Назад | Перейти на главную страницу

Active Directory: проблема с добавлением нового контроллера домена

У меня есть домен с 3 DC. Один начинает выходить из строя, поэтому я поднял новый. Все работают под Win 2003.

Проблема: похоже, есть проблемы с репликацией между 4 машинами, но я не могу понять, что их вызывает. Все они зарегистрированы в DNS настолько одинаково, насколько это возможно.

Как я узнаю о проблеме? Nagios сообщает мне, что на остальных 3 контроллерах домена возникают ошибки KCCEvent, а новая машина сообщает об ошибках «сбой подключения».

Делать dcdiag на новой машине сообщает: не удалось разрешить хосту IP-адрес. Это кажется безумным, поскольку я вхожу в систему, используя DNS-имя. Я могу пинговать его с трех других машин, используя это DNS-имя.

repadmin /showreps от новой машины говорит, что видит остальные 3 машины. То же самое на одной из старых машин не показывает новую машину.

я пробовал netdiag /repair много раз. Не повезло.

Ни на одной из машин нет брандмауэров.

Если я посмотрю на информацию о домене через MMC (на новом компьютере), окажется, что вся информация актуальна. Пользователи, компьютеры, контроллеры домена ... все это есть.

Я озадачен, какие шаги я пропустил при добавлении этой новой машины. Предложения?

РЕДАКТИРОВАТЬ: dcdiag из неработающего:

C:\Documents and Settings\Administrator.BME>dcdiag

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-Name\YELLOW
      Starting test: Connectivity
         The host 312ce6ea-7909-4e15-aff6-45c3d1d9a0d9._msdcs.server.edu could
 not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name
         (312ce6ea-7909-4e15-aff6-45c3d1d9a0d9._msdcs.server.edu) couldn't be
         resolved, the server name (yellow.server.edu) resolved to the IP
         address (10.127.24.79) and was pingable.  Check that the IP address is
         registered correctly with the DNS server.
         ......................... YELLOW failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-Name\YELLOW
      Skipping all tests, because server YELLOW is
      not responding to directory service requests

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : bme
      Starting test: CrossRefValidation
         ......................... bme passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... bme passed test CheckSDRefDom

   Running enterprise tests on : server.edu
      Starting test: Intersite
         ......................... server.edu passed test Intersite
      Starting test: FsmoCheck
         ......................... server.edu passed test FsmoCheck


dcdiag from working:
P:\>dcdiag

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-Name\AD1
      Starting test: Connectivity
         ......................... AD1 passed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-Name\AD1
      Starting test: Replications
         ......................... AD1 passed test Replications
      Starting test: NCSecDesc
         ......................... AD1 passed test NCSecDesc
      Starting test: NetLogons
         ......................... AD1 passed test NetLogons
      Starting test: Advertising
         ......................... AD1 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... AD1 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... AD1 passed test RidManager
      Starting test: MachineAccount
         ......................... AD1 passed test MachineAccount
      Starting test: Services
         ......................... AD1 passed test Services
      Starting test: ObjectsReplicated
         ......................... AD1 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... AD1 passed test frssysvol
      Starting test: frsevent
         ......................... AD1 passed test frsevent
      Starting test: kccevent
         ......................... AD1 passed test kccevent
      Starting test: systemlog
         ......................... AD1 passed test systemlog
      Starting test: VerifyReferences
         ......................... AD1 passed test VerifyReferences

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : bme
      Starting test: CrossRefValidation
         ......................... bme passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... bme passed test CheckSDRefDom

   Running enterprise tests on : server.edu
      Starting test: Intersite
         ......................... server.edu passed test Intersite
      Starting test: FsmoCheck
         ......................... server.edu passed test FsmoCheck

P:\>

Убедитесь, что настройки DNS на новом DC; убедитесь, что он запрашивает локальный DNS-сервер и может разрешать имена других серверов. То, что вы можете разрешить его имя, не означает, что он может разрешить имена других контроллеров домена, и, скорее всего, это проблема.

Возможно, он может разрешить имена других серверов, используя NBNS или WINS, но не DNS, или наоборот.

Изменить: из результатов, которые вы добавили выше, ясно, что проблема в DNS. Проверьте журналы на своих DNS-серверах на предмет неудачных обновлений и т. Д. И убедитесь, что у нового сервера есть разрешение на внесение изменений в DNS (хотя как DC он должен иметь возможность это делать). Проблема не в том, что имя сервера не разрешается, а в том, что его запись SRV не работает.

Вы можете использовать dig (поставляется с BIND, демоном имен unix, но где-то есть версия для Windows), чтобы проверить, что вы получаете для IN SRV и IN A 312ce6ea-7909-4e15-aff6-45c3d1d9a0d9._msdcs.server.edu на каждом из ваших DNS-серверов.

Не заморачивайтесь с копанием или nslookup. Просто зайдите в инструмент администрирования DNS и посмотрите, какие записи есть у DNS-серверов. Сделайте следующее:

  • Войдите с помощью RDP в один из ваших контроллеров домена
  • Запустите инструмент администрирования DNS.
  • Нажмите на DC в списке
  • Щелкните "Зоны прямого просмотра"
  • Щелкните "_msdcs. (Ваш домен)"

Посмотрите на записи с правой стороны. У вас должна быть одна запись NS и одна запись CNAME для каждого из ваших контроллеров домена.

Убедитесь, что существует запись CNAME с именем 312ce6ea-7909-4e15-aff6-45c3d1d9a0d9, а данные представляют собой полное доменное имя контроллера домена.

Судя по тому, что вы говорите, запись в проблемном DC отсутствует. Убедитесь, что зона _msdcs. (Ваш домен) настроена для интеграции с AD в окне свойств.