc Forw Del  Dyn  RReg Ext
            _________________________________________________________________
            Domain: xyz.den.lcl
               ATLVMDC01                    FAIL FAIL n/a  n/a  n/a  n/a  n/a
               QCYDC001                     PASS WARN PASS PASS PASS PASS n/a


         ......................... xyz.den.lcl failed test DNS

Запустил DCDIAG / test: checksecurityerror и получил следующее.

C:\Windows\system32>dcdiag /test:checksecurityerror

Directory Server Diagnosis

Performing initial setup:
   Trying to find home server...
   Home Server = DENVMDC01
   * Identified AD Forest.
   Done gathering initial info.

Doing initial required tests

   Testing server: DENVER\DENVMDC01
      Starting test: Connectivity
         ......................... DENVMDC01 passed test Connectivity

Doing primary tests

   Testing server: DENVER\DENVMDC01
      Starting test: CheckSecurityError
         Source DC ATLVMDC01 has possible security error (1722).  Diagnosing...
               No KDC found for domain xyz.atl.lcl in site ATLANTA (1355, NULL)
               [ATLVMDC01] Unable to contact this DC.  Cannot continue diagnosing errors with this DC.
         ......................... DENVMDC01 failed test CheckSecurityError


   Running partition tests on : DomainDnsZones

   Running partition tests on : ForestDnsZones

   Running partition tests on : Schema

   Running partition tests on : Configuration

   Running partition tests on : xyz

   Running enterprise tests on : xyz.den.lcl