Главная Вход в систему Регистрация
Задать вопрос Консультации Пользователи Форум
О системе Помощь
Задать вопрос экспертам
Консультация № 185750
04.04.2012, 10:50
63.12 руб.
04.04.2012, 10:51
0 37 0
Компьютеры Программное обеспечение Операционные системы
Здравствуйте уважаемые!

В сети есть два контроллера домена:
1. Controller1.domen (192.168.0.1)
2. Controller2.domen (192.168.0.2)
На обоих стоит Windows 2008R2 + сервер DNS. На всех клиентах прописаны IP обоих DNS.
Теперь представим ситуацию, что из сети пропадает первый контроллер. Клиенты, через некоторое время, благополучно переключаются на получение имён компьютеров со второго DNS, а вот доступ к сетевым ресурсам у них пропадает. Навсегда. Перезагрузка клиентов не помогает.
Подскажите пожалуйста, как сделать так, чтобы оба контроллера были полностью взаимозаменяемы при пропадании из сети любого из них.

Обсуждение

Неизвестный
04.04.2012, 13:39
общий
04.04.2012, 13:53
Адресаты:
В общем пока больше вопросов , чем ответов.
1. Используется в сети DHCP?
2. на контроллерах установлено по одной сетевой карте?
3. контроллеры не Multihomed ?
4. время в сети синхронизируется? ( проверить дату и время на рабочем к.д.)
5. Пропадает доступ ко всем сетевым ресурсам или к ресурсам одного сервера?
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
04.04.2012, 13:51
общий
Ко всем без исключения. Серверов с ресурсами много.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
04.04.2012, 14:01
общий
Цитата: 311988
В общем пока больше вопросов , чем ответов.

Поверьте, у меня тоже.
Цитата: 311988
1. Используется в сети DHCP?

Да.
Цитата: 311988
2. на контроллерах установлено по одной сетевой карте?

По две. Но работает только одна. К ней подключён сетевой провод. Ко второй не подключён.
Цитата: 311988
3. контроллеры не Multihomed ?

Если честно, первый раз слышу этот термин. Поясните пожалуйста.
Цитата: 311988
4. время в сети синхронизируется? ( проверить дату и время на рабочем к.д.)

Да. Все рабочие станции синхронизируются по времени с контроллером автоматически.
Цитата: 311988
5. Пропадает доступ ко всем сетевым ресурсам или к ресурсам одного сервера?

Ко всем.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
04.04.2012, 14:01
общий
04.04.2012, 14:37
Репликация нормально проходит? REPADMIN /SHOWREPL на резервном что выдает?
И скачайте утилиту browstat.exe, выполните с ключом status
Вообще должна быть на установочном диске в \SUPPORT\TOOLS\SUPPORT.CAB
Неизвестный
04.04.2012, 14:37
общий
1. По поводу Multihomed - если Вы не знаете что это , то значит это и не используется . Если по простому , то Multihomed компьютер - имеющий 2 или более физических сетевых интерфейса и смотрящий в разные сети. Для К.Д. очень не рекомендуется использовать более одного сетевого интерфейса.
2. хотелось бы всетаки посмотреть логи с рабочего контроллера и клиентов во время ( и после) падения первого К.Д.
3. Под рукой сейчас нет 2008 R2 , попробуйте воспользоваться статьей Microsoft, она хоть и старенькая, но уж больно ситуация у Вас похожа. Ну и для полной уверенности удалить или " задисаблить" неиспользуемые интерфейсы.
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
04.04.2012, 14:44
общий
Цитата: 244045
Репликация нормально проходит? REPADMIN /SHOWREPL на резервном что выдает?


Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Default-First-Site-Name\Controller2
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: f113fbb8-178d-4451-b7da-7df8407893b5
DSA - код вызова: 3300344c-d57b-4016-b337-3b00112c49b1

==== ВХОДЯЩИЕ СОСЕДИ ======================================

Domen
Default-First-Site-Name\Controller1 через RPC
DSA - GUID объекта: 515ac66e-a986-4aa0-bf7c-22eb3a6d4794
Последняя попытка @ 2012-04-04 18:41:21 успешна.

CN=Configuration,Domen
Default-First-Site-Name\Controller1 через RPC
DSA - GUID объекта: 515ac66e-a986-4aa0-bf7c-22eb3a6d4794
Последняя попытка @ 2012-04-04 17:49:48 успешна.

CN=Schema,CN=Configuration,Domen
Default-First-Site-Name\Controller1 через RPC
DSA - GUID объекта: 515ac66e-a986-4aa0-bf7c-22eb3a6d4794
Последняя попытка @ 2012-04-04 17:49:48 успешна.

DC=DomainDnsZones,Domen
Default-First-Site-Name\Controller1 через RPC
DSA - GUID объекта: 515ac66e-a986-4aa0-bf7c-22eb3a6d4794
Последняя попытка @ 2012-04-04 18:35:17 успешна.

DC=ForestDnsZones,Domen
Default-First-Site-Name\Controller1 через RPC
DSA - GUID объекта: 515ac66e-a986-4aa0-bf7c-22eb3a6d4794
Последняя попытка @ 2012-04-04 17:49:48 успешна.

Цитата: 244045
И скачайте утилиту browstat.exe, выполните с разными ключами

Ну да, под видом которой мне подсунут вирус "formatCNow".
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
04.04.2012, 14:45
общий
Думаю мастер-броузер тут не причем. Тоже была такая мысль изначально, но sir Henry пишет, что имена резолвятся нормально, т.е. все компы в сети видно, нет только разрешения на доступ к шарам. А вот тут уже возможные варианты проблемы заметно возрастают.
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
04.04.2012, 14:49
общий
Цитата: 311988
Если по простому , то Multihomed компьютер - имеющий 2 или более физических сетевых интерфейса и смотрящий в разные сети.

А если на одном сетевом интерфейсе стоят два адреса разных подсетей?
Цитата: 311988
2. хотелось бы всетаки посмотреть логи с рабочего контроллера и клиентов во время ( и после) падения первого К.Д.

Я, пока, уронить рабочий контроллер не могу. Во избежание скандала.
Цитата: 311988
3. Под рукой сейчас нет 2008 R2 , попробуйте воспользоваться статьей Microsoft, она хоть и старенькая, но уж больно ситуация у Вас похожа. Ну и для полной уверенности удалить или " задисаблить" неиспользуемые интерфейсы.

Спасибо, попробую.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
04.04.2012, 14:53
общий
Когда Вы пишете ответ - это должен быть именно ответ, а не уточняющие вопросы.
Все вопросы, если нужны подробности, задавайте в мини-форуме.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
04.04.2012, 15:19
общий
Адресаты:
"уронить рабочий контроллер" - конечно же не стоит . Но ведь логи то могут остаться с того времени? Опять же , сисадмин работает, когда другие отдыхают . Можно так же провести эксперимент ( когда пользователей в сети не будет) : выключить рабочий к.д. дождаться возникновения ситуации и попробовать провести повторную идентификацию клиентского компьютера в домене , либо вобще вывести его из домена, удалить его учетку из AD, и добавить компьютер в домен вновь. Появится ли после этого доступ? Конечно же лучше это проводить на каком нибудь тестовом компьютере. И это не решение проблемы , а лишь попытка выяснить причину. )
давно
Valery N
Мастер-Эксперт
4666
2757
06.04.2012, 10:08
общий
06.04.2012, 10:19
При отключении резервного или основного контроллера домена юзеры в сети отваливаются. Гм... вроде не должны

ipconfig /all с обоих контроллеров и любого клиента

netdom query fsmo с любого сервера
Об авторе:
Не все сисадмины одинаково полезны ...
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
06.04.2012, 10:45
общий
06.04.2012, 11:41
Адресаты:
Отваливаются только при отключении первого. На второй они вообще внимания не обращают.
Цитата: Valery N
ipconfig /all с обоих контроллеров и любого клиента

С клиента:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : asu-4
Основной DNS-суффикс . . . . . . : domen
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domen

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82578DM Gigabit Network Connection
Физический адрес. . . . . . . . . : 20-CF-30-E6-2D-4C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.24(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.254
DNS-серверы. . . . . . . . . . . : 192.168.0.1
192.168.0.2
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter VirtualBox Host-Only Network:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter
Физический адрес. . . . . . . . . : 08-00-27-00-C8-3F
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::34f5:ee1c:5a2c:8b4c%16(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.56.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
IAID DHCPv6 . . . . . . . . . . . : 470286375
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-14-C5-62-A7-20-CF-30-E6-2D-4C
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{0069FFF4-E79C-45B7-9B82-C0A330D920A6}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{EAC05103-9E5E-4F14-A778-B55C190E0AD4}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Контроллер1:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Controller1
Основной DNS-суффикс . . . . . . : domen
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domen

Ethernet adapter local:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Контроллер Marvell Yukon 88E8053 PCI-E Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-0F-EA-50-1E-5E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
IPv4-адрес. . . . . . . . . . . . : 192.168.1.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.254
DNS-серверы. . . . . . . . . . . : 192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{67B82F3C-7CAE-46B8-AD8A-113ED1283685}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Контроллер2:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Controller2
Основной DNS-суффикс . . . . . . : domen
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domen

Ethernet adapter local1:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC553i Dual Port FlexFabric 10Gb Converged Network Adapter
Физический адрес. . . . . . . . . : 78-E3-B5-1D-15-30
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
IPv4-адрес. . . . . . . . . . . . : 192.168.1.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.254
DNS-серверы. . . . . . . . . . . : 192.168.0.2
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{404369A0-CA5F-4040-87A2-FA8F2BF4AF5C}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

netdom query fsmo:
Хозяин схемы Controller1.KNB
Хозяин именования доменов Controller1.KNB
PDC Controller1.KNB
Диспетчер пула RID Controller1.KNB
Хозяин инфраструктуры Controller1.KNB
Команда выполнена успешно.

Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
06.04.2012, 10:59
общий
По ipconfig смутило 2 момента:
1. на обоих кд прописан адрес 192.168.1.2 -зачем?
2. Вторым днс на каждом контроллере должен быть прописан другой кд. т.е для 192.168.0.1 вторым надо прописать 192.168.0.2
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
06.04.2012, 11:40
общий
Цитата: 311988
1. на обоих кд прописан адрес 192.168.1.2 -зачем?

Это я неправильно скопировал.
На первом 192.168.1.1, на втором - 192.168.1.2.
Цитата: 311988
2. Вторым днс на каждом контроллере должен быть прописан другой кд. т.е для 192.168.0.1 вторым надо прописать 192.168.0.2

Да, согласен. Но если его сосед упал, это уже не имеет никакого значения.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
06.04.2012, 12:10
общий
Адресаты:
Интересная ситуация. Т.е. если я все правильно понимаю - пока оба к.д. работают- на них все нормально - в логах чисто , ошибок нет, авторизация клиентов в домене проходит , репликация между к.д. проходит. Но если падает первый к.д., то пользователи не могут попасть в домен ?
Неизвестный
06.04.2012, 12:12
общий
Адресаты:
А если на клиенте убрать из ДНС первый к.д. и оставить только второй, что будет после перезагрузки?
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
06.04.2012, 12:18
общий
06.04.2012, 12:33
Цитата: 311988
Но если падает первый к.д., то пользователи не могут попасть в домен ?

Совершенно верно.
Нет, вру. Винда имеет такую неприятную особенность - сохранять у себя в кэше пароль пользователя. Поэтому залогинивание, в отсутствие контроллера, проходит без малейших проблем, а вот доступ к сетевым ресурсам невозможен.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
06.04.2012, 12:24
общий
Цитата: 311988
А если на клиенте убрать из ДНС первый к.д. и оставить только второй, что будет после перезагрузки?

