Logonserver как изменить
Перейти к содержимому

Logonserver как изменить

  • автор:

Logonserver как изменить

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Сообщения: 270
Благодарности: 5

Собираюсь заменить контролер домена в другом офисе, ситуация следующий:

Есть
сервер 10.10.0.6 SERVER1 — старый контроллер домена
сервер 10.10.0.3 SERVER2 — планируем перенести контроллер домена на этот сервер

в итоге подготовили SERVER2 все репликации сделали ошибок с двух серверов небыло (dcdiag /e), в итоге выявился дефект материнки пришлось снять образ акронисом и перенести готовый образ системы на новый сервер (новое железо)

После запуска и установки всех драйверов и настройки IP сервера с двух сторон не могут пройти проверку (dcdiag /e) целая куча ошибок.

ipconfig /all SERVER1

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : ad
Основной DNS-суффикс . . . . . . : SERVER1.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : SERVER1.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it
Физический адрес. . . . . . . . . : 00-25-90-64-40-A1
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.10.0.6(Основной)
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз. . . . . . . . . : 10.10.0.1
DNS-серверы. . . . . . . . . . . : 10.10.0.3
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 3:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

dcdiag /e SERVER1

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = ad
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\AD
Запуск проверки: Connectivity
. AD — пройдена проверка Connectivity

Сервер проверки: Default-First-Site-Name\AD1
Запуск проверки: Connectivity
. AD1 — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\AD
Запуск проверки: Advertising
. AD — пройдена проверка Advertising
Запуск проверки: FrsEvent
. AD — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы
предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной
проблем групповой политики.
. AD — не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. AD — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
. AD — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. AD — пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
. AD — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. AD — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. AD — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. AD — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
. AD — пройдена проверка Replications
Запуск проверки: RidManager
. AD — пройдена проверка RidManager
Запуск проверки: Services
. AD — пройдена проверка Services
Запуск проверки: SystemLog
. AD — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. AD — пройдена проверка VerifyReferences

Сервер проверки: Default-First-Site-Name\AD1
Запуск проверки: Advertising
. AD1 — пройдена проверка Advertising
Запуск проверки: FrsEvent
. AD1 — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
Не удалось запросить журнал событий DFS Replication на сервере AD1.SERVER1.local, ошибка 0x6ba
«Сервер RPC недоступен.»
. AD1 — не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. AD1 — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
Не удалось запросить журнал событий Directory Service на сервере AD1.SERVER1.local, ошибка
0x6ba «Сервер RPC недоступен.»
. AD1 — не пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. AD1 — пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
. AD1 — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. AD1 — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. AD1 — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. AD1 — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
. AD1 — пройдена проверка Replications
Запуск проверки: RidManager
. AD1 — пройдена проверка RidManager
Запуск проверки: Services
. AD1 — пройдена проверка Services
Запуск проверки: SystemLog
Не удалось запросить журнал событий System на сервере AD1.SERVER1.local, ошибка 0x6ba
«Сервер RPC недоступен.»
. AD1 — не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. AD1 — пройдена проверка VerifyReferences

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones — пройдена проверка CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones — пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema — пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration — пройдена проверка CrossRefValidation

Выполнение проверок разделов на: SERVER1
Запуск проверки: CheckSDRefDom
. SERVER1 — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. SERVER1 — пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: SERVER1.local
Запуск проверки: LocatorCheck
. SERVER1.local — пройдена проверка LocatorCheck
Запуск проверки: Intersite
. SERVER1.local — пройдена проверка Intersite

ipconfig /all SERVER2

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : AD1
Основной DNS-суффикс . . . . . . : SERVER2.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : SERVER2.local

Адаптер Ethernet Ethernet 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #2
Физический адрес. . . . . . . . . : 04-D4-C4-03-C4-E9
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.10.0.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз. . . . . . . . . : 10.10.0.1
DNS-серверы. . . . . . . . . . . : 10.10.0.6
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

dcdiag /e SERVER2

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = AD1
* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\AD
Запуск проверки: Connectivity
. AD — пройдена проверка Connectivity

Сервер проверки: Default-First-Site-Name\AD1
Запуск проверки: Connectivity
. AD1 — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\AD
Запуск проверки: Advertising
. AD — пройдена проверка Advertising
Запуск проверки: FrsEvent
. AD — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об
ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
. AD — не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. AD — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
. AD — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. AD — пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
. AD — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. AD — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. AD — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. AD — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
. AD — пройдена проверка Replications
Запуск проверки: RidManager
. AD — пройдена проверка RidManager
Запуск проверки: Services
. AD — пройдена проверка Services
Запуск проверки: SystemLog
. AD — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. AD — пройдена проверка VerifyReferences

Сервер проверки: Default-First-Site-Name\AD1
Запуск проверки: Advertising
. AD1 — пройдена проверка Advertising
Запуск проверки: FrsEvent
. AD1 — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
. AD1 — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. AD1 — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
Возникло предупреждение. Код события (EventID): 0x80000B46
Время создания: 07/04/2019 18:33:58
Строка события:
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность.
. AD1 — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. AD1 — пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
. AD1 — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. AD1 — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. AD1 — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. AD1 — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
. AD1 — пройдена проверка Replications
Запуск проверки: RidManager
. AD1 — пройдена проверка RidManager
Запуск проверки: Services
. AD1 — пройдена проверка Services
Запуск проверки: SystemLog
. AD1 — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. AD1 — пройдена проверка VerifyReferences

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones — пройдена проверка CrossRefValidation

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones — пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema — пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration — пройдена проверка CrossRefValidation

Выполнение проверок разделов на: SERVER2
Запуск проверки: CheckSDRefDom
. SERVER2 — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. SERVER2 — пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: SERVER2.local
Запуск проверки: LocatorCheck
. SERVER2.local — пройдена проверка LocatorCheck
Запуск проверки: Intersite
. SERVER2.local — пройдена проверка Intersite

Подскажите что не так. Почему после снятия образа сервера некорректно реплицируются ?

команды repadmin /syncall с двух сторон отрабатывают без ошибок

Вопрос можно ли с этими ошибками передать роли ФМСО.

Почему компьютер может выпадать из сайта?

Домен поделён на несколько сайтов. При переносе одного из компов из сайта в сайт. Компьютер отказывается видеть новый сайт. Постоянно пытается стучаться к старом сайту и контроллерах. NLTEST /QUERY говорит, что отсутствуют логон сервера. NLTEST /SC_RESET:DOMAIN\SECONDDC позволяет сменить логон сервер, но лишь до перезагрузки.

Сейчас решил проблему с помощью ключа реестра. HLCM\System\CurrentControlSet\Services\Netlogon\Parametrs. Создал ключ SiteName и в нем указал текущий сайт, где расположен SecondDC.

Проблем с сетью нет, до шлюза стучится. До SecondDC стучится. С DNS проблем нет, все записи есть. Есть и другие компы в этом сайте, на них всё нормально и они сразу увидели новый сайт и SecondDC. Что может держать компьютер в старом сайте?

  • Вопрос задан более трёх лет назад
  • 130 просмотров

1 комментарий

Средний 1 комментарий

» logonserver как сменить

1 выключали dc3 на ночь
2 делали новый сайт для подсети,где находятся все компьютера, помещали туда dc1 и dc2
3 меняли приоритет HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LdapSrvPriority (http://technet.microsoft.com/library/cc957290?ppud=4)

ответ один, нет сервера способного обработать запрос на вход, если сервер dc3 выключен, в пртивном случае — все логинятся на нем

при запуске dcpromo на dc3 выдается сообщение, что сервер не видит другие серверы глобального каталога. Хотя все реплицируется с него не другие контроллеры и наоборот.

нужно как то сделать чтобы пользователи могли логинится на dc1 или dc2!

Автор: ipmanyak
Дата сообщения: 22.11.2012 12:35

toogodoom2 Попробуй сменить приоритет (и/или вес, но сначала смени только приоритет) в DNS.
DNS консоль > Forward Lookup Zone > ТВОЙ домен > _MSDCS > _DC > _TCP > в правом фрэйме записи «LDAP» и «KERBEROS», открой св-ва нужного сервера и там меняй приоритеты, там же есть и ВЕС.
P.S.
а нэймсерверами на рабочих станциях какие указаны? Случаем не IP от DC3 ?
эти статьи наверно уже читали — http://support.microsoft.com/kb/247811
http://msmvps.com/blogs/acefekay/archive/2010/01/03/the-dc-locator-process-the-logon-process-controlling-which-dc-responds-in-an-ad-site-and-srv-records.aspx

Автор: toogodoom2
Дата сообщения: 22.11.2012 12:54

2 ipmanyak
спасибо

пробовал менять приоритет через реестр на контроллерах как написал LdapSrvPriority
попробую как ты говоришь

не очень разобрался вначале где менять, поменял везде — но не прореплицировалось это изменение, хотя может не дождался

dc2 — нейм сервер у всех

но. кажется при логине все эти веса и приоритеты отрабаотываются и все — равно прихожу к dc3

Автор: loki20
Дата сообщения: 22.11.2012 13:21

На одном из форумов прозвучало:
As far as i know only global catalog holder could be logon server
и есть топик от мелкософта
http://support.microsoft.com/kb/241789
т.е. или разрешать GC на dс1 или отключать эту опцию.

ну или я ошибаюсь и совсем не ту степь полез =)

Автор: toogodoom2
Дата сообщения: 22.11.2012 14:26

2 loki20
я включал gk на dc1
не помогает..
при выключении dc3 — нет сервера способного обработать запрос на вход

Автор: Drron
Дата сообщения: 22.11.2012 15:07

Покажите со всех серверов и проблемного клиента

Код: ipconfig /all

Автор: loki20
Дата сообщения: 22.11.2012 16:21

Цитата:

я включал gk на dc1
не помогает..
при выключении dc3 — нет сервера способного обработать запрос на вход

Точно нет проблем с репликацией?

