Решено ошибки на контроллерах домена

[Zayac]

Всем привет! Работают два виртуальных контроллера домена на windows server 2008r2. После непонятно чего начались глюки по всей сети - у пользователей отвалился почтовый клиент outlook 2010 и стал просить логин и пароль, перестала работать всякая авторизация. Потом еще веселее я не смог попасть на контроллер домена по имени, т.е DNS сервер тоже перестал работать. Удалось зайти на основной контроллер домена по ip адресу. Решил проверить что происходит и полез в системный журнал, там дичайшее количество каких то ошибок, например:

[B]EVENT id 47 от Time-Services [/B]
NTP-клиент поставщика времени: после 8 попыток обращения от настроенного вручную узла time.nist.gov,0x8 не был получен правильный ответ. Этот узел не будет использоваться в качестве источника времени, а NTP-клиент попытается найти новый узел с этим DNS-именем. Ошибка: Этот узел недоступен.

[B]Event id 1 от Kernel-General [/B]
Системное время изменено с ‎2019‎-‎01‎-‎09T12:12:29.335279800Z на ‎2019‎-‎01‎-‎09T12:12:29.335000000Z.

[B]Event id 1014 от DNS client events[/B]
Разрешение имен для имени a3b1d98c-9ed6-4381-8ca9-02691011e0f6._msdcs.domain.Local истекло после отсутствия ответа от настроенных серверов DNS.

[B]Event id 7022 Service Control Manager[/B]
Служба "Kaspersky Security Service" зависла при запуске.

[B]EVENT id 8035 от BROWSER[/B]
Драйвер браузера сети инициировал выборы в сети \Device\NetBT_Tcpip_{AADD2500-0F76-4F06-B97E-DB787939C055}, так как была изменена роль контроллера домена (или сервера).

[B]EVENT id 14550 от DfsSvc[/B]
Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на этом контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.

[B]EVENT ID 137 от Time-Services[/B]
NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения DNS-имен на "". NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Запрошенное имя верно, но данные запрошенного типа не найдены. (0x80072AFC)

[B]Event id 56 от TermDD[/B]
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента:мой ip

[B]Event ID 10154 от Windows Remote Management [/B]
Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/PDC.DOMAIN.Local, WSMAN/PDC.

 Дополнительные данные
 Была получена ошибка "1355": %%1355.

 Действия пользователя
 Имена участников-служб можно создать под учетной записью администратора с помощью служебной программы setspn.exe.

[B]Event ID 5775 от NETLOGON[/B]
Ошибка при динамическом удалении записи DNS "_ldap._tcp.gc._msdcs.domain.Local. 600 IN SRV 0 100 3268 PDC.domain.Local." на следующем DNS-сервере. IP-адрес DNS-сервера:
Возвращенный код ответа (RCODE): 5
Возвращенный код состояния: 9017  
Действие пользователя  
Чтобы предотвратить ненужные подключения удаленных компьютеров к контроллеру домена, удалите запись вручную или устраните ошибку, препятствующую динамическому удалению записи. Подробнее об отладке DNS см. в Центре справки и поддержки.  
Дополнительные сведения
Описание ошибки: Неверный раздел DNS.

[B]EVENT id 1067[/B]
Серверу терминалов не удалось зарегистрировать имя участника-службы (SPN) "TERMSRV", используемое для проверки подлинности сервера. Произошла ошибка: Отказано в доступе.

 

[UEF]

что у вас с системным временем на КД ? У вас похоже рассинхронизация времени в домене, нужно настроить правильное время на контроллерах домена и потом разбираться с остальными ошибками.
Дайте вывод команд:

repadmin /replsum

repadmin /showrepl

 

[Zayac]

репликация на контроллерах домена не работает - пишет что из за синхронизации времени.

Время на первичном и вторичном контроллере домена разное:wtf: разница минут 20

 

[GoodWIN]

репликация на контроллерах домена не работает - пишет что из за синхронизации времени.

Время на первичном и вторичном контроллере домена разное:wtf: разница минут 20

Дайте вывод с обоих КД

[B]w32tm /query /source[/B]

выводит источник времени, на который настроена служба Windows Time

 

[Zayac]

У меня на основном DC time.nist.gov а на вторичном DC pool.ntp.org

 

[GoodWIN]

У меня на основном DC time.nist.gov а на вторичном DC pool.ntp.org

настройте что бы брали с одного источника - pool.ntp.org

NTP-клиент поставщика времени: после 8 попыток обращения от настроенного вручную узла time.nist.gov,0x8 не был получен правильный ответ.

Дайте еще

dcdiag /test:dns

возможно у вас DNS копыта отбросил и не может разрешить NTP сервер

 

[GoodWIN]

На всякий случай
Использование команды w32tm для настройки источника времени в Windows Server 2008 R2
w32tm /query /source - выводит источник времени, на который настроена служба Windows Time
w32tm /monitor - при запуске на контроллере домена (КД) показывает, насколько отличается время на других КД и на внешнем источнике времени, на который настроен PDC
w32tm /config /syncfromflags:manual /manualpeerlist:ru.pool.ntp.org - настройка в качестве источника времени пула ntp-серверов ru.pool.ntp.org
w32tm /config /update - эту команду необходимо выполнить, чтобы служба времени применила новые настройки
w32tm /resync - выполнение синхронизации времени
w32tm /unregister - отменяет регистрацию службы и удаляет настройки из реестра
w32tm /register - регистрирует службу и восстанавливает настройки по умолчанию

Настройки службы Windows Time хранятся в реестре в ветке

[B]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\[/B]

Период синхронизации задается в ветке реестра

[B]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpClient[/B]

ключ SpecialPollInterval содержит интервал синхронизации в секундах

 

[Surf_rider]

Служба "Kaspersky Security Service" зависла при запуске.

Интересная ошибка, ничего не делали с антивирусником?

 

[Zayac]

обновлял антивирус через установку инсталляционным пакетом с сервера администрирования до версии kes 11.0.0

 

[Zayac]

Поставил одинаковый NTP сервер на контроллерах домена, перезагрузил поочередно оба. Полет нормальный, репликация заработала, ошибки все исчезли в журналах. Интересно все таки из за чего время разъехалось..
Всем спасибо все заработало. :happy-happy:

 

[sysadmin]

Добавлю.
Поскольку контроллеры домена у вас виртуальные - рекомендую проделать отключение синхронизации времени между гостевой и хостовой машиной

 

[Surf_rider]

Еще лучший способ - настроить синхронизацию времени в домене с помощью групповых политик.
Делается это в два этапа:
1) Создание GPO для контроллера домена с ролью PDC
Ветка политики

[B]Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers[/B]

но тут тоже тонкость - так как роль FSMO может перемещаться то необходимо использовать WMI фильтр и WMI запросом:

 Select * from Win32_ComputerSystem where DomainRole = 5

2) Создание GPO для клиентов (по желанию)

[B]Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers[/B]

включаем политику- Configure Windows NTP Client.

В качестве сервера NTP укажите имя или ip адрес PDC.