لاگین نشدن کاربران بعد از قطع شبکه Primary DC
دوستان سلام
من جهت تست، شبکه Primary DC رو قطع کردم اما کلاینت ها علی رغم بالا بودن Additional DC، نمیتونن لاگین کنن و خطای domain is not available رو دریافت میکنن.
بنظرتون مشکل از چی میتونه باشه؟
و سوال بعدی اینکه به فرض اگر Primary DC برای همیشه Down بشه اون Additional رو همینطوری میشه Primary در نظر گرفت ؟ یا اینکه کار خاصی باید انجام داد؟
و سوال بعدی اینکه چرا وقتی روی کلاینت ها ping اسم دامنه رو میگیریم بعضی با آی پی Primary DC ریپلای میدن و بعضی با Additional DC؟ راهی هست که همگی با آی پی Primary پینگ بدن؟
ممنون
14 پاسخ
DNS ها به صورت ضربدری هستن.
- خوب چجوری ست شدن ؟ توی هر دامین کنترلر DNS اول باید به DC دیگه ، و بعد به خودش یعنی 127.0.0.1 اشاره کنه.
یه چیزی که توی خیلی از سایت ها با ابهام در موردش حرف زده شده اینه که آیا قبل از کانفیگ دامین ادیشنال آیا باید اون جوین به دامین بشه یا نه؟
- قبل از هر کاری که روی دامین انجام میشه مثل اضافه کردن DC اضافی ، تغییر دادن ساختار دامین ، اضافه کردن سرویس و ... باید اول مطمئن بشید که DC سالم هست یا خیر. برای اینکار از ابزار DCDIAG میتونید استفاده کنید.
و یه مورد دیگه اینکه این FSMO در واقع چی هستن که وقتی روی یه دامین قرار داره وقتی این دامین از بین بره (یا مثلا شبکش رو قطع کنیم)اگه دامین دیگه ای داشته باشیم اون میتونه شبکه رو سرویس بده؟؟
- FSMO ها برای این هست که بگین فلان DC چه نقشی توی شبکه داشته باشه.
من خروجی DCDIAG تون رو خوندم. DC هاتون در وضعیت سالم قرار ندارن. اول از همه شما مشکل تایم دارید توی دامین تون. خطای تایم باید برطرف بشه. DNS ها رو هم اوکی کنید. یه سوالی، قبلا یکی از دامین کنترلر ها خاموش بوده توی دامین ؟ اگه بوده چند وقت خاموش بوده ؟
سلام ببخشید دیر جواب دادم
- پرایمری 2012 R2 هستش و ادیشنال که تازه نصبش کردم 2022
- در مورد DNS ها اولی به اون یکی و دومی به خودشون (البته دقیقا ip خودشون)تنظیم شده
- خروجی دستور dcdiag روی پرایمری دامین (dc1) رو گذاشتم البته خروجی مربوط به بعد از اضافه کردن ادیشنال هستش
- "FSMO ها برای این هست که بگین فلان DC چه نقشی توی شبکه داشته باشه" : خب اگه پرایمری دامین که FSMO ها روشون هستن down بشه این انتظار که دامین دوم بتونه سرویس بده درسته؟حتی بدون وجود دامینی که FSMO ها روش هستش؟
- مشکل تایم روی DC1 نمیدونم چیه؟ ساعت دامین که با تایم سرور یکیه و کلاینت ها هم تایمشون با دامین یکیه.
- همه خطاها باید رفع بشن ؟ یا بعضیاشون مهم نیست؟
- قبلا (حدود یک سال پیش) ادیشنال دیگه داشتیم که مشکل برا کلاینتها پیش اومد لاگین نمیکردن اجبارا خاموشش کردم.بدون انجام دیموت.تنها جدیدا که 2022 رو بالا آوردم اثراتش رو توی اکتیو دایرکتوری و site & service حذف کردم
مهندس جان اگه چیزی به اسم PDC وجود نداره پس دامینی که FSMO ها روی اون قرار دارن رو چی میگن؟اونم وقتی دو تا دامین توی شبکه وجود داره؟
- بهش دامین کنترلر اول یا Primary DC میگن، ولی PDC/BDC نمیگن ! حتی اگه هزار تا DC توی دامین وجود داشته باشه.
فقط یه نکته بعد از بررسی های مختلف اینکه اون مشکلی که گفته بودم اکتیو باز نمیشه با change domain controller روی ADC و تغییر به اسم همین دامین دوم مشکل حل شد و اکتیو باز شد آبجکت ها هم تماما نشون داده شد.
- باز به نظرم مشکل از DNS باید باشه. DNS ها رو به طور ضربدری روی DC ها ست کنید. همینطور ، لطفا خروجی دستور DCDiag /c /v /e /q رو هم ارسال کنید. روی هر دو DC اجراش کنید.
نکته : لطفا از قسمت پاراگراف -> بلوک ها -> کد برای ارسال خروجی استفاده کنید. ممنونم
سیستم عامل DC ها چی هست ؟
سلام
پس رو سرور 2012 حتما FRS به DFSR مهاجرت بدید.
مهندس مگه 2008 به بعد مکانیزمشون DFSR نیس؟اگه درسته پس نیازی نیست.
DNS اولی به اون یکی و دومی به خودشون (127.0.0.1) ست کنید نه IP خودشون.
اوکی انجام میشه
مشکل تایم بحثش مفصله. سرچ کنید تو سایت. نباید خطای تایم تو خروجی DCDIAG نشون داده بشه.
بررسی میکنم ببینم به نتیجه ای میرسم
چه مدت خاموش موند ؟ بعدش چیکار کردین ؟ سیستم عاملش چی بود ؟
حدود یک سل و خورده ای.فقط ادیشنال رو خاموش کردم و با یک دامین پرایمری ادامه دادم تا الان. اونم 2012R2
سلام وقت بخیر
1- replication بین PDC و ADC و همچنین پیکربندی dns رو چک کنید
2- اگر PDC از بین بره برای تبدیل ADC به PDC باید FSMO های PDC رو به ADC انتقال بدید
3- به خاطر مکانیزم کاری الگوریتم round robin هست. از کنسول مدیریت dns میتونید تغییرش بدید
DNS ها به صورت ضربدری هستن.
/////////////////////////////////////////////////// DCdiag on DC1 ////////////////////////////////////////
C:\Windows\system32>dcdiag /c /v /e /q
Warning: DC1 is not advertising as a time server.
......................... DC1 failed test Advertising
[DC1] No security related replication errors were found on this DC!
To target the connection to a specific source DC use /ReplSource:<DC>.
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems. ......................... DC1 failed test DFSREvent ** Did not run Outbound Secure Channels test because /testdomain: was
not entered
Invalid service startup type: w32time on DC1, current value
DISABLED, expected value DEMAND_START
w32time Service is stopped on [DC1]
......................... DC1 failed test Services
Warning: DsGetDcName returned information for \\DC1.domain.ir, when we
were trying to reach DC2.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... DC2 failed test Advertising
[DC2] No security related replication errors were found on this DC!
To target the connection to a specific source DC use /ReplSource:<DC>.
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... DC2 failed test DFSREvent
Unable to connect to the NETLOGON share! (\\DC2\netlogon)
[DC2] An net use or LsaPolicy operation failed with error 67,
The network name cannot be found..
......................... DC2 failed test NetLogons
** Did not run Outbound Secure Channels test because /testdomain: was
not entered
......................... DC2 failed test DNS
Test results for domain controllers:
DC: DC1.domain.ir
Domain: domain.ir
TEST: Forwarders/Root hints (Forw)
Error: Both root hints and forwarders are not configured or
broken. Please make sure at least one of them works.
DC: DC2.domain.ir
Domain: domain.ir
TEST: Basic (Basc)
Error: No WMI connectivity
No host records (A or AAAA) were found for this DC
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: domain.ir
DC1 PASS PASS FAIL PASS PASS WARN n/a
DC2 PASS FAIL n/a n/a n/a n/a n/a
......................... domain.ir failed test DNS
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error
1355
A Good Time Server could not be located.
......................... domain.ir failed test LocatorCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error
1355
A Good Time Server could not be located.
......................... domain.ir failed test FsmoCheck
///////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////// DC2 ////////////////////////////////////////////////////////////
C:\Users\user1>dcdiag /c /v /e /q
Warning: DC1 is not advertising as a time server.
......................... DC1 failed test Advertising
[DC1] No security related replication errors were found on this DC! To target the connection to a specific source DC use /ReplSource:<DC>.
The event log DFS Replication on server DC1.domain.ir could not be queried, error 0x6ba "The RPC server is unavailable."
......................... DC1 failed test DFSREvent
The event log Directory Service on server DC1.domain.ir could not be queried, error 0x6ba "The RPC server is unavailable."
......................... DC1 failed test KccEvent
** Did not run Outbound Secure Channels test because /testdomain: was not entered
Invalid service startup type: w32time on DC1, current value DISABLED, expected value DEMAND_START
w32time Service is stopped on [DC1]
......................... DC1 failed test Services
The event log System on server DC1.domain.ir could not be queried, error 0x6ba "The RPC server is unavailable."
