@CyberCraft

Как восстановить сетевой путь к контроллеру домена?

Доброго времени суток, уважаемые форумчане. То что творится с контроллером домена, иначе как мистикой не назовешь. Должен отметить, что конфигурация настраивалась более 5 лет назад, все это время работала с перебоями да кое-как, с админами текучка, в общем все по классике.

Конфигурация

Физически имеется два сервера HP с установленными ESXi 5.0, на которых развернуты виртуальные машины - различные сервера и службы (inet server squid, dc, fs, exchange, kas, wsus, 1C). Datastore HP3000 связаны с серверами, насколько я могу судить, посредством fibrechannel.

Имеется внешний домен avers1.ru и статический публичный адрес: 195.211.65.130, настроенный на интернет шлюзе Dlink DFL800 (если кто подскажет мануал на русском, буду благодарен). Где-то в сети вертится корпоративный сайт.

Локальную сеть предприятия обслуживают три cisco SG300-28, используются для маршрутизации лс по отделам. Локальный адрес сети 192.168.0, все находится в одной подсети. Все серверы подняты на виртуальных машинах, за исключением KAS (kasperksy security centre administration server) и vShphere client сервера на отдельной машине. Разумеется, поднята Active Directory, DHCP, DNS, файловые службы и служба сертификации - из ролей это все.
Контроллер домена ELZ-server3 (192.168.0.5). Внутренний домен имеет то же имя avers1.ru, на контроллере домена поднят DNS, который обслуживает зону avers1.ru (настроить форвардинг с DNS провайдера я так и не смог, но обо всем по порядку).


Все эти хозтовары достались мне в наследство, а дареному коню... Ну, вы знаете...

Внутри сети сначала отвалился доступ к корпоративному сайту, вместо него открывалась начальная страница IIS (где еще здравствуйте на всех языках), при этом из глобала сайт оставался доступным. Незадолго после этого пользователи начали жаловаться на отсутствие рассылки от партнера (наш почтовый сервер блокировал рассылку, due security reason, как он сам заявил). В логах ничего...
Клиент outlook стал работать только внутри сети, с домашнего компьютера настроить не смог, ругался на отсутствие доступа к почтовому серверу. Telnet на 25 порт проходит как изнутри, так и снаружи, могу обменяться helo. В общем начал копать DNS и AD.

Сейчас в лесу avers1.ru один контроллер домена ELZ-server3, владеет всеми ролями fsmo. Был еще другой, давно мертвый ELZ-server12 (192.168.0.6) резервный контроллер. Что он мертвый я понял спустя адских два дня изучения ошибок dcdiag, ошибки с репликацией я так и не победил, в конце концов руками удалил все о elz-server12 (ссылки ad, записи служб из dns) и благополучно его отключил.
На клиентских машинах начал отваливаться доступ к пространству имен public, SMB все время происходит по каким-то колдовским алгоритмам (например запрещен по ip, но подключается по fqdn, потом пропадает fqdn, работает только по ip и т.д.), Перенастроил некоторые политики, но не все клиентские машины смогли ее реплицировать.

Оказалось, что избавление от ошибок dcdiag и следование рекомендациям проверки состояния ролей ничего не решило, а напротив - клиенты потеряли связь с контроллером домена. Зарегистрированные пользователи авторизуются без проблем. Однако завести в домен никого не получается - невозможно подключиться к контроллеру домена, не найден сетевой путь.
В глобал перестала уходить корпоративная почта: внутри домена письма ходили, извне приходили, но не уходили. Если быть совсем точным, то отправлялись, но не доходили.

К контроллеру elz-server3 подключаюсь по удаленке через TeamViewer или через vSphere client с локального компа, адреса пингуются в обе стороны, разрешение имен работает. Однако клиенты не видят контроллер в сетевом окружении, при попытке подключиться через SMB так же не найден сетевой путь.

ipconfig /all с сервера

ipconfig /all
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : ELZ-SERVER3
Основной DNS-суффикс . . . . . . : avers1.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : avers1.ru

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 00-0C-29-CD-84-B8
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.5(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 192.168.0.5
Основной WINS-сервер. . . . . . . : 192.168.0.5
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{147E2079-5BFD-41E3-B56E-413A717FE9BD}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
nslookup с сервера

nslookup avers1.ru

╤хЁтхЁ: elz-server3.avers1.ru
Address: 192.168.0.5

╚ь : avers1.ru
Address: 192.168.0.5
dcdiag с сервера


Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: OFFICE\ELZ-SERVER3
Starting test: Connectivity
......................... ELZ-SERVER3 passed test Connectivity

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: OFFICE\ELZ-SERVER3
Starting test: Connectivity
......................... ELZ-SERVER3 passed test Connectivity

Doing primary tests

Testing server: OFFICE\ELZ-SERVER3
Starting test: Replications
......................... ELZ-SERVER3 passed test Replications
Starting test: NCSecDesc
......................... ELZ-SERVER3 passed test NCSecDesc
Starting test: NetLogons
......................... ELZ-SERVER3 passed test NetLogons
Starting test: Advertising
......................... ELZ-SERVER3 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... ELZ-SERVER3 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... ELZ-SERVER3 passed test RidManager
Starting test: MachineAccount
......................... ELZ-SERVER3 passed test MachineAccount
Starting test: Services
......................... ELZ-SERVER3 passed test Services
Starting test: ObjectsReplicated
......................... ELZ-SERVER3 passed test ObjectsReplicated
Starting test: frssysvol
......................... ELZ-SERVER3 passed test frssysvol
Starting test: frsevent
......................... ELZ-SERVER3 passed test frsevent
Starting test: kccevent
......................... ELZ-SERVER3 passed test kccevent
Starting test: systemlog
......................... ELZ-SERVER3 passed test systemlog
Starting test: VerifyReferences
......................... ELZ-SERVER3 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : avers1
Starting test: CrossRefValidation
......................... avers1 passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... avers1 passed test CheckSDRefDom

Running enterprise tests on : avers1.ru
Starting test: Intersite
......................... avers1.ru passed test Intersite
Starting test: FsmoCheck
......................... avers1.ru passed test FsmoCheck
ping до клиента

Обмен пакетами с servbackup.avers1.ru [192.168.0.33] с 32 байтами данных:
Ответ от 192.168.0.33: число байт=32 время=1мс TTL=128
Ответ от 192.168.0.33: число байт=32 время<1мс TTL=128
Ответ от 192.168.0.33: число байт=32 время=1мс TTL=128
Ответ от 192.168.0.33: число байт=32 время<1мс TTL=128

Статистика Ping для 192.168.0.33:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
  • Вопрос задан
  • 399 просмотров
Пригласить эксперта
Ответы на вопрос 2
@maddimas
Боюсь, тут вам не помогут. Слишком много треша. Надо ехать и разбираться на месте.
Ответ написан
Комментировать
martin74ua
@martin74ua
Linux administrator
наймите админа. На фрилансе, или поищите по конторам, которые занимаются администрированием. Вам сеть надо сначала правильно спроектировать, потом настроить. Боюсь с нуля (
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы