Здравствуйте.

Проблема такая. Был DC Win2003 SP2. Добавил еще один DC Win2008 R2 SP1 x64. На новом контроллере сразу не стал работать ДНС-сервер с сообщением о невозможности получить доступ к AD.

Была ошибка

LsaSrv 6037

The program lsass.exe, with the assigned process ID 612, could not authenticate locally by using the target name ldap/localhost127.0.0.1. The target name used is not valid. A target name should refer to one of the local computer names, for example, the DNS host name.

Try a different target name.



Добавил spn ldap/localhost127.0.0.1 командой setspn -a ldap/localhost127.0.0.1 server (также добавлял через ADSIEdit)

Запись в базу добавляется и ДНС-сервер начинает работать нормально. Но через несколько часов запись пропадает из ldap (!) и снова не работает ДНС, пока опять не добавишь запись.

Не могу понять в чем причина.

Заранее спасибо за помощь.

Str777, ipconfig /all со старого и нового DC в студию

Первый (старый) сервер Win2003SP2 (на нем kerio firewall работает)

Windows IP Configuration

Host Name . . . . . . . . . . . . : dc
Primary Dns Suffix . . . . . . . : dom1.ru
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : dom1.ru

Ethernet adapter Inet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapter
Physical Address. . . . . . . . . : 00-19-5B-32-CF-91
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 192.168.0.250

Ethernet adapter Lan:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : HP NC320i PCIe Gigabit Server Adapter
Physical Address. . . . . . . . . : 00-19-BB-D1-47-1B
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.250
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :





Второй сервер Win2008SP1 x64

Windows IP Configuration

Host Name . . . . . . . . . . . . : Server
Primary Dns Suffix . . . . . . . : dom1.ru
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : dom1.ru

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82578DM Gigabit Network Connection
Physical Address. . . . . . . . . : BC-AE-C5-98-A2-D6
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::edb3:85f9:b6e6:8277%11(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.0.1(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.250
DHCPv6 IAID . . . . . . . . . . . : 247246533
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-15-07-FF-03-BC-AE-C5-98-A2-D6
DNS Servers . . . . . . . . . . . : ::1
192.168.0.250
127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{A00F5183-8B5B-467F-937F-0C76927DF001}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

IP Address. . . . . . . . . . . . : 192.168.1.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1 »IPv4 Address. . . . . . . . . . . : 192.168.0.1(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.250 »

сайты сделаны? или сети прописаны?
гейты правильно маршрутизируют?
DNS Servers . . . . . . . . . . . : 192.168.0.250 »
это что за DNS?

По адресу 192.168.1.1 стоит роутер (коробочка), подключенный ко второму интерфейсу первого сервера
Все работает хорошо, уже давно.
Для второго сервера (192.168.0.1) гейтом является первый сервер (192.168.0.250).
ДНС-сервера работают на обоих серверах. На втором сервере первым ДНСом прописан ДНС первого сервера с ресолвером на 192.168.1.1

а, прошу прощения, это я напутала ваши internal и external сети

а что говорит dcdiag?

dcdiag говорит, что все замечательно, все тесты успешны.

Str777, м.б. попробовать localhost127.0.0.1 убрать из secondary dns, насколько помню у 2003 вообще нельзя было это ставить в dns.

Я localhost127.0.0.1 в secondary dns поставил буквально вчера, уже после этих проблем, чисто для эксперимента. Ровным счетом ничего не поменялось. Кстати, при поднятии второго контроллера win2008 сам ставит себе вторым ДНСом 127.0.0.1.

Забавно...
Зачем вы добавляли?
ldap/localhost127.0.0.1 »

Что сообщает
setspn –l ServerName


dcdiag говорит, что все замечательно, все тесты успешны. »
Какие тесты запускали и откуда?

вполне достаточно запустить на контроллере
dcdiag /test:dns

repadmin /replsum
что говорит?

1) setspn –l ServerName на втором сервере w2008sp1

Registered ServicePrincipalNames for CN=SERVER,OU=Domain Controllers,DC=dom1,DC=ru:
ldap/Server.dom1.ru/ForestDnsZones.dom1.ru
ldap/Server.dom1.ru/DomainDnsZones.dom1.ru
DNS/Server.dom1.ru
HOST/SERVER/DOM1
HOST/Server.dom1.ru/DOM1
GC/Server.dom1.ru/dom1.ru
HOST/Server.dom1.ru/dom1.ru
ldap/SERVER/DOM1
ldap/d5174dc2-d7d0-4457-b79b-eb94b8aaf374._msdcs.dom1.ru
ldap/Server.dom1.ru/DOM1
ldap/SERVER
ldap/Server.dom1.ru
ldap/Server.dom1.ru/dom1.ru
E3514235-4B06-11D1-AB04-00C04FC2DCD2/d5174dc2-d7d0-4457-b79b-eb94b8aaf374/dom1.ru
NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/Server.dom1.ru
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/Server.dom1.ru
WSMAN/Server
WSMAN/Server.dom1.ru
TERMSRV/SERVER
TERMSRV/Server.dom1.ru
RestrictedKrbHost/SERVER
HOST/SERVER
RestrictedKrbHost/SERVER.dom1.ru
HOST/SERVER.dom1.ru


2) dcdiag /test:dns на втором сервере w2008sp1 ПОСЛЕ добавления ldap/localhost127.0.0.1



3) repadmin /replsum на втором сервере w2008sp1 до добавления ldap/localhost127.0.0.1

Replication Summary Start Time: 2011-07-22 08:56:21

Repadmin can't connect to a "home server", because of the following error. Try specifying a different
home server with /homeserver:[dns name]
Error: An LDAP lookup operation failed with the following error:

LDAP Error 49(0x31): Invalid Credentials
Server Win32 Error 2148074252(0x8009030c): The logon attempt failed
Extended Information: 8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1

Source DSA largest delta fails/total %% error

Destination DSA largest delta fails/total %% error




4) repadmin /replsum на втором сервере w2008sp1 ПОСЛЕ добавления ldap/localhost127.0.0.1

Replication Summary Start Time: 2011-07-22 08:57:36

Beginning data collection for replication summary, this may take awhile:
.....

Source DSA largest delta fails/total %% error

DC 08m:26s 0 / 5 0

SERVER 05m:30s 0 / 5 0

Destination DSA largest delta fails/total %% error

DC 05m:30s 0 / 5 0

SERVER 08m:26s 0 / 5 0


5) Я подозреваю, что сервису Active Directory Domain Services (lsass.exe) на втором сервере не хватает прав для получения доступа, и об этом он и сообщает ошибкой 6037. При добавлении psn ldap/localhost127.0.0.1 все начинает работать, но почему через некоторое время (через несколько часов) этот psn пропадает из базы???

LDAP Error 49(0x31): Invalid Credentials »

я бы сказал что у вас проблема не с SPN а с авторизацией т.к. вы используете не веоные данные.
тот список SPN который вы предоставили вполне соответствует типовому контроллеру домена на Windows 2008, но я не вижу записи про KDC (доеду до работы гляну нужный список)

тут интересно не это а вот это
Repadmin can't connect to a "home server", because of the following error. Try specifying a different
home server with /homeserver:[dns name] »

кто такой home server?

что сервису Active Directory Domain Services (lsass.exe) »

lsass.exe это Local Security Authority Subsystem Service а Active Directory Domain Services это ADS

SPN пропадает из базы потому что его удаляют как неверный.
можно попробовать его зарегистрировать по человечески.

кто такой home server?

Имеется ввиду, наверное, параметр repadmin'а: /homeserver:dsaname, а если параметра нет, то он сам выбирает сервер (уж не знаю, по какому критерию).

SPN пропадает из базы потому что его удаляют как неверный.
можно попробовать его зарегистрировать по человечески.

Как это сделать?

Правильно так
setspn -a LDAP/<FQDN.Server.Name> <Name>

но если хочется использовать localhost То вот так. Через пробел.
setspn -a ldap/localhost 127.0.0.1

Это неправильно т.к. SPN пытается привязаться к локалхосту и естественно удаляется.

PS В вашем случае система не находя нужного SPN пытается прибегнуть к крайнему - вызвать локалност

Не совсем понял.

Я регистрирую имя, которое взято из ошибки 6037 (в первом посте): ldap/localhost127.0.0.1 (без пробелов)
командой setspn -a ldap/localhost127.0.0.1 server

Если Вы имеете ввиду что нужно (согласно синтаксису setspn -a LDAP/<FQDN.Server.Name> <Name>) добавить имя сервера
setspn -a LDAP/server.dom1.ru server, то это имя и так уже есть в базе.

Что касается пробела (setspn -a ldap/localhost 127.0.0.1) тот так регистрировать нельзя, выдается ошибка: Unable to locate account 127.0.0.1

дело то не в SPN-е...
У вас останавливается DNS сервер, примерно через пол-часа работы.
Это означает что проблема в его внутренностях или в производительности сервера.

1. нужны настройки серевой карты
ipconfig /all
2. поставьте счетчики на процессор, память
3. проверьте нет ли событий остановки сервиса DNS и все что может его касаться.

И ко всему вышесказанному, уберите localhost нафиг из конфигурации сетевых интерфейсов, и никогда больше его не добавляйте. Затем на обоих контроллерах запустите netdiag /fix.

localhost..
Зачем же?
Первичный ДНС на контроллере лучше оставить 127.0.0.1 ибо нафиг ему куда то ходить если у него и так все есть.

В сценариях, когда контроллеров больше одного рекомендуют перекрестные ссылки: на контроллере А Pimary DNS - контроллер B, Secondary он сам. На контроллере B - наоборот. Localhost для AD - нет никто и звать его никак. МС так и рекомендует, и сама делает, и в Deployment Guide как для простых смертных, так и для MCS - ровно такие рекомендации.

Secondary он сам. »
И Secondary — именно как localhost, т.е. 127.0.0.1, а не реальный его адрес, так?