- Remove From My Forums
-
Question
-
Hi All,
We are having intermittence disconnection to forest trust and when i run the following command found this
nltest /sc_verify:external.com
Flags: 80
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
Trust Verification Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfullyWe have 5 DC’s and only one cause this issue.
As
Answers
-
Can you pls check below ports are opened or not from both the end.
<Service Name=»Domains and Trusts»>
<Port Name=»RPC» Value=»135″ Protocol=»TCP»/>
<Port Name=»LDAP» Value=»389″ Protocol=»BOTH»/>
<Port Name=»LDAP SSL» Value=»636″ Protocol=»TCP»/>
<Port Name=»LDAP GC» Value=»3268″ Protocol=»TCP»/>
<Port Name=»LDAP GC SSL» Value=»3269″ Protocol=»TCP»/>
<Port Name=»DNS» Value=»53″ Protocol=»BOTH»/>
<Port Name=»Kerberos» Value=»88″ Protocol=»BOTH»/>
<Port Name=»SMB» Value=»445″ Protocol=»TCP»/>
<Port Name=»NetBIOS Name» Value=»137″ Protocol=»UDP»/>
<Port Name=»NetBIOS NetLogon Browsing» Value=»138″ Protocol=»UDP»/>
<Port Name=»NetBIOS Session» Value=»139″ Protocol=»TCP»/>
<Port Name=»WINS Replication» Value=»42″ Protocol=»TCP»/>Use port Query.
https://www.microsoft.com/en-in/download/details.aspx?id=24009
Regards,
Biswajit
MCTS, MCP 2003,MCSA 2003, MCSA:M 2003, CCNA, Enterprise Admin, ITIL F 2011
Blog:
Script Gallary:
LinkedIn:
Note: Disclaimer: This posting is provided & with no warranties or guarantees and confers no rights..
-
Proposed as answer by
Tuesday, February 10, 2015 3:49 AM
-
Marked as answer by
Amy Wang_
Wednesday, February 11, 2015 5:08 AM
-
Proposed as answer by
-
That should be either a DNS resolution problem or ports required for the trust are blocked or filtered.
For DNS resolution, make sure that you have conditional forwarders or secondary DNS zones that allow each domain within your forests to resolve the other domain(s) in the other forest. You use
NSlookup for troubleshooting: http://social.technet.microsoft.com/wiki/contents/articles/29184.nslookup-for-beginners.aspxAs for the required ports, you can find them here: https://support.microsoft.com/kb/179442?wa=wsignin1.0
You can use PortQryUI for checking.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
Ahmed MALEK
My Website Link
My Linkedin Profile
My MVP Profile
-
Proposed as answer by
Amy Wang_
Tuesday, February 10, 2015 3:49 AM -
Marked as answer by
Amy Wang_
Wednesday, February 11, 2015 5:08 AM
-
Proposed as answer by
- Remove From My Forums
-
Question
-
dear folks,
i have a strange issue here, i have just dcpromo a new windows 2003R2 DC.
everytime i reboot the new DC i get error when i test netlogon with
nltest /query —> Connection Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
nltest /dsregdns —> Connection Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
but the nltest /sc_query commands passed.
nltest /sc_query:XXX.com —->
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \XXX.XXX.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfullyafter more than 60mins the error will be gone.
of if i used the nltest /sc_reset:XXX.com to fix it….but it came back after a DC reboot.
please advice
thanks
-
Edited by
Monday, January 3, 2011 7:59 AM
-
Edited by
Answers
-
yes Kerberos Key Distribution set to start AUTO and started.
yes error
Event Type: Error
Event Source: KDC
Event Category: None
Event ID: 11
Date: 1/11/2011
Time: 09:44:13
User: N/A
Computer: MOWDCXX
Description:
There are multiple accounts with name SMTPSVC/MOWXXX of type DS_SERVICE_PRINCIPAL_NAME.For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.Hello,
please see: http://support.microsoft.com/kb/321044
Best regards Meinolf Weber Disclaimer: This posting is provided «AS IS» with no warranties or guarantees , and confers no rights.