......................... DC1 failed test SystemLog
Warning: DsGetDcName returned information for \\DC1.domain.ir, when we were trying to reach DC2.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.
......................... DC2 failed test Advertising
[DC2] DsReplicaGetInfo(KCC_DS_CONNECT_FAILURES) failed with error 8453,
[DC2] No security related replication errors were found on this DC! To target the connection to a specific source DC use /ReplSource:<DC>.
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
......................... DC2 failed test DFSREvent
Unable to connect to the NETLOGON share! (\\DC2\netlogon)
[DC2] An net use or LsaPolicy operation failed with error 67, The network name cannot be found..
......................... DC2 failed test NetLogons
** Did not run Outbound Secure Channels test because /testdomain: was not entered
[Replications Check,DC2] DsReplicaGetInfo(PENDING_OPS, NULL) failed, error 0x2105 "Replication access was denied."
......................... DC2 failed test Replications
Could not open NTDS Service on DC2, error 0x5 "Access is denied."
......................... DC2 failed test Services
An error event occurred. EventID: 0x00002734
Time Generated: 05/15/2024 15:59:56
Event String:
The server-side authentication level policy does not allow the user DOMAIN\user1 SID (S-1-5-21-3174710340-3271048402-3215465098-1299) from address 192.168.20.2 to activate DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application.
An error event occurred. EventID: 0x00002734
Time Generated: 05/15/2024 16:00:06
Event String:
The server-side authentication level policy does not allow the user DOMAIN\user1 SID (S-1-5-21-3174710340-3271048402-3215465098-1299) from address 192.168.20.2 to activate DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application.
......................... DC2 failed test SystemLog
......................... DC2 failed test DNS
Test results for domain controllers:
DC: DC1.domain.ir
Domain: domain.ir
TEST: Delegations (Del)
Error: DNS server: 1000-2.domain.ir. IP:2002:ac8c:a02::ac8c:a02 [Broken delegated domain _msdcs.domain.ir.]
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: domain.ir
DC1 PASS PASS PASS FAIL PASS PASS n/a
......................... domain.ir failed test DNS
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
......................... domain.ir failed test LocatorCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
......................... domain.ir failed test FsmoCheck
یه چیزی که توی خیلی از سایت ها با ابهام در موردش حرف زده شده اینه که آیا قبل از کانفیگ دامین ادیشنال آیا باید اون جوین به دامین بشه یا نه؟
و یه مورد دیگه اینکه این FSMO در واقع چی هستن که وقتی روی یه دامین قرار داره وقتی این دامین از بین بره (یا مثلا شبکش رو قطع کنیم)اگه دامین دیگه ای داشته باشیم اون میتونه شبکه رو سرویس بده؟؟
چیزی که برای من تا الان اتفاق نیافتاده و با قطع کردن شبکه دامین اول کاربرا نمیتونن لاگین کنن و پیغام domain is not available رو میبینن
سلام دوست عزیز ، از زمان ویندوز 2000 دیگه مفهومی به اسم PDC و BDC وجود نداره. چون که همه دامین کنترلر ها یکسان هستند. شما باید DNS هایی که روی کلاینت ها ست شده رو در وهله اول بررسی کنید. بغیر از آدرس DC ها آدرس دیگه ای مثل 8.8.8.8 یا 4.2.2.4 و ... روی کارت شبکه کلاینت تو قسمت DNS نباید ست شده باشه.
- پرایمری 2012 R2 هستش و ادیشنال که تازه نصبش کردم 2022
پس رو سرور 2012 حتما FRS به DFSR مهاجرت بدید.
- در مورد DNS ها اولی به اون یکی و دومی به خودشون (البته دقیقا ip خودشون)تنظیم شده
DNS اولی به اون یکی و دومی به خودشون (127.0.0.1) ست کنید نه IP خودشون.
- خب اگه پرایمری دامین که FSMO ها روشون هستن down بشه این انتظار که دامین دوم بتونه سرویس بده درسته؟حتی بدون وجود دامینی که FSMO ها روش هستش؟
بله میتونه سرویس بده و یوزر ها میتونن توسط دامین کنترلر احرازهویت بشن ولی این down time نباید زیاد باشه شما در لحظه بهتره حداقل دو تا دامین کنترلر تو مدار داشته باشید چون اگه اتفاقی برای یکیشون بیافته DC بعدی بتونه سرویس دهی کنه.
- مشکل تایم روی DC1 نمیدونم چیه؟
مشکل تایم بحثش مفصله. سرچ کنید تو سایت. نباید خطای تایم تو خروجی DCDIAG نشون داده بشه.
- همه خطاها باید رفع بشن ؟ یا بعضیاشون مهم نیست؟
بستگی داره به خروجی ای که نشون داده میشه. خطا های جدی باید برطرف بشن.
- قبلا (حدود یک سال پیش) ادیشنال دیگه داشتیم که مشکل برا کلاینتها پیش اومد لاگین نمیکردن اجبارا خاموشش کردم
چه مدت خاموش موند ؟ بعدش چیکار کردین ؟ سیستم عاملش چی بود ؟
مهندس مگه 2008 به بعد مکانیزمشون DFSR نیس؟اگه درسته پس نیازی نیست.
خیر ، اینطوری نیست که روی سرور 2008 بصورت پیش فرض DFSR پیکربندی شده باشه. شما حتما باید بصورت دستی این کار رو انجام بدید. حتی روی سرور 2016 هم تا نسخه فکر کنم 1607 از NTFRS برای SYSVOL Rep استفاده میشد. توی پرانتز اینم بگم که بعد از سرور 2003 یعنی 2008 و جدیدتر ها امکان استفاده از DFSR رو دارن.
حدود یک سل و خورده ای.فقط ادیشنال رو خاموش کردم و با یک دامین پرایمری ادامه دادم تا الان. اونم 2012R2
همینجوری خاموش کردین ؟ ینی از روی بقیه سرور ها metadata ها و بقیه اطلاعاتی که به سرور قدیمی اشاره می کنه رو پاک نکردین ؟
سلام ممنون از شما
1- replication بین هر دو رو دستی تست زدم مشکلی نبود مثلا توی اکتیو PDC تغییراتی روی یوزرها میدم اون طرف هم اعمال میشه. پیکربندی dns رو چیشو باید چک کنم؟
البته دو تا نکته بگم :
یکی اینکه موقع promote کردن ADC توی مرحله DNS Option گزینه Update DNS Delegation رو فعال نکردم چون نمیدونستم برای چه کاریه.
دوم اینکه بعد از تمام شدن راه اندازی چند روز قبل مثل توضیحات بالا که گفتم تست انجام دادم و یوزرها لاگین کردن ولی الان بعد از چند روز دیگه این مورد جواب نمیده.
2. اگه PDC از بین بره خب بالا نمیاد که بخوایم FSMO رو انتقال بدیم. اما بر فرض اینکه PDC رو دستی شبکش رو قطع کردم برای اینکه ADC بتونه سرویس بده نیازی به انتقال FSMO نیس؟
1- DNS های کلاینت رو بررسی کنید. اصلا ببنید میتونید ADC رو با اسم ping کنید
DNS کارت ADC رو بررسی کنید
توی کنسول مدیریت DNS بررسی کنید IP ای که برای ADC در نظر گرفته شده و قرار به کلاینت ها پاسخ بده به درستی کار میکنه یا نه
(( من فکر میکنم مشکل از DNS باشد ))
2- توی این مورد باید به صورت زوری یا force انتقال بدیم و بعدا از انتقال به هیچ عنوان نباید PDC رو به مدار برگردونید
خب یه بررسی انجام شد با این نتیجه:
وقتی PDC رو شبکشو قطع میکنم اکتیو روی ADC باز نمیشه و خطا میده.برای همین کلاینت ها نمیتونن لاگین کنن.
در زمان بالا بودن PDC هم وقتی اکتیو رو روی ADC باز میکنیم در پنل سمت چپ اسم کامپیوتر PDC رو نوشته.
مشکل چیه؟
سلام آقای کریم پور؛ مهندس جان اگه چیزی به اسم PDC وجود نداره پس دامینی که FSMO ها روی اون قرار دارن رو چی میگن؟اونم وقتی دو تا دامین توی شبکه وجود داره؟
نه به غیر از این دو تا دامین چیز دیگه ای برای DNS ثبت نشده.
فقط یه نکته بعد از بررسی های مختلف اینکه اون مشکلی که گفته بودم اکتیو باز نمیشه با change domain controller روی ADC و تغییر به اسم همین دامین دوم مشکل حل شد و اکتیو باز شد آبجکت ها هم تماما نشون داده شد.
اما علی رغم اینکه با این کار اکتیو باز میشه اما توی همین پنجره (change domain controller) وضعیت ADC یا دامین دوم رو unavailable میزنه (دامین اول online زده) اما همین مقادیر توی همین پنجره اما توی PDC هر دوشون online هستن