Вы имеете в виду - убрать из списков на сервере ДНС первый контроллер домена?
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
06.04.2012, 12:24
общий
Адресаты:
"Вторым днс на каждом контроллере должен быть прописан другой кд " -"не имеет никакого значения" - как раз очень даже имеет. Это необходимо для корректной репликации между к.д. А в данном случае может получиться что на каждом к.д. хранится только своя таблица записей днс, в вашем случае получается, что только на первом она актуальна. Проверьте таблицу днс записей на втором к.д. и сравните с первым к.д.
Неизвестный
06.04.2012, 12:27
общий
06.04.2012, 12:27
Адресаты:
"убрать из списков на сервере ДНС" . Надо убрать из сетевых настроек на клиенте запись днс сервер 192.168.0.1 и оставить только 192.168.0.2 в первой строке серверов ДНС.
Неизвестный
06.04.2012, 12:40
общий
Адресаты:
"залогинивание, в отсутствие контроллера, проходит без малейших проблем" - это понятно, и иногда даже полезно. Например после сбоя системного времени на клиенте, он не может авторизоваться в домене, т.е. даже залогиниться не может, т.к. по политике безопасности его блокирует к.д. Тогда как раз и спасает кэширование, стоит отключить клиента от сетки - и вуаля, он залогинился.
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
06.04.2012, 12:41
общий
06.04.2012, 12:43
Цитата: 311988
Проверьте таблицу днс записей на втором к.д. и сравните с первым к.д.

Проверял. Репликация ДНС проходит без проблем. Если я произвожу, вручную, корректировку записи в ДНС на первом контроллере, то через пару секунд эта же запись автоматом появляется и на втором.
Цитата: 311988
Надо убрать из сетевых настроек на клиенте запись днс сервер 192.168.0.1 и оставить только 192.168.0.2 в первой строке серверов ДНС.

"Давным давно, в одной далёкой, далёкой галактике..." ( ) эта же мысль мне тоже приходила в голову. Благо, что со своим компом я могу делать что хочу. Присутствие в настройках клиента только одного сервера ДНС (любого) абсолютно никак не сказывается на возможности получать доступ к ресурсам, при условии, что работает первый контроллер.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
06.04.2012, 12:44
общий
Адресаты:
Ага. С этим разобрались. Половина вопросов отпала. Будем думать дальше.
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
06.04.2012, 12:47
общий
Ох, думайте, голубчик, думайте. А то у меня от серверов W2008 одни негативные впечатления.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
06.04.2012, 13:10
общий
Ну почему же, просто много нового ( непонятно как и зачем -работающего) )).
Все-таки без логов как то неуютно, приходится тыкаться наугад. Так. что еще проверить на вскидку:
1. запущена ли служба kerberos на втором к.д.
2. Не менялись ли на 2м к.д. локальные политики безопасности и дефолтные политики безопасности к.д. и домена.
3. Не блокируется ли доступ на втором кд виндовым или другим фаерволом.
4. Проверить доступ к \\Controller2\SYSVOL
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
06.04.2012, 17:22
общий
Проверочное отключение было давно, логов уже нет.
1. Как правильно называется служба? Запущена служба "Центр распределения ключей Kerberos". Это она?
2. Нет.
3. На что именно смотреть? Какие правила?
4. Доступа нет.
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
давно
Вадим Исаев ака sir Henry
Мастер-Эксперт
425
4118
06.04.2012, 17:28
общий
Сейчас ещё раз посмотрел - в списке общих ресурсов SYSVOL отсутствует вообще.
Можно создать его вручную?
Об авторе:
Я только в одном глубоко убеждён - не надо иметь убеждений! :)
Неизвестный
06.04.2012, 17:34
общий
1. да. она.
4. вот это уже ближе к истине. должон быть. проверьте доступ на первом к.д. и выставьте такие же разрешения на втором. может быть дело всего лишь в этом.
Запустите >dcdiag на 2м к.д. - результаты сюда
Неизвестный
06.04.2012, 17:49
общий
"SYSVOL отсутствует вообще" - опа . А физически она там есть? Ее создание вручную ни к чему не приведет. Если ее там нет. То рекомендую понизить к.д. 2 до рядового сервера и заново присвоить ему роль второго к.д. Иначе конечно можно поступить, но это довольно долгая процедура и сегодня я точно не успею все расписать.
Неизвестный
06.04.2012, 17:59
общий
еще проверьте папку NETLOGON - ее тоже скорее всего нет в доступе. Если же они есть на диске физически, но просто не расшарены может не все так плохо и можно присвоить им разрешения по аналогии с 1м к.д.
Форма ответа