-
Marked as answer by
Brent Hu
Thursday, January 13, 2011 4:20 AM
-
Marked as answer by
Обновлено 02.01.2021
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами освежили в памяти комбинации горячих клавиш Windows 10. В сегодняшней статье я хочу потраблшутить с активным каталогом, а именно мы рассмотрим как устраняется и в чем причины ошибки с кодом ID 1311 при репликации Active Directory. Данная ошибка может появляться каждые 15 минут. Давайте ее исправим и на будущее научимся ее диагностировать сходу.
Описание ошибки 1311
У меня есть два домена Active Directory, корневой root и дочерний child, все в рамках одного дерева и леса. В какой-то момент в логах Windows на контроллерах домена я обнаружил ошибку:
Event ID 1311: The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
Directory partition:
DC=child,DC=pyatilistnik,DC=org
There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.
User Action
Perform one of the following actions:
— Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option.
— Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site.
If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.
Данная ошибка появляется каждые 15 минут.
Причины ошибки 1311
Одна из самых печально известных ошибок репликации — это событие с кодом 1311, оно может быть вызвано рядом причины:
- Один или несколько контроллеров домена недоступны по сети или один или несколько контроллеров домена находятся в автономном режиме.
- Один или несколько сайтов не могут взаимодействовать друг с другом из сетевых ошибок, например один или несколько сайтов не содержатся в ссылке на сайт.
- Ссылки сайта содержат все сайты, но ссылки сайта не связаны между собой. Это условие известно как несвязанные ссылки на сайте.
- Контроллеры домена-плацдарма подключены, но возникают ошибки при попытке репликации необходимого раздела каталога между сайтами Active Directory.
- Предпочтительные серверы-плацдармы, определенные администратором, подключены к сети, но на них не размещен необходимый раздел каталога. Наиболее распространенная неправильная конфигурация — это определение серверов не глобального каталога в качестве серверов-плацдармов.
- Предпочтительные плацдармы правильно определены администратором, но в настоящее время они отключены.
- Сервер-плацдарм перегружен, поскольку сервер не производительный, слишком много сайтов филиалов пытаются реплицировать изменения с одного и того же контроллера домена-концентратора, или расписание репликации на сайтах слишком частое.
- Средство проверки согласованности знаний (KCC) создало альтернативный путь для обхода межсайтового соединения, но продолжает повторять попытку сбойного соединения каждые 15 минут.
- Мост включен в сайтах и службах Active Directory, но сеть не позволяет подключаться к сети между любыми двумя контроллерами домена в лесу.
- Предпочитаемый сервер-плацдарм настроен и отключен
- Ошибка разрешения DNS-имени
- Ошибка 1311 может быть просто результатом другой, более серьезной проблемы и исчезнет, когда эта проблема будет решена.
Диагностика и устранение ошибки 1311
KCC — это специальный процесс, который выполняется абсолютно на всех контроллерах домена и создает топологию репликации для Active Directory леса. KCC создает отдельные топологии репликации в зависимости от того, выполняется ли репликация на сайте (внутрисайтовая) или между сайтами (межсайтовой). KCC также динамически корректирует топологию, чтобы она соответствовала добавлению новых контроллеров домена, удалению существующих контроллеров домена, перемещению контроллеров домена на сайты, изменяющимся затратам и расписаниям, а также к контроллерам домена, временно недоступен или находится в состоянии ошибки.
Если вы подробно еще раз посмотрите ошибку 1311, то там нет точного упоминания какой именно контроллер домена является проблемным. Для этого мы с вами можем воспользоваться уже знакомой утилитой Repadmin по проверке репликации Active Directory. Выполните команду:
Несмотря на то, что 1311 может не отображаться здесь, для него характерно сопряжение с событием «1722 Сервер RPC недоступен (The RPC server is unavailable)» (что в основном означает отсутствие физической связи). Тут же я вижу, что контроллер недоступен более 60 дней.
так же полезно будет выполнить команду, которая покажет подробную топологию по сайтам:
Вот вам пример, когда отсутствует связь с контроллером домена «The remote system is not available. For information about network troubleshooting».
Элементарно проверить сетевую доступность нужного контроллера домена можно с помощью утилит командной строки ping и tracert. Убедитесь, что у вас правильные настройки ip адреса на недоступном контроллере, правильные маршруты, нет блокировок на уровне брандмауэра, разрешены порты Active Directory.
Если по сети контроллер отвечает, то нужно убедиться, что существует адекватное подключение к сайту. Выполните следующую процедуру на каждом контроллере домена, на котором размещен раздел, для которого KCC сообщает, что путь репликации не может быть вычислен. Начните с контроллера домена, который сообщает об этой проблеме. Для выполнения этой процедуры у вас должно быть членство в группе «Администраторы домена» или вам должны быть делегированы соответствующие полномочия. Чтобы убедиться, что контроллеры домена, на которых размещен указанный раздел каталога, доступны откройте командную строку в режиме администратора и введите:
dcdiag /test:connectivity
Эта команда проверяет, доступны ли контроллеры домена и правильно ли они зарегистрированы на серверах системы доменных имен (DNS). Устраните все проблемы, обнаруженные при запуске этого теста.
Более подробную диагностическую информацию можно получить из команды представленной ниже, единственное необходимо в рамках леса иметь права администратора предприятия.
Если вы видите ошибки в топологии сайтов, то вы можете проверить вот такие вещи:
- Настройте предпочтительный сервер-плацдарм. В Windows 2003 и выше все контроллеры домена рандомизируются в качестве серверов-плацдармов вместо того, чтобы иметь один единственный, как требуется для Windows 2000. При установке этого значения один контроллер домена становится сервером-плацдармом — и, если вы установите только один, и он будет не доступен, то проверка согласованности знаний (KCC) не найдет других партнеров? Просто скажи нет на этом. Если у вас есть какие-либо из них, отмените их, сняв флажок в оснастке «Сайты и службы».
- Убедитесь, что все сайты определены в ссылках сайта — это может показаться очевидным, но вы будете удивлены, насколько часто это проблема. В одном случае администратор сообщил, что один регион, содержащий несколько сайтов AD, вообще не реплицировался. После проверки я обнаружил, что на сайте хаба в этом регионе не было ссылок на сайты, определенные для какого-либо сайта. Я был поражен, что они не обнаружили это раньше, так как не было никакой репликации на любой другой DC вообще.
Осиротевшие объекты
Однажды один сервер глобального каталога был понижен в должности, но нетерпеливый администратор хотел ускорить очистку Active Directory, поэтому он сократил значение времени tombstonelifetime и затем принудительно запустил сборку мусора. К сожалению, он сделал это до того, как удаление сервера глобального каталога (GC) было отреплицировано на все DC и GC в лесу. Я получал ошибку 1311 вместе с множеством других, заявляющих, что Active Directory пытается реплицировать объект, у которого нет родителя, но он не идентифицирует родителя. В итоге я включал подробное ведение журнала и наконец определил GUID проблемного объекта. Используя инструмент LDP.exe, я смог удалить этот объект и остановить события 1311.
Ошибки DNS
Поскольку репликация AD зависит от разрешения имен DNS, чтобы найти контроллеры домена для репликации, в случае поломки DNS может привести к возникновению событий 1311. Здесь полезно то, что если виновником является DNS, то в событии 1311 фраза «Ошибка поиска DNS» будет включена в описание. Если вы видите эту фразу, то у вас абсолютно точно есть проблема с DNS, которую нужно исправить. Я никогда не видел, чтобы эта ошибка оказалась ложной. Обратите внимание, что это не обязательно будет регистрировать событие в журнале DNS, и вы увидите это и в других событиях. Помните, что отсутствие значительных ошибок в журнале событий DNS не означает, что DNS исправен.
Если вернуться конкретно к моему случаю, то у меня контроллер домена отсутствовал уже более 60 дней, и очень глупо его включать, так как это приведет к другим проблемам. Проще такой контроллер домена удалить и по необходимости развернуть новый. Даже если контроллер домена недоступен его можно корректно удалить.
Так же не забывайте проверить, что у вас контроллер удалился с сайта, и если он был в нем один, то лучше удалить сам сайт, если он не используется. Убедитесь, что теперь команды репликации не показывают ошибок 1722 или 1311. На этом у меня все с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Дополнительно
- https://docs.microsoft.com/ru-ru/windows-server/identity/ad-ds/get-started/replication/active-directory-replication-concepts
- https://social.technet.microsoft.com/wiki/contents/articles/1375.event-id-1311-microsoft-windows-activedirectory-domainservice.aspx
Содержание
- Connection status 1311 0x51f error no logon servers
- Answered by:
- Question
- Answers
- Connection status 1311 0x51f error no logon servers
- Connection status 1311 0x51f error no logon servers
- Connection status 1311 0x51f error no logon servers
Connection status 1311 0x51f error no logon servers
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
We are having intermittence disconnection to forest trust and when i run the following command found this
Flags: 80
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
Trust Verification Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully
We have 5 DC’s and only one cause this issue.
Answers
Can you pls check below ports are opened or not from both the end.
MCTS, MCP 2003,MCSA 2003, MCSA:M 2003, CCNA, Enterprise Admin, ITIL F 2011
Blog: Script Gallary: LinkedIn:
Note: Disclaimer: This posting is provided & with no warranties or guarantees and confers no rights..
That should be either a DNS resolution problem or ports required for the trust are blocked or filtered.
For DNS resolution, make sure that you have conditional forwarders or secondary DNS zones that allow each domain within your forests to resolve the other domain(s) in the other forest. You use NSlookup for troubleshooting: http://social.technet.microsoft.com/wiki/contents/articles/29184.nslookup-for-beginners.aspx
As for the required ports, you can find them here: https://support.microsoft.com/kb/179442?wa=wsignin1.0
You can use PortQryUI for checking.
This posting is provided AS IS with no warranties or guarantees , and confers no rights.
Источник
Connection status 1311 0x51f error no logon servers
dcdiag shows below
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: MOWMOWDC02
Starting test: Connectivity
. MOWDC02 passed test Connectivity
Doing primary tests
Testing server: MOWMOWDC02
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
MOWDC02: Current time is 2011-01-03 09:56:42.
DC=ForestDnsZones,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:16:03.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:25.
DC=DomainDnsZones,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:16:00.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:23.
CN=Schema,CN=Configuration,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:54.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:17.
CN=Configuration,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:39.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:13.
DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:57.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:19.
. MOWDC02 passed test Replications
Starting test: NCSecDesc
. MOWDC02 passed test NCSecDesc
Starting test: NetLogons
. MOWDC02 passed test NetLogons
Starting test: Advertising
. MOWDC02 passed test Advertising
Starting test: KnowsOfRoleHolders
. MOWDC02 passed test KnowsOfRoleHolders
Starting test: RidManager
. MOWDC02 passed test RidManager
Starting test: MachineAccount
. MOWDC02 passed test MachineAccount
Starting test: Services
. MOWDC02 passed test Services
Starting test: ObjectsReplicated
. MOWDC02 passed test ObjectsReplicated
Starting test: frssysvol
. MOWDC02 passed test frssysvol
Starting test: frsevent
. MOWDC02 passed test frsevent
Starting test: kccevent
. MOWDC02 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:17
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
. MOWDC02 failed test systemlog
Starting test: VerifyReferences
. MOWDC02 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom
Running partition tests on : XXX
Starting test: CrossRefValidation
. XXX passed test CrossRefValidation
Starting test: CheckSDRefDom
. XXX passed test CheckSDRefDom
Источник
Connection status 1311 0x51f error no logon servers
I have changed some private info. but should be correct reflected.
DC-1 (SITE A) (Windows server 2012 R2)
Windows IP Configuration
Host Name . . . . . . . . . . . . : DC1
Primary Dns Suffix . . . . . . . : HOME.LOCAL
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : HOME.LOCAL
Ethernet adapter Team #0:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TEAM : Team #0
Physical Address. . . . . . . . . : 70-E2-84-XX-XX-XX
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.0.0.22(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.0.0.1
DNS Servers . . . . . . . . . . . : 10.0.0.22
10.0.0.61
NetBIOS over Tcpip. . . . . . . . : Enabled
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
——————————————————————
DC-2 (SITE A) (Windows server 2016)
Windows IP Configuration
Host Name . . . . . . . . . . . . : DC2
Primary Dns Suffix . . . . . . . : HOME.LOCAL
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : HOME.LOCAL
Ethernet adapter Ethernet0:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
Physical Address. . . . . . . . . : 00-50-56-XX-XX-XX
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.0.0.61(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.0.0.1
DNS Servers . . . . . . . . . . . : 10.0.0.61
10.0.0.22
NetBIOS over Tcpip. . . . . . . . : Enabled
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Tunnel adapter Teredo Tunneling Pseudo-Interface:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Windows IP Configuration
Host Name . . . . . . . . . . . . : DC3
Primary Dns Suffix . . . . . . . : HOME.LOCAL
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : HOME.LOCAL
Ethernet adapter Team0:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Network Adapter Multiplexor Driver
Physical Address. . . . . . . . . : 90-1B-0E-XX-XX-XX
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.1.1.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.128
Default Gateway . . . . . . . . . : 10.1.1.1
DNS Servers . . . . . . . . . . . : 10.0.0.22
10.1.1.2
NetBIOS over Tcpip. . . . . . . . : Enabled
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Источник
Connection status 1311 0x51f error no logon servers
dcdiag shows below
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: MOWMOWDC02
Starting test: Connectivity
. MOWDC02 passed test Connectivity
Doing primary tests
Testing server: MOWMOWDC02
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
MOWDC02: Current time is 2011-01-03 09:56:42.
DC=ForestDnsZones,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:16:03.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:25.
DC=DomainDnsZones,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:16:00.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:23.
CN=Schema,CN=Configuration,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:54.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:17.
CN=Configuration,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:39.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:13.
DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:57.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:19.
. MOWDC02 passed test Replications
Starting test: NCSecDesc
. MOWDC02 passed test NCSecDesc
Starting test: NetLogons
. MOWDC02 passed test NetLogons
Starting test: Advertising
. MOWDC02 passed test Advertising
Starting test: KnowsOfRoleHolders
. MOWDC02 passed test KnowsOfRoleHolders
Starting test: RidManager
. MOWDC02 passed test RidManager
Starting test: MachineAccount
. MOWDC02 passed test MachineAccount
Starting test: Services
. MOWDC02 passed test Services
Starting test: ObjectsReplicated
. MOWDC02 passed test ObjectsReplicated
Starting test: frssysvol
. MOWDC02 passed test frssysvol
Starting test: frsevent
. MOWDC02 passed test frsevent
Starting test: kccevent
. MOWDC02 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:17
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
. MOWDC02 failed test systemlog
Starting test: VerifyReferences
. MOWDC02 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom
Running partition tests on : XXX
Starting test: CrossRefValidation
. XXX passed test CrossRefValidation
Starting test: CheckSDRefDom
. XXX passed test CheckSDRefDom
Источник
В некоторых случаях вам нужно определить на каком контроллере домена вы аутентифицированы (ваш logonserver). Это может пригодиться при проблемах с применением групповых политик, когда пользователи жалуются на медленный вход в систему. Пользователь может аутентифицироваться на неверном контроллере домена из-за того, что ближайший к нему DC не доступен, доступ к нему блокируется межсетевым экраном, неверной настройки подсетей и сайтов в Active Directory или проблемами с DNS. В результате пользователь может получать все GPO, скрипты, и т.д., не с ближайшего контроллера домена, а с любого другого DC. Это может привести к долгому применению GPO, медленной установке программ, медленной загрузки перемещаемых профилей или файлов в перенаправленных папках.
Содержание:
- Как узнать на каком контроллере домена вы залогинены?
- Как Windows определяет ближайший контроллер домена?
Как узнать на каком контроллере домена вы залогинены?
Вы можете узнать контроллер домена, через который вы выполнили вход в домен несколькими способами:
Если вы вошли на компьютер под локальной учетной записью, то вместо имени контроллера домена в переменной LogonServer будет указано имя вашего компьютера.
Зная контроллер домена, можно различную информацию о пользователя из журналов безопасности DC (например, историю входов пользователя в домен и другие логи).
Можно автоматически записывать информацию, на каком контроллере домена авторизовался пользователь в описание компьютера в AD. Так можно узнать LogonServer для конкретного компьютера из AD, не обращаясь к конкретному компьютеру по сети или локально.
Как Windows определяет ближайший контроллер домена?
За определение LogonServer при загрузке Windows отвечает служба NetLogon. Она должны быть запущена:
get-service netlogon
Упрощенно процесс поиска контроллера домена клиентом Windows выглядит так:
- При загрузке Windows служба NetLogon делает DNS запрос за списком контроллеров домена (SVR записи
_ldap._tcp.dc._msdcs.domain_
; - DNS возвращает список DC в домене;
- Клиент делает LDAP запрос к DC для определения сайта AD по-своему IP адресу;
- DC возвращает сайт, которому соответствует IP клиента или наиболее близкий сайт (эта информация кэшируется в ветке реестра
HKLMSystemCurrentControlSetServicesNetlogonParameters
и используется при следующем входе для более быстрого поиска); - Клиент через DNS запрашивает список контроллеров домена в сайте (в разделе _
tcp.sitename._sites...
); - Windows пытается связаться со всеми DC в сайте и первый ответивший используется для выполнении аутентификации и в качестве LogonServer.
Вы можете переключить ваш компьютер на другой контроллер домена AD вручную с помощью команды:
nltest /SC_RESET:WINITPROMSK-DC02.winitpro.ru
Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \MSK-DC02.winitpro.ru Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully
Если указанный DC не доступен, появится ошибка:
I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
Если ни один из контроллеров домена не доступен, или компьютер отключен от сети, то при входе пользователя появится надпись:
There are currently no logon servers available to service the logon request.
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Войти на такой компьютер можно только под сохраненными учетными данными доменного пользователя.
Найти ближайший к вам контроллер домена согласно иерархии сайтов, подсетей и весов можно с помощью командлета Get-ADDomainController из модуля Active Directory для PowerShell:
Get-ADDomainController -Discover -NextClosestSite
Так вы сможете определить имя контроллера домена, через который должен аутентифицироваться компьютер. Если он отличается от текущего, нужно понять почему.
← Вернуться в раздел «В помощь системному администратору»
При попытке создать доверительные отношения между Win2003 и Win2000 на машине с Win2003 выдается следующее сообщение:
Цитата:
Входящее доверие проверено. Оно работоспособно и активно.
При проверке исходящего доверия произошли следующие ошибки:
Проверка пароля доверия не завершена.
Будет предпринята попытка переустановить безопасный канал.
Ошибка 1311 переустановки безопасного канала: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
netdiag на обоих машинах ошибок не выдает, DNS настроен нормально. При попытке создать отношения между той же Win2003 и тестовой Win2000 никаких ошибок нет, все проходит нормально.
Подскажите, в каком направлении можно копать?
Автор: Newbie777
Дата сообщения: 18.05.2004 16:23
nltest /sc_reset или /sc_change_pwd
Автор: ert
Дата сообщения: 19.05.2004 09:15
nltest /reset выдает:
Цитата:
I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
Руководствуясь статьей из Windows 2000 Resource Kits — Diagnosing and Troubleshooting Active Directory Problems попробовал nltest /sc_query на что получил:
Цитата:
Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully
при этом nltest /sc_getdc для обоих доменов ошибок не выдает.
В чем может быть причина такого странного поведения?
Автор: trisen
Дата сообщения: 19.05.2004 12:42
причина в Domain Contoller Security Policy
политики в Window 2003 по умолчанию более секурные
вообщем вам понятно что ковырять
сравните их по пунктам, увидете разницу.
Автор: ert
Дата сообщения: 19.05.2004 17:19
Заработало nltest /sc_reset DcName, после этого доверие приходит в норму, нужные ресурсы доступны. Но при проверке через оснастку «Домены и доверие» на Win2k все опять рушится. Можно в принципе куда не надо не лазить, но у тамошнего администратора руки постоянно чешутся.
Автор: Newbie777
Дата сообщения: 20.05.2004 15:45
видимо лазит он туда тулами для Win2K AD, вот и рушится всё.
Страницы: 1
Предыдущая тема: Выключить все компы в сети
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель — сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.
4 / 4 / 2 Регистрация: 26.05.2014 Сообщений: 354 |
|
1 |
|
25.10.2019, 15:00. Показов 3994. Ответов 10
Вход на сервер осуществляется через локального администратора. А как войти через доменного пользователя? Как только пытаюсь войти чрез домен пишет «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера». Подскажите куда копать?
__________________
0 |
233 / 223 / 46 Регистрация: 12.12.2012 Сообщений: 1,928 |
|
25.10.2019, 19:52 |
2 |
Ошибка означает, что у рабочей станции потеряны доверительные отношения с контроллером домена.
0 |
Модератор 6871 / 3818 / 477 Регистрация: 13.03.2013 Сообщений: 14,059 Записей в блоге: 9 |
|
28.10.2019, 02:14 |
3 |
Вход на сервер осуществляется через локального администратора. На сервере AD нет локального администратора, на какой именно сервер пытаетесь зайти?
0 |
4 / 4 / 2 Регистрация: 26.05.2014 Сообщений: 354 |
|
31.10.2019, 15:26 [ТС] |
4 |
Ну у меня только один сервер. ActiveDirectory на виртуалке. Сервер в домене, да.
«База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера»
0 |
4 / 4 / 2 Регистрация: 26.05.2014 Сообщений: 354 |
|
05.11.2019, 20:48 [ТС] |
5 |
Встречался кто нибудь с такой проблемой?
0 |
KDE777 1882 / 1106 / 426 Регистрация: 22.01.2016 Сообщений: 3,050 |
||||
06.11.2019, 11:34 |
6 |
|||
«База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера» Одна из причин — компьютер потерял доверительные отношения (связь) с доменом. Например, более 30 дней этот ПК не подключался к DC и его AD-пароль устарел. Проверить можно так: Код nltest /server:computername /sc_query:mydomain computername — имя проблемного ПК В этом случае повторно добавьте ПК в домен, т.е. выведите из домена, для AD УЗ этого ПК сделать «Reset Account» и введите в домен обратно. Добавлено через 7 минут
0 |
4 / 4 / 2 Регистрация: 26.05.2014 Сообщений: 354 |
|
06.11.2019, 12:30 [ТС] |
7 |
Если выведу сервер из домена и обратно введу в домен, то с пользователями AD ничего не случиться? У меня 200+ пользователей в домене и ещё куча виртуальных машин.
0 |
1882 / 1106 / 426 Регистрация: 22.01.2016 Сообщений: 3,050 |
|
06.11.2019, 12:43 |
8 |
Если выведу сервер из домена и обратно введу в домен, то с пользователями AD ничего не случиться? Так вы до сих пор ясно не ответили — это просто сервер (с какими ролями?) добавленный в AD домен или сервер с ролью контроллер домена? Если второе, тогда совершенно не ясно о каком входе из-под локального администратора вы пишете, т.к. Maks уже справедливо писал, что на DC нет локальных УЗ. Выполните: где mydomain.ru — имя вашего домена. И убедитесь, что ни один IP выданный этой командой не совпадает с IP проблемного сервера.
У меня 200+ пользователей в домене и ещё куча виртуальных машин. Если у вас единственный DC показывает ошибку из темы, тогда у меня для ваших 200+ уже очень плохие новости
0 |
4 / 4 / 2 Регистрация: 26.05.2014 Сообщений: 354 |
|
06.11.2019, 16:05 [ТС] |
9 |
на какой именно сервер пытаетесь зайти? сервер контроллер домена. Код nltest /server:computername /sc_query:mydomain Пишет ошибка Статус = 1311 0x51f ERROR_NO_LOGON_SERVERS. Это что за ошибка?
0 |
1882 / 1106 / 426 Регистрация: 22.01.2016 Сообщений: 3,050 |
|
06.11.2019, 16:17 |
10 |
сервер контроллер домена. тогда
Вход на сервер осуществляется через локального администратора не соответствует действительности.
Пишет ошибка Статус = 1311 0x51f ERROR_NO_LOGON_SERVERS. Это что за ошибка? Если проблемы всё-таки с AD DC, тогда запускайте не nltest, а полную диагностику: и очень внимательно читайте результат… Добавлено через 2 минуты
1 |
4 / 4 / 2 Регистрация: 26.05.2014 Сообщений: 354 |
|
06.11.2019, 16:18 [ТС] |
11 |
спасибо
0 |