Приветствую, коллеги!
Хочу поделиться ситуацией, с которой столкнулся в инфраструктуре, доставшейся "по наследству". Возможно, кто-то сталкивался с подобным и сможет дать рекомендации.
Исходные данные:
- Домен был поднят более 20 лет назад на Windows Server 2003. При создании домена использовалось имя "company" без DNS-суффикса.
ping:-)При попытке пинговать "company" ответа нет, но при пинге "company." (с точкой в конце) откликается контроллер домена.
- Текущий функциональный уровень домена и леса: Windows Server 2012 R2.
- Сеть включает более 200 устройств: клиенты на Windows (все в AD), NAS Synology, 18+ серверов (включая виртуальные) с ОС от Windows Server 2008 до 2019.
- Два контроллера домена на Windows Server 2012 R2, выполняющие роли DHCP и DNS.
- Exchange 2019 на Windows Server 2019, KSMG.
Проблемы:
1. Возникают сложности с развертыванием DFS.
2. Невозможно добавить в домен устройства под управлением Windows 11 24H2 (23H3 пока работает). Ошибка: система требует FQDN вместо NetBIOS-имени домена.
3. Подключение *nix-систем к домену требует дополнительных настроек.
4. Непонятна текущая ситуация с репликацией SYSVOL:
- В ADSIEdit: Domain Name -> CN=System -> CN=File Replication Service -> CN=Domain System Volume (SYSVOL share) пусто.
- Команды `dfsrmig /GetMigrationState` и `dfsrmig /getGlobalState` показывают состояние "Удалено" на контроллерах.
- Роль DFS установлена, но в отчете есть предупреждения и ошибки:
Подробнее
- В процессе начальной репликации для реплицируемой папки SYSVOL Share служба репликации DFS обнаружила в локальной папке ранее существовавшее содержимое, которое отсутствует на основном члене репликации, и переместила это содержимое в C:\Windows\SYSVOL\domain\DfsrPrivate\PreExisting. Папка DfsrPrivate\Preexisting является скрытой системной папкой, которая расположена на локальном пути к реплицируемой папке. Содержимое папки DfsrPrivate\PreExisting не будет реплицироваться на другие члены группы репликации, но в то же время это содержимое не будет удалено службой репликации DFS во время автоматической очистки.
- ошибка: Служба репликации DFS не может вести запись в журналы отладки в C:\Windows\Debug\. Возможно, на томе недостаточно свободного места, или у службы репликации DFS нет прав безопасности, необходимых для изменения файлов журнала отладки. ИД события: 1302.
Диагностика:
1. Проверено: доступ к папке Debug и свободное место на диске есть.
2.
Результат dcdiag /v /c /e:
- Ошибка: 5 (Отказано в доступе) при записи в файл журнала отладки.
- Запуск проверки: Replications, далее идет перечисление DC=DomainDnsZones/схемы.... и ниже 5 сообщений: "25 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC)." Что это означает?
- Больше ошибок нет
3. Все необходимые службы (NTDS, DNS, Netlogon, KDC) запущены. В журналах только предупреждения, связанные с DHCP и SSL/TLS на старых клиентах.
Get-Service -Name NTDS, DNS, Netlogon, KDC
Status Name DisplayName
------ ---- -----------
Running DNS DNS-сервер
Running KDC Центр распространения ключей Kerberos
Running Netlogon Сетевой вход в систему
Running NTDS Доменные службы Active Directory
4.
Результат repadmin /showrepl:
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Default-First-Site-Name\SERVER-DC
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: e3eab644-44ab-43e1-859c-36c001a8d9bb
DSA - код вызова: a91973aa-f29f-46df-8fbf-7ec07f5d1563
==== ВХОДЯЩИЕ СОСЕДИ ======================================
DC=copmany
Default-First-Site-Name\SERVER-DC2 через RPC
DSA - GUID объекта: 441edc8e-a264-4a65-b695-cdf6f6581ff8
Последняя попытка @ 2025-03-03 16:41:23 успешна.
CN=Configuration,DC=copmany
Default-First-Site-Name\SERVER-DC2 через RPC
DSA - GUID объекта: 441edc8e-a264-4a65-b695-cdf6f6581ff8
Последняя попытка @ 2025-03-03 16:37:32 успешна.
CN=Schema,CN=Configuration,DC=copmany
Default-First-Site-Name\SERVER-DC2 через RPC
DSA - GUID объекта: 441edc8e-a264-4a65-b695-cdf6f6581ff8
Последняя попытка @ 2025-03-03 16:29:50 успешна.
