Архив форумов ЦИТФорума

[nesta]

Сгорел значит у нас сервак. Развернули бэкап на другом железе.
После чего ИСА стала малость подглючивать.
А именно:
Аська вырубилась, не понимает юзеров. Все начинает работать только тогда когда разрешаю весь трафик всем пользователям.

Сделан вывод что преблема в ДНС во почему:

Вобщем захожу в AD site and service
"sites" - "default-first-site-name" - "servers"
Вижу 3 сервера (контроллер домена, почтовик и ИСА)
Далее захожу в "ИСА" - "NTDS Setings"
Вижу там лругие 2 сервера. (как по идее и должно быть). Далее хочу провести репликацию. Мышко по контроллеру домена - Replicate now
А он мне в ответ окошко со следующим содержанием

(alt+p)

Служба RPC запущена
Сделан вывод что преблема в ДНС. Скорее всего ISA просто не может распознать юзеров из домена.
Решил поступить так: понизить контроллер домена до рядового сервера (DCPromo), а потом заново на нем развернуть днс.

Вопрос:
Может кто знает в чем проблема и как ее решить менее проблемным способом?
И возможно понизить сервкак, а потом поднять его снова с таким же именем?
Может ли быть проблема в другом железе? Других сетевухах.
Выскажите свои мнения, решим же вместе проблемку.

P.S. Бэкап винды был примерно 2-х недельной давности. Может проблема в этом? Может ему из-за этого башню сносит?

[San_dok]

http://forum.citforum.ru/viewtopic.php?p=158260&highlight=#158260
_________________
В тёмной комнате завсегда имеются тёмные грабли.

[and3008]

А чего не ясно? Написано же, что RPC-сервер недоступен и вероятная проблема в DNS.

Указан даже сервере, который искался. Есть он в DNS-то? Нету ведь!

Ну так исправьте.

[nesta]

and3008
А где смотреть то?
в Forward lookup zone или в reverse lookup zone?
В Forward lookup zone есть 3 зоны
одна называется так же как и наш домен. Сведения о серваке должны быть там. А где именно их искать? Как их туда добавить? Подскажите.

Как именно добавить сведения в зону о серваке?
Что будет если я перезагружу всю зону? Выберу ее и нажму Reload?

[a-m-d]

По ссылке указанной в окошке об ошибке ходил?

По-моему, стОит потестироваться при помощи dcdiag и netdiag
Если будут ошибки - пофиксить этими же инструментами.
_________________
Век живи - век учись!.. Дураком помрёшь.

[nesta]

[a-m-d]

Для начала неплохо бы версию Win Server'а указать.

dcdiag и netdiag "появляются" при установке Windows 200x Support Tools. Например, с инсталляционного диска из папочки \Support\Tools. При этом установится и справочка Toos Help.

На контроллерах своих запусти

dcdiag /s:Имя_твоего_DomainController
можно еще с ключиком /v для совсем подробности
и
netdiag
Если будут строки/тесты с результатом Failed... ну, придется их проанализировать. Например, если Default gateway test ... Failed, то может у тебя так и надо. А вот если провален DNS test, вот тут стОит озадачиться.

netdiag /fix фиксит, что сможет.

А переводить microsoft, извини,.. малость не до того. Но если совсем кратко, http://www.microsoft.com/windows2000/dns/tshoot/dns_tshoot2C.asp

на контроллерах:
убедиться, что настройки сети правильные, сервер DNS поддерживает динамические обновения и т.д.,
ipconfig /flushdns
ipconfig /registerdns
net stop netlogon
net start netlogon
_________________
Век живи - век учись!.. Дураком помрёшь.

[nesta]

[a-m-d]

[San_dok]

[a-m-d]

[nesta]

[a-m-d]

В св-вах TCP/IP какие DNS-сервера указаны?

По-хорошему, вся локалка, и сервер с исой в т.ч., должны в первую очередь обращаться к DNS-серверу своего домена, а уж тот, если сам не может, должен перенаправлять запросы дальше (соответственно, эти запросы не должны по пути блокироваться).
_________________
Век живи - век учись!.. Дураком помрёшь.

[nesta]

В сво-ах TCP/IP
В настройках ДНС сначала идет адрес непосредственно контроллера домена, затем адрес почтовика на котором тоже развернут контроллер домена и свой адрес, а так же адре провайдера, но он в последнюю очередь записан

[nesta]

Вобщем решил избавиться от актив директори
Запсутил dcpromo Далее далее
Он начил удалять актив директори и выдал следующую ошибку:



Народ что же делать то? он ругается на контроллер домена.

[a-m-d]

Думаю, что ноги растут оттуда же.

Что в журналах событий серверов*? (ошибки)
Что говорят dcdiag, netdiag ?
nslookup на проблемном сервере правильно разрешает имена по локальному домену? А "внешние" имена?
ipconfig /all выполненная на серверах* соответствует действительности?

сервера* - контроллер домена, сервер ДНС, сервер с ISA.
_________________
Век живи - век учись!.. Дураком помрёшь.

[oleg_poruchikov]

А на других контроллерах домена в АД сервер с ИСА есть в списке Active Directory - пользователи и компьютеры office6.local Domain Controllers???
У меня была подобная проблема, накрылся винт на BDC, на нем была ISA 2000, Exchange 2000, DNS. Случайно удалил сервер из АД ручками и ... после восстановления винта были такиеже грабли, не мог понизить роль сервера, выдавалась такая же ошибка (RPC сервер недоступен). Перелопатил много док из инета, в том числе M$. Пришел к такому решению:
отключить от сети сервер, и выполнить понижение контроллера домена как последнего... Затем включить сеть и добавить роль контроллера домена...
Все заработало...
_________________
Вот такая картина маслом! (c)

[nesta]

Сделал следующее:
Остановил службу:
RPC Locator на контроллере домена, и на ИСЕ сервере. (ИСУ собираюсь пониить до рядового сервера)
Вышла другая ошибка

[nesta]

[nesta]

[nesta]

Все равно вылазит первая ошибка. Ругается на службу RPC и все. хоть убей.

Люди как поступить подскажите?
Можно ли сделать атк как посоветовал oleg_poruchikov

[a-m-d]

Смотри-ка, тут и керберос, как теперь оказывается, "примазался". Что еще скрываешь?
Посмотри http://forum.ixbt.com/topic.cgi?id=7:25177 (оттуда ссылка на http://support.microsoft.com/kb/288167/ru )

также проверь обратную зону, нет ли устаревших неверных PTR-записей типа
192.168.0.111 Pointer Неправильное.Имя.Хоста
192.168.0.111 Pointer Правильное.Имя.Хоста

Время на компах синхронизировано?
_________________
Век живи - век учись!.. Дураком помрёшь.

[nesta]

[nesta]

ЩАс приведу все сообщения и предупреждения которые в логах вылазят.

Перед этим кратко опишу как обстоят дела на данный момент:
Сгорел сервер.
Из бэкапа на дргугом железе был поднят образ винды 23 дневной давности
WIN2k3 Standart edition. Eng
На нем был развернут:
ISA Server 2004 Enterprise
ДНС и контроллер домена (Без них ISA не видел юзеров в домене)
После всего этого ИСА видет юзеров а вот политики файрволам не действую.
при попытке произвести репликацию с контроллером домена появляется окно с сообщением приведенное в этой теме.

Попытался понизить контроллер домена до рядового сервера, чтобы в последствии его заново сделать контроллером домена. (думал так решаться все проблемы ((( наивный блин.)

Стали появляться ошибки. В которыз ругается на RPC. Окно с ошибкой есть в этой теме.


по совету A-m-d командной Netdom сбросил безопасный канал между контроллером данным контроллером домена и хозяином операций PDC

После этого перестали сыпаться ошибки в ДНС и синхронизовалось время.



Ниже привожу список всех предупреждений и ошибок из все журналов

ADAM (ISASTGCTRL) - имя журнала

WARNING - предупреждение

Active Directory was unable to initialize auditing security system. It will run with auditing disabled. No security audits will be generated.

Additional Data:
Error value:
1314 A required privilege is not held by the client.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

ERROR - ошибка

The directory server has failed to update the ADAM serviceConnectionPoint object in the Active Directory. This operation will be retried.

Additional Data
SCP object DN:
CN={423e88b0-4dec-4b90-93b4-3e00956d7055},CN=СерверИСА,OU=Domain Controllers,DC=office6,DC=local
Error value:
5 Access is denied.
Server error:
00002098: SecErr: DSID-031509EE, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Internal ID:
339038f
ADAM service account:
NT AUTHORITY\NETWORK SERVICE

User Action
If ADAM is running under a local service account, it will be unable to update the data in the Active Directory. Consider changing the ADAM service account to either NetworkService or a domain account.

If ADAM is running under a domain user account, make sure this account has sufficient rights to update the serviceConnectionPoint object.

ServiceConnectionPoint object publication can be disabled for this instance by setting msDS-DisableForInstances attribute on the SCP publication configuration object.

For more information, see Help and Support Center at

----------------------------------------------------------------------------

Application - имя журнала

ERORR - ошибка
The routing table for network adapter WAN includes IP address ranges that are not defined in the array network External to which it is bound. As a result, when packets go in/out via this network adapter and they are from/sent to the IP address ranges listed below they will be considered spoofed and will be dropped. To resolve this issue, add the missing IP address ranges to the array network. The following IP address ranges will be dropped as spoofed: Internal:Диапазон внутренних адресов филиала;

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

ERROR - ошибка
SA Server detected routes through adapter LAN that do not correlate with the network element to which this adapter belongs. For best practice, the address range of an array-level network element should match the address ranges routable through its network adapters as defined in the routing table. Otherwise valid packets may be dropped as spoofed. (This alert may occur momentarily when you create a remote site network or configure Network Load Balancing. You may safely ignore this message if it does not reoccur.) The following ranges are in the network's IP address range but are missing from the routing table: диапазон внутренних адресов филиала;.

For more information, see Help and Support Center at

-----------------------------------------------------------------------------------

DIRECTORY SERVICE - имя журнала

в среднем 2 такие ошибки в минуту:
ERROR - Ошибка
It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source.
The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.
Time of last successful replication:
2006-07-01 11:20:11
Invocation ID of source:
0344671f844-f82234334-0671-880b-7343050c4eb3c05
Name of source:
7c1d1111f6-dfb37-4e293-a253a-032af516b4322c96a._msdcs.office6.local
Tombstone lifetime (days):
60

The replication operation has failed.

User Action:

Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:

1. Demote or reinstall the machine(s) that were disconnected.
2. Use the "repadmin /removelingeringobjects" tool to remove inconsistent deleted objects and then resume replication.
3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it is recommended that you remove the key to reinstate the protection.
Registry Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


WARNING - предупреждение
The attempt to establish a replication link for the following writable directory partition failed.

Directory partition:
DC=office6,DC=local
Source domain controller:
CN=NTDS Settings,CN=Имя контроллера домена,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=office6,DC=local
Source domain controller address:
7c1d32411f6-d432fb7-4e2393-a25a-0af53416b2c96a._msdcs.office6.local
Intersite transport (if any):


This domain controller will be unable to replicate with the source domain controller until this problem is corrected.

User Action
Verify if the source domain controller is accessible or network connectivity is available.

Additional Data
Error value:
8614 The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

---------------------------------------------------------------------------------.

DNS Server
Ошибки в ДНС перестали сыпаться. новых сообщение нет вообще!
---------------------------------------------------------------------------

FILE REPLICATION SERVICE - имя журнала

WARNING - предупреждение
File Replication Service is initializing the system volume with data from another domain controller. Computer имя_сервера_ИСА cannot become a domain controller until this process is complete. The system volume will then be shared as SYSVOL.

To check for the SYSVOL share, at the command prompt, type:
net share

When File Replication Service completes the initialization process, the SYSVOL share will appear.

The initialization of the system volume can take some time. The time is dependent on the amount of data in the system volume, the availability of other domain controllers, and the replication interval between domain controllers.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

WARNING - предупреждение

The File Replication Service is having trouble enabling replication from Имя_сервера_почты to Имя -СЕРВЕРА_ИСА for c:\windows\sysvol\domain using the DNS name ПОЧТОВЫЙ_сервер.office6.local. FRS will keep retrying.
Following are some of the reasons you would see this warning.

[1] FRS can not correctly resolve the DNS name mail.office6.local from this computer.
[2] FRS is not running on ПОЧТОВЫЙ_сервер.office6.local.
[3] The topology information in the Active Directory for this replica has not yet replicated to all the Domain Controllers.

This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

---------------------------------------------------------------
SYSTEM - имя журнала

ERROR - ошибка
The DCOM Server Process Launcher service hung on starting.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

ERROR - ошибка
The Application Experience Lookup Service service failed to start due to the following error:
The executable program that this service is configured to run in does not implement the service.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


----------------------------------------------------------------------------------

Щас буду переводиться сообщени ошибок и попробую выполнить дествия которые в них рекомендуются.

Жду Ваши мнения, советы, предложения.

[oleg_poruchikov]

[a-m-d]

Вообще-то мы пытаемся восстановить работоспособность.
ИСУ пока оставим.
Займемся этим:

[a-m-d]

Тогда уж просто с нуля надо было все ставить.
_________________
Век живи - век учись!.. Дураком помрёшь.

[oleg_poruchikov]

[nesta]

[Попавший Ламер]

Вот и вот - первые два, что выдал жужл на repadmin

[oleg_poruchikov]

[a-m-d]

[nesta]

[nesta]

Подведу небольшое ИТОГО.

Прочитавь приведенные тут сылки, похимичив с реестром, командой, netdom, dcdiag, netdiag, и приведя шамана с бубном)))


В общем приличная часть ошибок осталась. Репликация по прежнему не проходит.

Время синхронизировалось.
Поднимается инет, только после перезагрузки самих рабочих станций.
Вобщем достигнут минимум желаемого.

ВСЕМ ВСЕМ ВСЕМ ОГРОМНЕЙШЕЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!!

Работы то накопилось. Жуть.
Щас раскидаюсь с повседневной мелочевкой. И буду дальше приводить сервак в чувство.

Осталось желание поднять репликацию.

Еще раз всех благодарю за внимание.
И если у кого-то еще будут какие-либо советы, предположения оставляйте их тут, я обязательно с ними ознакомлюсь.
Еще осталось куча не обработанной инфы.

Если все получиться составлю кратикую,пошаговую инструкцию. Выложу ее тут. Вдруг у кого-нить возникнет та же проблема.

P.S. ВСЕМ СПАСИБО!!!

------------------------------------------------------------------------------------

Я люблю тебя не за то, кто ты, а за то, кто я, когда я с тобой.

[a-m-d]

Ну, за удачу!

Отпишись потом по результатам.
_________________
Век живи - век учись!.. Дураком помрёшь.