AD: Проверка, указанный домен не существует или к нему невозможно подключиться
Проверяем DNS и AD:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
dcdiag /test:DNS ipconfig /all netdom query fsmo dcdiag /test:CheckSecurityError /v dsquery server -isgc dcdiag /q repadmin /showrepl repadmin /syncall dcdiag /test:dns nslookup set type=all _ldap._tcp.dc._msdcs.Domain_Name |
Принудительный запуск репликации:
|
1 |
repadmin /syncall /AdeP |
Расшифровка ключей:
- /A – все Naming Contexts (Domain, Config, Schema, DNS-зоны)
- /d – показать подробный ход
- /e – включить все сайты (не только локальный)
- /P – принудительно «толкнуть» изменения во все направления
Пример ожидаемого результата при успехе:
|
1 2 3 |
Syncing partition: DC=domain,DC=local Calling DC=DC02.domain.local Completed with no errors. |
Покажите :
|
1 2 3 4 5 6 |
dcdiag /test:dns /a dcdiag /v /a repadmin /syncall И на PDC покажите тоже nslookup cn.local nslookup sdc.cn.local |
Вариант если не помогут предыдущие действия то:
|
1 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Изменил значение параметра SysvolReady с 0 на 1 и перезапустил нетлогон:
|
1 2 |
net stop netlogon net start netlogon |
Только вот нет никакой гарантии, что она опять не вылезет: например, после перезапуска службы DFS Replication (при перезагрузке, к примеру): эта служба манипулирует указанным ключом реестра по своему разумению, и если она опять решит, что ваш КД недостоин носить столь высокое звание – она опять его заблокирует.
Так что, как минимум, загляните, что служба репликации DFS записала после своего последнего запуска в свой журнал событий (судя по dcdiag – точно что-то записала), и если это – что-то, кроме жалоб на разрыв связи с умершим КД, то принимайте меры. Какие – зависит от того, что в журнале событий написано, можете прямо по фразам оттуда поискать здесь на форуме, тут много разных вариантов пробегало… До кучи – проверьте, что содержимое SYSVOL (обычно оно – в C:\WINDOWS\SYSVOL\domain) у вас есть в наличии, если нет – то надо вытаскивать: из бэкапа, с диска умершего КД… В крайнем случае – сбрасывать в начальное состояние с помощью dcgpofix
PS И если умерший сервер server2008 еще не вычистили из AD и не планируете поднимать его из бэкапа – вычищайте, его наличие может мешать довольно сильно.
PPS Настройки DNS выглядят нормально. Чтобы не было в жалоб в тесте DNS – уберите в записях делегирования для зоны поддомена _msdcs (серый значок в основной зоне домена) ссылку на умерший КД (и добавьте ссылку на живой, если ее там нет), но, в общем-то, если поиск КД из-за пределов домена не нужен, то оно и так без проблем работать будет.
Чек-лист по диагностике дополнительного сервера с именем rp3197fs:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
ping rpc3197fs nslookup rpc3197fs nltest /dsgetdc:kr.local w32tm /query /status telnet rpc3197fs 135 sc query rpcss sc query ntds sc query netlogon dcdiag /test:CheckSecurityError /v repadmin /showrepl Проверка журналов, открой Event Viewer: -Directory Service -System -DNS Server |