Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Раотоспособность AD при падении одного из контроллеров  [new]
Vit@l
Member

Откуда: Харьков Украина
Сообщений: 228
Добрый день коллеги. Столкнулся со следующей проблемой есть 2 контроллера Домена (для простоты понимания назовем одни PDC, второй BDC), curent functional domain level Windows Server 2003.
На обоих контроллерах поднят ДНС, который хранит свою базу в AD. Так же оба этих контроллера являются GLOBAL CATALOG. Но при недоступности контроллера (PDC) несущего роль RID,PDC-Emulator,Infrastructire. Пользователи неймоверно долго проходят авторизацию на серверах,хотя доступен контроллер BDC. Такое ощущение что они выгрибают данные из кэша.
Что это может быть и как с этим бороться??







Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…
18 апр 07, 10:53    [4035013]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Vit@l
Добрый день коллеги. Столкнулся со следующей проблемой есть 2 контроллера Домена (для простоты понимания назовем одни PDC, второй BDC), curent functional domain level Windows Server 2003.
На обоих контроллерах поднят ДНС, который хранит свою базу в AD. Так же оба этих контроллера являются GLOBAL CATALOG. Но при недоступности контроллера (PDC) несущего роль RID,PDC-Emulator,Infrastructire. Пользователи неймоверно долго проходят авторизацию на серверах,хотя доступен контроллер BDC. Такое ощущение что они выгрибают данные из кэша.
Что это может быть и как с этим бороться??

неимоверно - эт скока ? задержка будет по-любому, на период определения, что первичный днс в списке не доступен ...
18 апр 07, 11:12    [4035215]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Vit@l
Member

Откуда: Харьков Украина
Сообщений: 228
Неймоверно это секунд 30.
Но!! Но инициализация вторичного ДНС происходит же не при каждой авторизации пользователя.

Вот логи сервака который неймоверно дуплит :(
"Сбой попытки проверить принадлежат ли учетные записи пользователя и компьютера одному лесу (Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. )."
-"Установка сеанса к контроллеру домена Windows NT или Windows 2000 \\pdc.trade.auto для домена TRADE не отвечает. Текущий вызов RPC от Netlogon на \\HELEN к \\pdc.trade.auto отменен."
-"The kerberos subsystem encountered a PAC verification failure.  This indicates that the PAC from the client helen$ in realm trade.auto had a PAC which failed to verify or was modified.  Contact your system administrator."


Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…
18 апр 07, 11:23    [4035316]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Проверь, что у клиентов оба контроллера указаны в качестве DNS-серверов.
18 апр 07, 11:50    [4035599]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Vit@l
Member

Откуда: Харьков Украина
Сообщений: 228
Указанно...у меня подозрение что тут проблема с ролями...
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…
18 апр 07, 12:02    [4035739]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
По-моему, при аутентификации клиентов и поиске контроллеров роли не так резко участвуют.
Попробуй netdiag и dcdiag на обоих контроллерах.
18 апр 07, 12:05    [4035766]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Guset
Guest
Vit@l
Неймоверно это секунд 30.
Но!! Но инициализация вторичного ДНС происходит же не при каждой авторизации пользователя.


При отсутствующем то PDC - это не долго.

Только что Вы имеете ввиду под ИНИЦИАЛИЗАЦИЯ ДНС - может регистрация пользователя в ДНС ?
(или все же имете ввиду что-то иное)
И может не АВТОРИЗАЦИЯ, а АУТЕНТИФИКАЦИЯ пользователя ?

И что Вы имете ввиду под каждой - на какие действия кроме LOGIN при включении у Вас происходит аутентификация ?
18 апр 07, 12:27    [4036004]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Vit@l
Указанно...у меня подозрение что тут проблема с ролями...
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…

а на bdc прописан днс на самого себя ?
18 апр 07, 12:28    [4036010]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Для получения дополнительного материала включи на контроллерах аудит событий логона.
18 апр 07, 12:29    [4036030]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
MZH
Для получения дополнительного материала включи на контроллерах аудит событий логона.

гхм ... вы часто встречали контроллеры с отключенным аудитом ?
18 апр 07, 12:35    [4036079]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Vit@l
Member

Откуда: Харьков Украина
Сообщений: 228
Да на BDC DNS прописан самого на себя
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…
18 апр 07, 12:38    [4036102]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Biz©
гхм ... вы часто встречали контроллеры с отключенным аудитом ?

Боюсь удивить, но точно больше десятка раз видел отключение аудита в политиках контроллеров.
18 апр 07, 12:39    [4036111]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Vit@l
Да на BDC DNS прописан самого на себя
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…

гляньте живой ли на bdc сервис KDC и дайте результаты:
ipconfig /all с bdc и клиента
dcdiag и netdiag с bdc
18 апр 07, 12:44    [4036173]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
MZH
Biz©
гхм ... вы часто встречали контроллеры с отключенным аудитом ?

Боюсь удивить, но точно больше десятка раз видел отключение аудита в политиках контроллеров.

и как объяснялся сей факт ?
чот не могу придумать достойной причины ...
18 апр 07, 13:02    [4036332]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Vit@l
Member

Откуда: Харьков Украина
Сообщений: 228
ipconfig /all c Вторичного контроллера (BDC)
Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : bdc
   Основной DNS-суффикс  . . . . . . : trade.auto
   Тип узла. . . . . . . . . . . . . : неизвестный
   IP-маршрутизация включена . . . . : нет
   WINS-прокси включен . . . . . . . : нет
   Порядок просмотра суффиксов DNS . : trade.auto

Local Area Connection - Ethernet адаптер:

   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter
   Физический адрес. . . . . . . . . : 00-0C-29-F3-42-9E
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : 10.0.1.4
   Маска подсети . . . . . . . . . . : 255.255.0.0
   Основной шлюз . . . . . . . . . . : 10.0.0.1
   DNS-серверы . . . . . . . . . . . : 10.0.1.4
                                       10.0.1.1

ipconfig /all c Клиента Helen
Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : helen
   Основной DNS-суффикс  . . . . . . : trade.auto
   Тип узла. . . . . . . . . . . . . : неизвестный
   IP-маршрутизация включена . . . . : нет
   WINS-прокси включен . . . . . . . : нет
   Порядок просмотра суффиксов DNS . : trade.auto

Local Area Connection - Ethernet адаптер:

   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
   Физический адрес. . . . . . . . . : 00-30-48-70-A4-3C
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . : 10.0.1.18
   Маска подсети . . . . . . . . . . : 255.255.0.0
   Основной шлюз . . . . . . . . . . : 10.0.0.1
   DNS-серверы . . . . . . . . . . . : 10.0.1.1
                                       10.0.1.4

Netdiag на резервном контроллере


.....................................
 Computer Name: BDC
 DNS Host Name: bdc.trade.auto
 System info : Windows 2000 Server (Build 3790)
 Processor : x86 Family 15 Model 3 Stepping 8, GenuineIntel
 List of installed hotfixes :
 Q147222
Netcard queries test . . . . . . . : Passed
Per interface results:
 Adapter : Local Area Connection
 Netcard queries test . . . : Passed
 Host Name. . . . . . . . . : bdc
 IP Address . . . . . . . . : 10.0.1.4
 Subnet Mask. . . . . . . . : 255.255.0.0
 Default Gateway. . . . . . : 10.0.0.1
 Dns Servers. . . . . . . . : 10.0.1.4
  10.0.1.1
 AutoConfiguration results. . . . . . : Passed
 Default gateway test . . . : Passed
 NetBT name test. . . . . . : Passed
 [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messen
r Service', <20> 'WINS' names is missing.
 WINS service test. . . . . : Skipped
 There are no WINS servers configured for this interface.
Global results:
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
 List of NetBt transports currently configured:
 NetBT_Tcpip_{BBE76407-6708-4A9A-8D28-5FD6A0724E18}
 1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed
 [WARNING] You don't have a single interface with the <00> 'WorkStation Ser
ce', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed
 PASS - All the DNS entries for DC are registered on DNS server '10.0.1.4'
d other DCs also have some of the names registered.
 PASS - All the DNS entries for DC are registered on DNS server '10.0.1.1'
d other DCs also have some of the names registered.

Redir and Browser test . . . . . . : Passed
 List of NetBt transports currently bound to the Redir
 NetBT_Tcpip_{BBE76407-6708-4A9A-8D28-5FD6A0724E18}
 The redir is bound to 1 NetBt transport.
 List of NetBt transports currently bound to the browser
 NetBT_Tcpip_{BBE76407-6708-4A9A-8D28-5FD6A0724E18}
 The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Passed
 Secure channel for domain 'TRADE' is to '\\PDC.trade.auto'.

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
 No active remote access connections.

Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
 Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully


DCDIAG на резервном контроллере BDC
Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-Name\BDC
      Starting test: Connectivity
         ......................... BDC passed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-Name\BDC
      Starting test: Replications
         ......................... BDC passed test Replications
      Starting test: NCSecDesc
         ......................... BDC passed test NCSecDesc
      Starting test: NetLogons
         ......................... BDC passed test NetLogons
      Starting test: Advertising
         Warning: BDC is not advertising as a time server.
         ......................... BDC failed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... BDC passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... BDC passed test RidManager
      Starting test: MachineAccount
         ......................... BDC passed test MachineAccount
      Starting test: Services
         ......................... BDC passed test Services
      Starting test: ObjectsReplicated
         ......................... BDC passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... BDC passed test frssysvol
      Starting test: frsevent
         ......................... BDC passed test frsevent
      Starting test: kccevent
         ......................... BDC passed test kccevent
      Starting test: systemlog
         ......................... BDC passed test systemlog
      Starting test: VerifyReferences
         ......................... BDC passed test VerifyReferences

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : trade
      Starting test: CrossRefValidation
         ......................... trade passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... trade passed test CheckSDRefDom

   Running enterprise tests on : trade.auto
      Starting test: Intersite
         ......................... trade.auto passed test Intersite
      Starting test: FsmoCheck
         ......................... trade.auto passed test FsmoCheck
18 апр 07, 13:03    [4036340]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Biz©
и как объяснялся сей факт ?
чот не могу придумать достойной причины ...

"Чтобы логи зря не захламлять, все равно от них пользы нет" ()
18 апр 07, 13:11    [4036393]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
автор
Starting test: Advertising
Warning: BDC is not advertising as a time server.
......................... BDC failed test Advertising

сравните время на клиенте и сервере ибо не любит керберос большой разницы, а синхронизировать время клиент не может по указанной причине ...
чот с таймсервером случилось ...
18 апр 07, 13:20    [4036471]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Vit@l
Member

Откуда: Харьков Украина
Сообщений: 228
В логах контроллера частенько появляются следующие события

The master browser has received a server announcement from the computer ROCK that believes that it is the master browser for the domain on transport NetBT_Tcpip_{F6A6BD4E-8466-4A94-BB5A. The master browser is stopping or an election is being forced.

Как этого избежать??
18 апр 07, 13:24    [4036505]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
MZH
Biz©
и как объяснялся сей факт ?
чот не могу придумать достойной причины ...

"Чтобы логи зря не захламлять, все равно от них пользы нет" ()

ноу комментс ...
им жить ...
18 апр 07, 13:25    [4036510]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
rrrrrrrrrr
Member

Откуда: РТ
Сообщений: 6366
В политиках домена в конфигурации служб отключите Computer Browser на всех, кроме контроллеров. Только проблема все равно не в этом.
18 апр 07, 13:26    [4036520]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Vit@l
В логах контроллера частенько появляются следующие события

The master browser has received a server announcement from the computer ROCK that believes that it is the master browser for the domain on transport NetBT_Tcpip_{F6A6BD4E-8466-4A94-BB5A. The master browser is stopping or an election is being forced.

Как этого избежать??

самое простое: через групповую политику запретить на всех клиентах службу computer browser ...
18 апр 07, 13:27    [4036526]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Guset
Guest
Vit@l


Собственно надо посмотреть через Netmon - что происходит в сети (на клиенте хорошо бы) при аутентификации.

/PDC эмулятор несет на себе роли
-Мастер Времени
-Domain Master Browser

А так же без него не сможете кстати ни к одной оснастке подключиться (dsa.msc,dns.msc,...)

Хотя на вашу проблему отсутствие PDC сильного влияния оказать не должно, кроме как ,как раз задержек при логоне/
18 апр 07, 13:33    [4036573]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Vit@l
Member

Откуда: Харьков Украина
Сообщений: 228
rrrrrrrrrr
В политиках домена в конфигурации служб отключите Computer Browser на всех, кроме контроллеров. Только проблема все равно не в этом.

В чем тогда эта проблема, и насколько это критично???
18 апр 07, 13:34    [4036588]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Vit@l
Member

Откуда: Харьков Украина
Сообщений: 228
Biz©
автор
Starting test: Advertising
Warning: BDC is not advertising as a time server.
......................... BDC failed test Advertising

сравните время на клиенте и сервере ибо не любит керберос большой разницы, а синхронизировать время клиент не может по указанной причине ...
чот с таймсервером случилось ...

Как вы посоветуете организавать синхронизацию времени?? Сейчас это сделано следующим образом. Есть cmd' шник, который выполняется на pdc каждые пол часа

w32tm /resync
if not errorlevel 0 w32tm /resync /rediscover
timeout 10

w32tm /resync /computer:bdc


timeout 1

Это было реализовано не мной, и как я понимаю это не совсем правильно...
18 апр 07, 13:46    [4036693]     Ответить | Цитировать Сообщить модератору
 Re: Раотоспособность AD при падении одного из контроллеров  [new]
Guset
Guest
Vit@l
...


для клиентов через DHCP указать кто является сервером времени (например у вас PDC)
а на вашем BDC дать разок команду net time ....... с указанием тоже что сервер времени PDC
18 апр 07, 14:17    [4036970]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Windows Ответить