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель — сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.

Определить на каком контроллере домена (Logon Server) вы аутентифицировались

date

05.03.2022

user

itpro

directory

Active Directory, Windows 10, Windows Server 2019

comments

Комментариев пока нет

В некоторых случаях вам нужно определить на каком контроллере домена вы аутентифицированы (ваш logonserver). Это может пригодиться при проблемах с применением групповых политик, когда пользователи жалуются на медленный вход в систему. Пользователь может аутентифицироваться на неверном контроллере домена из-за того, что ближайший к нему DC не доступен, доступ к нему блокируется межсетевым экраном, неверной настройки подсетей и сайтов в Active Directory или проблемами с DNS. В результате пользователь может получать все GPO, скрипты, и т.д., не с ближайшего контроллера домена, а с любого другого DC. Это может привести к долгому применению GPO, медленной установке программ, медленной загрузки перемещаемых профилей или файлов в перенаправленных папках.

Как узнать на каком контроллере домена вы залогинены?

Вы можете узнать контроллер домена, через который вы выполнили вход в домен несколькими способами:

    • Из командной строки: set log
    LOGONSERVER=\\MSK-DC02
  • Из результатов команды: systeminfo | find /i “logon server”
  • Из переменного окружения: echo %logonserver%

узнать контроллер домена, на котором аутентифицровался пользователь через powershell

  • Значение переменной окружения можно получить и с помощью PowerShell: $env:LOGONSERVER
  • В результатах команды gpresult /r:
Group Policy was applied from: DC02

gpresult - групповые политики применены с ИМЯ контроллера домена

  • Утилита nltest показывает контроллер домена, на котором аутентифицировался компьютер при загрузке (logon server пользователя и компьютера иногда могут отличаться). Nltest позволяет также проверить наличие доверительных отношений между компьютером и контроллером домена и имя сайта Active Directory, к которому относится DC (Dc Site Name): nltest /DSGETDC:winitpro.ru
  • Если вы вошли на компьютер под локальной учетной записью, то вместо имени контроллера домена в переменной LogonServer будет указано имя вашего компьютера.

    Зная контроллер домена, можно различную информацию о пользователя из журналов безопасности DC (например, историю входов пользователя в домен и другие логи).

    Можно автоматически записывать информацию, на каком контроллере домена авторизовался пользователь в описание компьютера в AD. Так можно узнать LogonServer для конкретного компьютера из AD, не обращаясь к конкретному компьютеру по сети или локально.

    Как Windows определяет ближайший контроллер домена?

    За определение LogonServer при загрузке Windows отвечает служба NetLogon. Она должны быть запущена:

    Упрощенно процесс поиска контроллера домена клиентом Windows выглядит так:

    1. При загрузке Windows служба NetLogon делает DNS запрос за списком контроллеров домена (SVR записи _ldap._tcp.dc._msdcs.domain_ ;
    2. DNS возвращает список DC в домене;
    3. Клиент делает LDAP запрос к DC для определения сайта AD по-своему IP адресу;

    ldap записи в DNS зоне сайта

  • DC возвращает сайт, которому соответствует IP клиента или наиболее близкий сайт (эта информация кэшируется в ветке реестра HKLM\System\CurrentControlSet\Services\Netlogon\Parameters и используется при следующем входе для более быстрого поиска);
  • Клиент через DNS запрашивает список контроллеров домена в сайте (в разделе _ tcp.sitename._sites. );
  • Windows пытается связаться со всеми DC в сайте и первый ответивший используется для выполнении аутентификации и в качестве LogonServer.
  • Вы можете переключить ваш компьютер на другой контроллер домена AD вручную с помощью команды:

    nltest сменить контроллер домена

    Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\MSK-DC02.winitpro.ru Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully

    Если указанный DC не доступен, появится ошибка:

    I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS

    Если ни один из контроллеров домена не доступен, или компьютер отключен от сети, то при входе пользователя появится надпись:

    There are currently no logon servers available to service the logon request.

    Найти ближайший к вам контроллер домена согласно иерархии сайтов, подсетей и весов можно с помощью командлета Get-ADDomainController из модуля Active Directory для PowerShell:

    Get-ADDomainController -Discover -NextClosestSite

    Так вы сможете определить имя контроллера домена, через который должен аутентифицироваться компьютер. Если он отличается от текущего, нужно понять почему.

    Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

    Читайте далее в разделе Active Directory Windows 10 Windows Server 2019

    page

    page

    page

    Настройка двухфакторной аутентификации (2FA) в Windows с помощью MultiOTP

    Настройка перенаправления папок пользователей в AD с помощью GPO

    Как изменить имя (переименовать) домен Active Directory?

    Групповые политики: запуск скрипта только один раз

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *