مشکل در replicate شدن DC ها و عدم دسترسی به share و پالیسی و...
سلام وقت بخیر
من توی شبکه ام 2 تا DC دارم، که تقریبا 2 سالی هست هر دو توی مدار هستن و دارن کار می کنن، البته قبلا یه سرور دیگه داشتم که مشکل داشت و از شبکه حذف شده بود (حدود 2 سال پیش)
دیروز برای یه سری تغییرات سرورها رو خاموش کردم ولی روشن کردم دیدم که DC additional دیگه نمی تونه Dc اصلی رو ببینه
بعدش دیدم انواع ارور ها داره میاد
Active Directory Domain Services was unable to establish a connection with the global catalog. Additional Data Error value: 8430 The directory service encountered an internal failure. Internal ID: 3200db0 User Action: Make sure a global catalog is available in the forest, and is reachable from this domain controller. You may use the nltest utility to diagnose this problem.
و این ارور
Active Directory Domain Services could not resolve the following DNS host name of the source domain controller to an IP address. This error prevents additions, deletions and changes in Active Directory Domain Services from replicating between one or more domain controllers in the forest. Security groups, group policy, users and computers and their passwords will be inconsistent between domain controllers until this error is resolved, potentially affecting logon authentication and access to network resources. Source domain controller: SRV2 Failing DNS host name: 352c21fa-a86d-4fc7-9a2b-a93345b5410d._msdcs.rsz.local NOTE: By default, only up to 10 DNS failures are shown for any given 12 hour period, even if more than 10 failures occur. To log all individual failure events, set the following diagnostics registry value to 1: Registry Path: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client User Action: 1) If the source domain controller is no longer functioning or its operating system has been reinstalled with a different computer name or NTDSDSA object GUID, remove the source domain controller's metadata with ntdsutil.exe, using the steps outlined in MSKB article 216498. 2) Confirm that the source domain controller is running Active Directory Domain Services and is accessible on the network by typing "net view \\<source DC name>" or "ping <source DC name>". 3) Verify that the source domain controller is using a valid DNS server for DNS services, and that the source domain controller's host record and CNAME record are correctly registered, using the DNS Enhanced version of DCDIAG.EXE available on http://www.microsoft.com/dns dcdiag /test:dns 4) Verify that this destination domain controller is using a valid DNS server for DNS services, by running the DNS Enhanced version of DCDIAG.EXE command on the console of the destination domain controller, as follows: dcdiag /test:dns 5) For further analysis of DNS error failures see KB 824449: http://support.microsoft.com/?kbid=824449 Additional Data Error value: 11004 The requested name is valid, but no data of the requested type was found.
و جاهای دیگه میگه که rpc server is unavailable و عملا نمی تونم هیچ دسترسی ای به پالیسی ها داشته باشم و تمام سرور ها و سیستم ها پینگ هم رو دارن (هم با آی پی و هم با اسم) ولی فایل های share همدیگه رو نمیشه باز کرد و ارور 0x80070043 رو میده
مجبور شدم سرویس DNS رو هم پاک کنم و مجددا نصب کنم
الان روی هر دو تا DC به نظر میرسه که DNS ها دارن سینک میشن
ولی هیچ replication ای رخ نمیده!
تمام سرویس هایی که باید در حال اجرا باشن رو هم چک کردم و همه start هستن و فایروال هام رو هم خاموش کردم . اینم چند تا تست
C:\Windows\system32>Dcdiag /test:checksecurityerror
Directory Server Diagnosis
Performing initial setup:
Trying to find home server...
Home Server = SRV-additional
[SRV-additional] Directory Binding Error 1722:
The RPC server is unavailable.
This may limit some of the tests that can be performed.
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\SRV-ADDITIONAL
Starting test: Connectivity
[SRV-ADDITIONAL] DsBindWithSpnEx() failed with error 1722,
The RPC server is unavailable..
Got error while checking LDAP and RPC connectivity. Please check your
firewall settings.
......................... SRV-ADDITIONAL failed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\SRV-ADDITIONAL
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : rsz
Running enterprise tests on : rsz.local
و این
C:\Windows\system32>netdom /query fsmo The RPC server is unavailable. The command failed to complete successfully.
و این
C:\Windows\system32>Repadmin /kcc childdc2
Repadmin can't connect to a "home server", because of the following error. Try
specifying a different
home server with /homeserver:[dns name]
Error: An LDAP lookup operation failed with the following error:
LDAP Error 81(0x51): Server Down
Server Win32 Error 0(0x0):
Extended Information:
C:\Windows\system32>NETDIAG Trust Relationship
'NETDIAG' is not recognized as an internal or external command,
operable program or batch file.
C:\Windows\system32>NETDIAG
'NETDIAG' is not recognized as an internal or external command,
operable program or batch file.
C:\Windows\system32>Repadmin /showrepl
Repadmin: running command /showrepl against full DC localhost
Default-First-Site-Name\SRV-ADDITIONAL
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 03e194c8-f399-405c-b7a7-475375591d51
DSA invocationID: 220c4c6b-3636-4073-b51f-098a1211020c
==== INBOUND NEIGHBORS ======================================
DC=rsz,DC=local
Default-First-Site-Name\SRV2 via RPC
DSA object GUID: 352c21fa-a86d-4fc7-9a2b-a93345b5410d
Last attempt @ 2019-04-20 10:17:00 failed, result 1722 (0x6ba):
The RPC server is unavailable.
28 consecutive failure(s).
Last success @ 2019-04-19 15:43:46.
CN=Configuration,DC=rsz,DC=local
Default-First-Site-Name\SRV2 via RPC
DSA object GUID: 352c21fa-a86d-4fc7-9a2b-a93345b5410d
Last attempt @ 2019-04-20 10:17:25 failed, result 1722 (0x6ba):
The RPC server is unavailable.
28 consecutive failure(s).
Last success @ 2019-04-19 15:27:05.
CN=Schema,CN=Configuration,DC=rsz,DC=local
Default-First-Site-Name\SRV2 via RPC
DSA object GUID: 352c21fa-a86d-4fc7-9a2b-a93345b5410d
Last attempt @ 2019-04-20 10:17:51 failed, result 1722 (0x6ba):
The RPC server is unavailable.
28 consecutive failure(s).
Last success @ 2019-04-19 15:27:05.
DC=DomainDnsZones,DC=rsz,DC=local
Default-First-Site-Name\SRV2 via RPC
DSA object GUID: 352c21fa-a86d-4fc7-9a2b-a93345b5410d
Last attempt @ 2019-04-20 10:17:00 failed, result 1256 (0x4e8):
The remote system is not available. For information about network tr
oubleshooting, see Windows Help.
31 consecutive failure(s).
Last success @ 2019-04-19 15:27:05.
DC=ForestDnsZones,DC=rsz,DC=local
Default-First-Site-Name\SRV2 via RPC
DSA object GUID: 352c21fa-a86d-4fc7-9a2b-a93345b5410d
Last attempt @ 2019-04-20 10:17:00 failed, result 1256 (0x4e8):
The remote system is not available. For information about network tr
oubleshooting, see Windows Help.
31 consecutive failure(s).
Last success @ 2019-04-19 15:27:05.
ممنون میشم اگه کمکم کنید
به شدت دچار مشکل شدم
باسپاس
66 پاسخ
اون یکی سرور هم تونست اکتیو رو ببینه و استارت نصب ادیشنال آغاز بشه!!
باورم نمیشه!! :)
حالا چیکار باید بکنم؟ مشکل از چی بوده؟ چطوری می تونم پاکسازی بکنم و کارای اضافه در راستای رفع مشکل رو انجام بدم؟
من عذر میخوام
Ctrl + F5 زدم رو صفحه متوجه شدم که یکی دو تا از مطالب اخیر شما برام توی صفحه نیومده بود
خلاصه از سرچ مسیر رو پیدا کردم :(
و مقدار رو یک کردم
خودم فولدر sysvol به صورت شیر شده اومد ولی خالی هست داخلش
و netlogon نیومده فولدرش
یه بار الان ریست میکنم
فقط الان یه ارور موقع نصب ادیشنال داشتم
ارور نیست اون ، در حال Progress هست وقتی کارش تموم بشه دکمه Next ظاهر میشه.
و اینکه داخل sysvol سرور جدید خالیه! هیچی نیست کدوم
کدوم سرور ؟ همونی که FSMO Role ها رو بهش منتقل کردید و گفتید با سرور قدیمی بدرستی Replicate می کنه ؟ خوب اگه اینطوره چرا پس گفتید داره Replicate می کنه ؟ این مطلب رو ببینید : آموزش انجام Non-authoritative SYSVOL Restore بر پایه DFSR در اکتیودایرکتوری
DNS ها رو بصورت ضربدری قرار ندادید. در دامین کنترلر اول آدرس DNS اول باید به DC دوم و DNS دوم باید به خودش اشاره کنه و به همین ترتیب در دامین کنترلر دوم (SRV2) آدرس DNS اول به DC دوم (SRV-Additional) و DNS دوم به خودش اشاره باید کنه. به هر حال ، به نظر میرسه SRV2 دیگه قابل استفاده نیست پیشنهاد می کنم مجددا Event Log ها رو توی SRV2 چک کنید و یا اینکه کلا پاکش کنید و یه Additional DC جدید بیارید بالا. و بعد از انجام این کار حتما Metadata های باقی مونده از SRV2 روی DC-1 رو بصورت کامل پاک یا Cleanup کنید. حتما نتیجه رو اعلام کنید منتظرم ...
بله به خوبی وقتی روشن هست ریپلیکیشن داره (از داخل کنسول ها هم گزینه ریپلیکیت رو میزنم و بدون ارور میگه انجام میشه)
یوزر ها وقتی ساخته میشن منتقل میشن، تغییرات دی ان اس هم همینطور و...
ولی مشکل وقتی شروع شد که SRV-Additional رو خاموش کردم DC جدید گفت که شبکه رو نمی بینه و ارور داد و...
و الان پالیسی ها هم در فولدر sysvol جدید وجود ندارن
و فولدر netlogon هم شیر نشده
اجازه بدین من یه بار دیگه SRV-Additional رو خاموش کنم
ببینم چه مشکلی پیش میاد و ...
چرا Join به دامین نمیشه ؟ چه خطایی دریافت میشه ؟
آدرس DNS سیستمی که میخواید به دامین جوینش کنید رو فقط آدرس DC-1 بزارید.
یکبار Log های هر دو سرور رو بصورت کامل پاک کنید ( بصورت ضربدری ) یعنی Log های DC-1 رو اول پاک کنید و Restart اش کنید و بزارید کامل بوت بشه و لاگین کنید و منتظر بمونید سرویس هاش Start بشه بعد Log های DC-2 رو پاک کنید و Restart کنید سرور رو.
به نظر من مشکلتون درست از جایی شروع شد که DNS Server رو از روی DC حذف کردین. به Active Directory Integrated بودن Zone شک دارم ، البته خروجی دستور هم ظاهرا داره همینو میگه. روی Zone راست کلیک کنید و Proerties رو بزنید ، در تب General جلوی Type ببینید نوشته Active Directory Integrated ؟
A record سرور Additional DC یا همون SRV2 توی Zone وجود داره ؟
Exclusion ای برای پوشه های مربوط به Active Directory توی آنتی ویروس تعریف نکردین ؟
پیشنهادم اینه که DC ای که سالم هست و 5 تا FSMO Role ها رو تو خودش نگهداری می کنه رو مشخص کنید و DC دیگه رو که مشکل دار هست رو از مدار کلا خارج کنید و دیگه به مدار برش نگردونید. Metadata های سروری که از مدار خارج کردید رو هم از روی DC موجود در مدار بصورت کامل پاک کنید. حالا یه ویندوز سرور جدید نصب کنید و یه Additional DC جدید بالا بیارید ( یعنی Promote اش کنید بعنوان Additional DC ) البته برای انجام این کار عجله نکنید ، موارد بالا رو چک کنید بعدا این کار رو بکنید.
وقتی روشن شد دی سی قدیمی خطاها نیومد ولی یه سری ارور جدید داره میاد برام
the network name cannot be found
که همین بالا گفتم
فعلا دارم سرور 2019 دانلود می کنم که مستقیم روی اون دی سی ادیشنال رو بیارم بالا
ولی توی همون تست دیدم که مراحلی که گیر میداد رو رد کرد
انشالله نتیجه رو می گم همینجا
باسپاس فراوان
به احتمال زیاد با انجام مورد اول مشکلتون حل میشه. حتما انجامش بدین.
خوب الان مشکل چیه ؟
ممنون از شما
الان جواب میدم
فقط اسم ها کمی عجیب هست و ممکن هست اشتباه بشه من یه اسم گزاری اینجا میکنم
که بعدا لاگ ها رو خوندین دچار مشکل نشین
dc1 = srv-additional
dc2= srv2
1- هر 5 تا رول روی dc1 بود و دستور netdom /query fsmo بعضی مواقع ارور میده و بعضی مواقع نه
من PDC و infrastructure master رو امروز تونستم منتقل کنم به dc2 ولی نتیجه خیلی جالبه وقتی این دستور رو اجرا کردم الان
DC1 نشون میده که پنج تا رول رو خودش داره
ولی DC2 نشون میده که اون تایی که گفتم رو به خودش منتقل کرده و ما بقی روی DC1 هستن
2- خیر، دی ان اس ها رو طبق صحبت شما به صورت ضربدری آی پی DC ها قرار دادم
3- بله
4- بله ولی یه مشکلی هست
روی هر سرور دسترسی به فایل های شیر مسدود شده
یعنی من به عنوان مثال که IP سرور DC1 هست 192.168.20.3 رو توی run به صورت \\192.168.20.3 می زنم میگه که این مسیر رو پیدا نمی کنه ولی \\127.0.0.1 رو میزنم باز میکنم
کلا توی نتورک دارم تغییرات عجیب می بینم
حدس میزنم ویروس افتاده با اینکه آنتی ویروس کسپراسکی تحت شبکه دارم ولی الان دکتر وب رو روی یکی دو تا سرور تست کردم تروجان و... پیدا کرد!
5- بله روی هر دو DC وجود داره
6- بله همه ی موارد یکسان هست
تا دقایقی دیگه بقیه ی فایل ها رو هم میفرستم
باسپاس فراوان
خب به نظر مشکل کردنشیال هم حل شد با ریست سرور و سیستم مذکور
پس شروع میکنم به پاکسازی SRV-Additional و هرچی دیتایی که ازش مونده
و بعدش یه سرور ادیشنال 2019 جدید میارم بالا
سلام ، قبلا روی این ویندوز سرور سرویسی نصب نبوده ؟ سرور تازه نصب شده ؟
سرور رو به دامین Join کردین ؟
خروجی دستور ipconfig /all رو اینجا بزارید.
خروجی دستور nslookup DCName.DOMAIN.LOCAL رو هم بزارید.
دستور ipconfig /flushdns رو اجرا کنید و مجددا تست کنید.
سلام مجدد
بله dns هر دو سرور Active Directory Integrated هستند
راستش این مشکلات قبل از حذف DNS وجود داشت، من دیگه توی آخرین مراحل تست حذف و نصب کردم
چون دیگه به هیچ جایی نمیرسیدم
A record هر دو سرور در DNS سرور دیگه وجود داره
Exclusion در آنتی ویروس تعریف نکردم
کلا آنتی ویروس رو هم توی این چند روز دیگه مجبور شدم عوض کنم چون احتمال ویروسی بودن رو داشتیم
و روی هر 2 تا آنتی ویروس همین وضعیت بود
==============================================
با این اوصاف من سروری که 5 تا رول رو داره نگه می دارم و ادیشنال رو خاموش میکنم
و هر دیتایی داره رو پاک میکنم
فقط امیدوارم سرور جدید بتونه وصل بشه و مثل سری های قبلی ارور نده
ممنون
و وقتی شیر خود سرورو جدید رو باز میکنم هیچ خبری از فولدرهای sysvol نیست
البته سرویس frs کلا توی سرور های disable هست اما DFSR فعال هست
یه نکته ای رو یادم رفت بگم ، همیشه سعی کنید Forest Functional Level یا FFL رو بروز نگه دارید و Domain Functional Level رو هم برابر و یا بالاتر از FFL قرار بدید ( DFL رو کمتر از FFL نمیتونید بزارید ) . برای مثال اگه FFL شما باشه سرور 2016 حتما DFL باید سطحش 2016 و 2016 به بالا باشه. رعایت کردن این موارد باعث میشه که از قابلیت های خوب AD که توی سرور جدیدتر وجود داره بتونید در سطح Forest ازش استفاده کنید. تو مجموعه تون تا حد امکان DC ها Migrate کنید به نسخه جدید تر مثل 2016 و 2019 ( FFL رو 2019 قرار بدید چون آپدیت تر هست ) و DFL رو هم حداقل 2016 بزارید.
خب این هم لینک گوگل درایو
https://drive.google.comdrivefolders/16vE5uO7fDbTUm5OUEjCAMbDBLuP0igwZ?usp=sharing
البته کلاینت هام رو فعلا دی ان اس شون رو تغییر دادن به 192.168.20.13 یعنی به dc2
باسپاس
خب الان چه باید بکنم
وقتی هم میخوام توی گروپ پالیسی یه پالیسی جدید بسازم پیام میده که the network name cannot be found
این مقاله رو پیدا کردم
میرم تو کار تست
ویندوز سرور 2016 ظاهرا آخرین نسخه از ویندوز سرور هست که از FRS پشتیبانی می کنه. توی ویندوز سرور 2019 مایکروسافت دیگه کلا به DFSR مهاجرت کرده و FRS رو به عنوان Backward Compatibility نگهش داشته. FRS رو دیگه خدا رحمتش کنه ، موند توی سرور 2003 و 2008.
سلام مجدد
بله منم حدس خودم همینه که همه چیز زیر سر دی ان اس سرور ها هست!!
ولی خب من زیاد وارد نیستم روی این مورد
1- خب اولین تست که روی ادیشنال هست
nslookup srv2.rsz.local
sever: unknown
address: 192.168.20.3
unknown cant find srv.rsz.local : Non-existent domain
و سرور اصلی خودم
nslookup srv-additional.rsz.local
sever: unknown
address: 192.168.20.3
name: srv-additional.rsz.local
address: 192.168.20.3
2- البته متوجه نشدم منظورتون چیه ولی خب دی ان اس سرور دقیقا روی خود دی سی ها نصب هست
3- جواب همه گزینه ها بله هست
البته من یک بار به خاطر همینکه فکر میکردم مشکل از این سرویس هست در فواصل زمانی مختلف این ها رو حذف و مجددا نصب کرده بودم
الان تنها موردی که به خوبی به نظر سینک میشه بین 2 سرور همین DNS هست
ولی در نهایت به نظر ریشه همه مشکلات هم هست
4- خب این هم لاگ های هر 2 سرور
DC1 (اصلی)
Directory Server Diagnosis
Performing initial setup:
Trying to find home server...
Home Server = SRV-additional
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\SRV-ADDITIONAL
Starting test: Connectivity
......................... SRV-ADDITIONAL passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\SRV-ADDITIONAL
Starting test: DNS
DNS Tests are running and not hung. Please wait a few minutes...
......................... SRV-ADDITIONAL passed test DNS
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : rsz
Running enterprise tests on : rsz.local
Starting test: DNS
Test results for domain controllers:
DC: SRV-additional.rsz.local
Domain: rsz.local
TEST: Delegations (Del)
Error: DNS server: srv-additional.rsz.local. IP:192.168.20.3
[Broken delegated domain msdcs.rsz.local.]
Summary of test results for DNS servers used by the above domain
controllers:
DNS server: 192.168.20.3 (srv-additional.rsz.local.)
1 test failure on this DNS server
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: rsz.local
SRV-additional PASS PASS PASS FAIL PASS PASS n/a
......................... rsz.local failed test DNS
و DC2
Directory Server Diagnosis
Performing initial setup:
Trying to find home server...
Home Server = SRV2
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\SRV2
Starting test: Connectivity
The host 352c21fa-a86d-4fc7-9a2b-a93345b5410d._msdcs.rsz.local could
not be resolved to an IP address. Check the DNS server, DHCP, server
name, etc.
Got error while checking LDAP and RPC connectivity. Please check your
firewall settings.
......................... SRV2 failed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\SRV2
Starting test: DNS
DNS Tests are running and not hung. Please wait a few minutes...
......................... SRV2 passed test DNS
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : rsz
Running enterprise tests on : rsz.local
Starting test: DNS
Test results for domain controllers:
DC: SRV2.rsz.local
Domain: rsz.local
TEST: Basic (Basc)
Error: No LDAP connectivity
No host records (A or AAAA) were found for this DC
TEST: Delegations (Del)
Error: DNS server: rsz-server.rsz.local. IP:<Unavailable>
[Missing glue A record]
TEST: Dynamic update (Dyn)
Warning: Failed to add the test record dcdiag-test-record in zone rsz.local
TEST: Records registration (RReg)
Network Adapter
[00000009] Intel(R) 82574L Gigabit Network Connection:
Warning:
Missing SRV record at DNS server 192.168.20.3:
_ldap._tcp.pdc._msdcs.rsz.local
Warning:
Missing SRV record at DNS server 192.168.20.13:
_ldap._tcp.pdc._msdcs.rsz.local
Error: Record registrations cannot be found for all the network
adapters
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: rsz.local
SRV2 PASS FAIL PASS FAIL WARN FAIL n/a
......................... rsz.local failed test DNS
5- بله بر روی هر 2 سرور پینگ میشه
6- نه خدا رو شکر از نظر پسیو هیچ مشکلی نداریم و همه چی اوکی هست
------
روی سروری که میخوام جوین کنم هر دو موردی که فرمودین رو تست کردم
و همه به خوبی اجرا شدن و هیچ اروری مشاهده نشد
درضمن من پوزش میخوام که دیر جواب میدم با اینکه خیلی عجله دارم
ولی از سایت ایمیل ها یا دیر میان یا نمیان و متوجه نمیشم که شما جواب دادین
بازم ممنون
بعد از Restart کردن DC ببینید وقتی کنسول ADUC رو باز می کنید اون خطا نشون داده میشه ؟
به این مطلب هم مراجعه کنید : عدم دسترسی به فایل های share شده
لینک بالا رو برای رفع مشکل باز نشدن Share ها با آدرس IP و باز شدنش با 127.0.0.1 در دامین کنترلر ببینید.
DC قبلی رو من از مدار خارج نکرده بودم و نمی دونم چه کرده بودن ولی این مقاله رو میخونم
مورد دوم رو هم انجامش داده بودم ولی تاثیری نداشت
اما دوباره الان به همین صورت گذاشتم
ارور بالا و تمامی مشکلاتی که باهاش مواجه شدین ناشی از درست کار نکردن DNS هست. قبل از اینکه به رفع ارور بالا بپردازیم لطفا موارد زیر رو هم چک کنید :
1. مطمئن بشید که سرویس DNS Server در هر دو DC در حالت Running هست و خروجی دستور Nslookup DCNMAE.DOMAIN.LOCAL به درستی و بدون هیچ خطایی اجرا میشه.
2. مطمئن هستید که DNS سرورتون Active Directory Integrated هست ؟
3. توی کنسول مدیریتی DNS سرور میتونید Forward Lookup Zone مربوط به دامین رو ببینید ؟ میتونید Expand اش کنید ؟ A record های هر دو DC موجود هستند ؟ میتونید پوشه msdcs_ رو Expand کنید ؟
4. خروجی دستور زیر رو لطفا در قالب کد ( کلید های Ctrl+K رو بزنید ) و متن خروجی دستور رو توش قرار بدید :
dcdiag /test:dns
5. دستور ping rsz.local با موفقیت اجرا میشه و به درستی Replay میده ؟
6. مطمئن بشید که مشکل فیزیکی توی شبکه ندارین. سالم بودن سوئیچ ها ، کابل ها ، و ... رو حتما بررسی کنید.
بعد از اینکه موارد بالا رو چک کردید روی سیستمی که میخواید به دامین جوینش کنید و اون خطا رو دریافت می کنه دستور ipconfig /flushdns رو اجرا کنید و مطمئن بشید که سیستم به درستی میتونه DC رو Ping کنه و دستور nslookup DCNAME.DOMAIN.LOCAL بدون هیچ خطایی اجرا میشه. حتما همه این موارد رو چک کنید و نتیجه رو اعلام کنید. منتظرتون هستم ....
این هم عکس از خطا
توی اون مرحله مشکلی نبود
dc ادیشنال 2019 رو هم آوردم بالا
فولدر sysvol مجددا شیر نبود که از طریق رجیستری درست کردمش
فقط الان یه ارور موقع نصب ادیشنال داشتم
و اینکه داخل sysvol سرور جدید خالیه! هیچی نیست
و وقتی هم میخوام به دی سی اصلی وصل بشم بازم ارور کردنشیال میده
خب من همه موارد رو تست کردم و هیچ مشکلی مشاهده نشد و انواع ریپلیکیشن ها هم انجام شد
در نهایت پنج تا رول رو با موفقیت به سرور جدید منتقل کردم
و netdom /query fsmo رو هم با موفقیت اجرا کرد و نشون داد که هر پنج رول روی سرور جدید نشسته
اما رفتم بعدش رکورد های دی ان اس رو پاک کنم و شروع کنم به پاک سازی متادیتا ها
این ارور اومد
این ارور نیست بلکه یه هشدار هست ، اگه نمیخواید سیستم های خارج از دامین شما بتونن کلاینت های داخل دامین تون رو Resolve کنن این هشدار رو میتونید نادیده بگیرید. OK رو بزنید و نصب رو ادامه بدید. اگه جایی به خطایی خوردید حتما بگید.
خوب خدارو شکر ، الان Additional DC با موفقیت نصب شد ؟ اگه جواب مثبت هست FSMO Role ها رو کلا به این سرور منتقل کنید و مطمئن بشید که Replication با Primary DC قبلی ( SRV-Additional ) بخوبی اتفاق میوفته و همه چی اوکی هست. حالا این سرور جدید رو Primary DC کنید و DC های دیگه رو کلا از مدار خارج کنید و دیگه به مدار برش نگردونید. بعد یه سرور دیگه نصب کنید و اون Promote کنید به عنوان Secondary DC. در ضمن Metadata Cleanup یادتون نره.
لطفا به سئوالات زیر جواب بدید :
1. کدوم دامین کنترلر FSMO Role ها رو نگهداری می کنه ؟ روی همه DC ها وقتی دستور netdom /query fsmo رو اجرا می کنید اون خطا رو دریافت می کنید ؟
2. آدرس DNS سرور های Public ای مثل 8.8.8.8 یا 4.2.2.4 روی کارت شبکه DC ها ست شده ؟
3. Global Catalog یا GC روی هر دو DC فعال هست ؟
4. پوشه های NETLOGON و SYSVOL در هر دو DC بصورت Share شده قرار دارن ؟
5. وارد کنسول AD Site & Services بشید و چک کنید ببینید Connection object های مربوط به هر دو DC وجود داره ؟ این کار رو در هر دو DC انجام بدید.
6. زمان هر دو DC یکسان هست ؟ تاریخ و ساعت و منطقه زمانی
پیشنهاد می کنم دستور زیر رو در دامین کنترلر اجرا کنید :
Dcdiag /v /c /d /e /s:DCName >c:\dcdiag.log
به جای DCName اسم NetBIOS ای دامین کنترلر رو وارد کنید.
و همچنین دستورات زیر :
ipconfig /all > C:\dc1.txt ipconfig /all > C:\dc2.txt ipconfig /all > C:\workstation.txt
لطفا فایل ها رو در سایت هایی مثل OneDrive آپلود کنید و لینکش رو بزارید تا دقیق تر مشکل رو بررسی کنیم.
لطفا از متن خطا یک عکس بزارید.
بصورت گرافیکی Cleanup کنید.
بازم ممنون
ولی همه چیز پاک هست و اثری نمونده
اما بزرگترین مشکل اینه rpc server is unavailable
هیچ کاری دیگه نمی تونم بکنم ، نه پالیسی ها رو میشه ادیت کرد
هیچ پرمیشنی توی شبکه دیگه کار نمی کنه و...
واقعا یه سره 2-3 روزه دارم سرچ میکنم
راهی دیگه به نظرم نمیرسه
نه میشه جوین به دامین کرد نه دامین کنترلر جدید اضافه کرد و...
به نظر باید قید دامین رو بزنم!!
مقدار کلید رجیستری SysvolReady رو برابر یک قرارش دادید ؟
دوستان کسی مطلب در مورد تنظیمات بیش از یک دامین در دامین، نگهداریش و روش های اطمینان از replication داره؟
الان سرور SRV-Additional با DC جدید Replication داره ؟
یه نکته ی جالب
اومدم DC ادیشنال رو خاموش کردم و طبق این دستورالعمل شروع کردم به پاکسازی
https://tosinso.com/microsoftarticles305/%D8%AD%D8%B0%D9%81-%DA%A9%D8%A7%D9%85%D9%84-domain-controller-%D9%87%D8%A7%DB%8C-%D8%A7%D8%B2-%D9%85%D8%AF%D8%A7%D8%B1-%D8%AE%D8%A7%D8%B1%D8%AC-%D8%B4%D8%AF%D9%87
در مرحله select site وقتی سایت رو انتخاب و میکنم و میزنم select site 0
جواب میده که
no current domain
no current server
no current naming context
در صورتیکه طبق دستورالعمل من باید شماره سایتی که خودش گفته رو میزدم
و یه سایت هم دار و شناسایی کرده بود!
0 - CN=Default-Fisrt-Site-Name,CN=Sites, CN=Configuration,DC=rsz,DC=local
ببینید لزومی نداره که حتما بصورت خط فرمانی Metadata Cleanup کنید. من خودم بیشتر بصورت گرافیکی این کار رو انجام میدم تا مطمئن بشم که همه چیز پاک میشه. آخر سر هم نرم افزار CCleaner رو ران می کنم تا سرور رو تر و تمیز کنه. تست کنید و خبر بدید. فقط با احتیاط این کار رو انجام بدید تا اوضاع رو از اینی که هست پیچیده تر نکنید.
سلام ، زمانی که اون DC رو از مدار خارج کردید Metadata Cleanup رو روی سایر DC هاتون انجام دادین ؟ به این مطلب مراجعه کنید : حذف کامل Domain Controller های از مدار خارج شده
در ضمن آدرس DNS سرور دامین کنترلر ها رو بصورت ضربدری ست کنید یعنی آدرس dns اول سرور دوم و آدرس dns دوم سرور اولی باشه تا فرآیند Replication بین اونها Force بشه.
خب متاسفانه نشد
به صورت دستی هر ردی که مونده بود رو پاک کردم
در انتها حتی ریست کردم و...
ولی باز هم سرور جدید نمی تونه به عنوان ادیشنال نصب بشه
و ارور میده
the wizard cannot access the list of domains in the forest. the error is: the network name cannot be found
الان دی ان اس ها رو تصحیح می کنم
ولی مشکل اینه که دیگه جوین به دامین نمیشه کرد و در کنارش هم تست کردم
دیگه نمی تونم دامین کنترلر جدید بیارم توی شبکه
مشکل هم همینه که نه می تونم جوین به دامین کنم نه می تونم additional dc جدید راه اندازی کنم که بعدش رول ها رو منتقل کنم
و رول ها هم که نتونستم منتقل کنم به سرور DC2
سر همین بود که گفتم احتمالا مجبور هستم که کلا قید هر دو تا دامین رو بزنم
توی لاگ ها همش داره از rpc server is unavailable صحبت میکنه
راستی شما از روی لاگ ها متوجه شدین که SRV2 دیگه قابلیت و کارایی نداره؟
باسپا
وقتی روی دکمه Change کلیک می کنید Credentials رو بصورت administrator@rsz.local وارد کنید.
از خاموش بودن فایروال هم مطمئن بشید. فایروال رو برای هر سه تا Network Profile رو خاموش کنید.
در ضمن لطفا وقتی سروری رو تازه نصب می کنید بلافاصله روش آنتی ویروس نصب نکنید. لطفا آنتی ویروس رو پاک کنید و مجددا تست کنید.
خب نشد روش گفته شده رو انجام بدم
این ارور اومد
C:\Windows\system32>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: srv-additional
Error parsing Input - Invalid Syntax.
server connections: connect to server srv-additional.rsz.local
Binding to srv-additional.rsz.local ...
DsBindWithSpnExW error 0x6ba(The RPC server is unavailable.)
server connections:
این ارور رو میده
the wizard cannot access the list of domains in the forest. the error is: the network name cannot be found
نه، سرور ادیشنال جدید رو گفتم که توش خالیه
اونیکه fsmo رو منتقل کردم پالیسی ها رو هم دستی منتقل کرده بودم، فولدرها برای اون بودن ولی داخل فولدارها خالی بود
اما این ادیشنال جدید که (دومین سرور 2019 هست) کلا بعد از اینکهsysvol رو از طریق رجیستری درست کردم
هیچ فولدری داخلش نیست
ولی ریپلیکیشن داره انجام میشه
جالبیش هم اینه که فقط همین دو تا سرور توی دیدن sysvol هم مشکل دارن و ارور پسورد میگیرن
از کلاینت ها خیلی راحت وصل میشم به sysvol و ارور هم نداره
وقتی دامین کنترلر قبلی رو که میخوام حذف کنم رو دوباره روشن میکنم همه چیز درست میشه
سرچ لازم نیست :( مسیرش رو گفتم خدمتتون.
پیشنهاد می کنم SRV-Additional رو اگه با DC جدید بخوبی داره Replication می کنه رو از مدار خارج کنید و یه سرور 2019 رو بالا بیارید و اونو Additional اش کنید.
چشم
من به صورت کامل همه تست ها رو خدمت شما اعلام میکنم
انشالله که مشکلی نباشه
بسیار سپاسگزارم
توجه کنید که صرفا با منتقل شدن یکی دو تا Object از یک DC به DC دیگه فکر نکنید که Replication داره به درستی اتفاق میوفته. برای Object های مختلف مثل User account ها ، DNS Record ها ، GPO ها و ... هم تست کنید و مطمئن بشید که Replication اوکی هست. دستور repadmin /showrepl رو هم اجرا کنید و مطمئن بشید که خروجی در هر دو DC بصورت Success هست. از طریق کنسول AD Site & Services هم برای Connection Object های هر دو DC راست کلیک کنید و Replicate now رو بزنید و مطمئن بشید که هیچ پیغام خطا و یا هشداری نمیده و Replication با موفقیت انجام میشه. از استارت بودن سرویس Netlogon و FRS و سایر سرویس های حیاتی مربوط به AD هم مطمئن بشید. فردا منتظر نتیجه هستم. موفق باشید
بازم سپاس
فعلا دی سی دوم اومد بالا
ریپلیکیت هم شدن
حالا انشالا فردا بتونم هر 5 تا رول رو منتقل کنم به سرور 2019 و خاموش کنم
ببینم چی میشه
خیلی لطف کردین
علت بوجود اومدن این مشکل اینه که تو این جور مواقع سرویس Netlogon میاد و SysvolReady Flag رو از توی Registry به سرعت میخونه. بعد سرویس Netlogon سعی می کنه که پوشه Windows\SYSVOL\domain\scripts\ رو Share کنه درست قبل از اینکه سرویس NTFRS این پوشه رو ایجاد کنه. که با تغییر دادن مقدار کلید SysvolReady به یک این مشکل برطرف میشه. مشکلتون دقیقا به خاطر همین هست. DC قبلی رو از مدار خارج کنید و یه سرور 2019 جدید رو به عنوان Additional این دامین کنترلر Promote کنید.
تقریبا همین مشکل هست!!! :D
برم بخونمش
ممنون
چشم حتما این کار رو الان انجام میدم
ولی یه مشکل که خیلی این چندوقت درگیرش بودم توی Cleanup دوباره اومد سر وقتم
چیکار باید کرد توی این مورد؟
(درضمن دیگه اون سرور قدیمی رو به صورت فیزیکی هم دارم حذف میکنم چون امکان ساخت ماشین جدید توی VM من به دلیل محدودیت فضا نیست و میخوام یه ماشین 2019 دیگه هم بیارم بالا که ادیشنال این بشه)
ممنون
مراحل اولیه که به صورت گرافیکی و از کنسول های Active Directory Users and Computers و Active Directory Sites and Services و DNS حذف کردم.
بصورت گرافیکی هم میتونید Metadata Cleanup کنید. این لینک رو ببینید.
من فعلا نصب رو ادامه نمی دم تا شما بفرمایید که چی کار کنم
چون نمی خوام الکی نصب کنم و بعدا دوباره به مشکل بخورم
پس فعلا منتظر شما می مونم
باسپاس
سلام
این سرور تازه نصب شده و بلافاصله بعدش هم آنتی ویروس روش نصب شد
گفته بودم که متاسفانه جوین به دامین نمیشه کرد ، اصلا مجوز ها و پرمیشن ها دیگه توی شبکه کار نمی کنن
به نظر هر لاگینی هم که انجام میشه داره از کش صورت می گیره
C:\Users\Administrator>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : AD-DC01
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
Physical Address. . . . . . . . . : 00-0C-29-AC-8F-2F
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::d55a:338d:2624:27b9%5(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.20.5(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.20.254
DHCPv6 IAID . . . . . . . . . . . : 50334761
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-24-4E-13-6E-00-0C-29-AC-8F-2F
DNS Servers . . . . . . . . . . . : 192.168.20.3
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter isatap.{278774FD-BC41-46A9-986B-4C89C46CCC9D}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Tunnel adapter Teredo Tunneling Pseudo-Interface:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2001:0:2851:782c:1828:1952:d12e:726e(Preferred)
Link-local IPv6 Address . . . . . : fe80::1828:1952:d12e:726e%4(Preferred)
Default Gateway . . . . . . . . . : ::
DHCPv6 IAID . . . . . . . . . . . : 134217728
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-24-4E-13-6E-00-0C-29-AC-8F-2F
NetBIOS over Tcpip. . . . . . . . : Disabled
و دستور بعدی
C:\Users\Administrator>nslookup srv-additional.rsz.local Server: UnKnown Address: 192.168.20.3 Name: srv-additional.rsz.local Address: 192.168.20.3
چندین بار دستور ipconfig /flushdns رو هم اجرا کردم
باسپاس
خیلی جالبه!!
IPSec Policy Agent رو غیر فعال کردم بالاخره تونستم روی سیستم خودم \\192.168.20.3 رو باز کنم!
بسیار سپاسگزار از راهنمایی های شما
ولی قبل از اینکه شروع کنم به پاکسازی دی سی قبلی و اثراتش
یه مشکل جدید داره این دی سی جدید
به نظر روی کردنشیال ها مشکل داره
مجوز نداره به سیستم ها و سرور های دیگه وصل بشه و ارور میده
(ولی ارور های دیگه نمیاد)
نه اون خطا رو نشون نمیده
ولی یه چیز جدید متوجه شدم
من پرمیشن دسترسی به فولدر های شیر دی سی قدیمی رو ندارم
مثلا رفتم به مسیر 192.168.20.3 (سرور قبلی که رول ها رو منتقل کرد به جدید) و دیدم نه فولدر sysvol و نه netlogon باز نمیشون
و ازم یوزر و پسورد میخوان
توی پالیسی ها هم همین رو داره اعلام میکنه
برای برطرف کردن این مشکل وارد تنظیمات Registry تو همین سرور بشید و به مسیر زیر برید :
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
HKLM همون HKey Local Machine هست. توی پوشه Parameters مقدار کلید رجیستری SysvolReady رو به یک تغییر بدید. حالا مجددا تست کنید. اگه درست نشد یکبار سرور رو Restart کنید.
این پست به جواب رسیده دوست عزیز. لطفا این مشکل رو در قالب پست جداگانه مطرح کنید. سپاسگذارم
خطای قبلی رفع نشد ؟
جناب کریم پور
این ارور برای چی هست؟