DC=ForestDnsZones,DC=copmany
Default-First-Site-Name\SERVER-DC2 через RPC
DSA - GUID объекта: 441edc8e-a264-4a65-b695-cdf6f6581ff8
Последняя попытка @ 2025-03-03 16:29:50 успешна.
DC=DomainDnsZones,DC=copmany
Default-First-Site-Name\SERVER-DC2 через RPC
DSA - GUID объекта: 441edc8e-a264-4a65-b695-cdf6f6581ff8
Последняя попытка @ 2025-03-03 16:29:50 успешна.
5.
Результат Get-ADReplicationPartnerMetadata:
Репликация между контроллерами работает, ошибок не обнаружено.
Результат вывода комманды:
CompressChanges : False
ConsecutiveReplicationFailures : 0
DisableScheduledSync : False
IgnoreChangeNotifications : False
IntersiteTransport :
IntersiteTransportGuid :
IntersiteTransportType : IP
LastChangeUsn : 44466594
LastReplicationAttempt : 03.03.2025 16:47:28
LastReplicationResult : 0
LastReplicationSuccess : 03.03.2025 16:47:28
Partition : DC=company
PartitionGuid : 859e6cd5-ff6a-414b-aee3-7eaa81508a16
Partner : CN=NTDS Settings,CN=SERVER-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=company
PartnerAddress : e3eab644-44ab-43e1-859c-36c001a8d9bb._msdcs.company
PartnerGuid : e3eab644-44ab-43e1-859c-36c001a8d9bb
PartnerInvocationId : a91973aa-f29f-46df-8fbf-7ec07f5d1563
PartnerType : Inbound
ScheduledSync : True
Server : server-dc2.company
SyncOnStartup : True
TwoWaySync : False
UsnFilter : 44466594
Writable : True
6.
Результат Get-ADDomainController -Filter *:
ComputerObjectDN : CN=SERVER-DC,OU=Domain Controllers,DC=company
DefaultPartition : DC=company
Domain : company
Enabled : True
Forest : company
HostName : Server-DC.company
InvocationId : a91973aa-f29f-46df-8fbf-7ec07f5d1563
IPv4Address : 192.168.0.10
IPv6Address :
IsGlobalCatalog : True
IsReadOnly : False
LdapPort : 389
Name : SERVER-DC
NTDSSettingsObjectDN : CN=NTDS Settings,CN=SERVER-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=company
OperatingSystem : Windows Server 2012 R2 Standard
OperatingSystemHotfix :
OperatingSystemServicePack :
OperatingSystemVersion : 6.3 (9600)
OperationMasterRoles : {SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster...}
Partitions : {DC=DomainDnsZones,DC=company, DC=ForestDnsZones,DC=company, CN=Schema,CN=Configuration,DC=company, CN=Configuration,DC=company...}
ServerObjectDN : CN=SERVER-DC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=company
ServerObjectGuid : 5189190d-4237-4bd8-ac20-c17013f4a764
Site : Default-First-Site-Name
SslPort : 636
ComputerObjectDN : CN=SERVER-DC2,OU=Domain Controllers,DC=company
DefaultPartition : DC=company
Domain : company
Enabled : True
Forest : company
HostName : server-dc2.company
InvocationId : 8e876ae1-9d84-43be-a467-17e70e8bf1d0
IPv4Address : 192.168.0.58
IPv6Address :
IsGlobalCatalog : True
IsReadOnly : False
LdapPort : 389
Name : SERVER-DC2
NTDSSettingsObjectDN : CN=NTDS Settings,CN=SERVER-DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=company
OperatingSystem : Windows Server 2012 R2 Standard
OperatingSystemHotfix :
OperatingSystemServicePack :
OperatingSystemVersion : 6.3 (9600)
OperationMasterRoles : {}
Partitions : {DC=DomainDnsZones,DC=company, DC=ForestDnsZones,DC=company, CN=Schema,CN=Configuration,DC=company, CN=Configuration,DC=company...}
ServerObjectDN : CN=SERVER-DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=company
ServerObjectGuid : 53f90628-a204-4e90-8843-57820c03eb1e
Site : Default-First-Site-Name
SslPort : 636
Вопросы:
1. Кто-нибудь сталкивался с подобной ситуацией? Возможно ли решить проблему без переименования домена, добавив DNS-суффикс?
2. С чего начать: с решения проблем с DFS или с добавления DNS-суффикса?
3. Как проверить, что миграцию провели правильно с FRS на DFS, когда переносили AD с 2003 на 2012 сервер?
4. Как правильно проверить доступ службы DFS в папку C:\Windows\Debug\?
Буду благодарен за любые советы и рекомендации.
ЗЫ:-)Тестовая лаборатория с копией инфраструктуры готова, можно проводить любые тесты:-)
Простой
Простой
Простой
