Logonserver как изменить - Исправление ошибок и поиск оптимальных решений проблем

Remove From My Forums

Question
Hello

Please move if in wrong forum

I have a Server 2012 r2 that I need to change logon servers.
From the server I type echo %logonserver% and get DC02. I want to change the logon server to DC04.

History: I have a Domain Controller DC01, and two BDC DC02 and DC04. DC02 died, can’t remove it from the domain, worked with Microsoft, no luck but it is demoted and not a DC, started having problems with a server and discovered it had
a logon server as this demoted DC DC02

Is it better to run a command line? Better to change remove from the domain into a workgroup then add back into domain?
Should I delete DHCP and DNS when changing logon servers?

Thanks

B~

Thank you Bruce

Answers

Hello

I spent two day with Microsoft and different tools and processes for metadata clean up, all failed, so this is a dead server. It is currently as a BDC without a GC, but will not promote back to a DC or DC demote. All Server Manager features are
greyed out.

The history is the previous admin deleted this from AD and tried to put it back in without dcpromo or ntdsutil or any powershell script. Again, I spent days with Microsoft and nothing worked.

I might be at starting over with Server 2016 or server 2019.

Thanks to all, great suggestions.

B~

Thank you Bruce
- Marked as answer by
  
  Saturday, November 16, 2019 10:22 PM

Источник

Remove From My Forums

Question
Hello

Please move if in wrong forum

I have a Server 2012 r2 that I need to change logon servers.
From the server I type echo %logonserver% and get DC02. I want to change the logon server to DC04.

History: I have a Domain Controller DC01, and two BDC DC02 and DC04. DC02 died, can’t remove it from the domain, worked with Microsoft, no luck but it is demoted and not a DC, started having problems with a server and discovered it had
a logon server as this demoted DC DC02

Is it better to run a command line? Better to change remove from the domain into a workgroup then add back into domain?
Should I delete DHCP and DNS when changing logon servers?

Thanks

B~

Thank you Bruce

Answers

Hello

I spent two day with Microsoft and different tools and processes for metadata clean up, all failed, so this is a dead server. It is currently as a BDC without a GC, but will not promote back to a DC or DC demote. All Server Manager features are
greyed out.

The history is the previous admin deleted this from AD and tried to put it back in without dcpromo or ntdsutil or any powershell script. Again, I spent days with Microsoft and nothing worked.

I might be at starting over with Server 2016 or server 2019.

Thanks to all, great suggestions.

B~

Thank you Bruce
- Marked as answer by
  
  Saturday, November 16, 2019 10:22 PM

Источник

Remove From My Forums

Question
Hello

Please move if in wrong forum

I have a Server 2012 r2 that I need to change logon servers.
From the server I type echo %logonserver% and get DC02. I want to change the logon server to DC04.

History: I have a Domain Controller DC01, and two BDC DC02 and DC04. DC02 died, can’t remove it from the domain, worked with Microsoft, no luck but it is demoted and not a DC, started having problems with a server and discovered it had
a logon server as this demoted DC DC02

Is it better to run a command line? Better to change remove from the domain into a workgroup then add back into domain?
Should I delete DHCP and DNS when changing logon servers?

Thanks

B~

Thank you Bruce

Answers

Hello

I spent two day with Microsoft and different tools and processes for metadata clean up, all failed, so this is a dead server. It is currently as a BDC without a GC, but will not promote back to a DC or DC demote. All Server Manager features are
greyed out.

The history is the previous admin deleted this from AD and tried to put it back in without dcpromo or ntdsutil or any powershell script. Again, I spent days with Microsoft and nothing worked.

I might be at starting over with Server 2016 or server 2019.

Thanks to all, great suggestions.

B~

Thank you Bruce
- Marked as answer by
  
  Saturday, November 16, 2019 10:22 PM

Источник

�� !
�� : �� win server 2008. �� 2003 � 2008. �� 4 ��. �� , �� , �� , �� . �� ? �� !

�� , �� , �� — ��. � ��

�� fsmo �� . � �� . � �� -�� ?!

�� , �� , �� dcpromo � ��
��

�� , �� ! �� dcpromo ��. �� .�. �� .

�� ?
�� dcpromo forceremoval �� .

Avedis ��(�)
� �� -�� ?! …

�� .
��-��, �� «�� » �� . ��-��, �� .

�� , ��

��

�� ! �� ! �� ! �� , �.� �� 2 �� . �� , ��

Avedis ��(�)
�� !

� �� AD ��?

+1.
�� -�� .

�� .

�� . �� -�� .

�� : �� .
�� ADDS, �� DC. �� DC, � ��, �� — ��. �� .
��-�� …
�.�. �� DNS � DHCP.

�.�.�. � �� . �� .
��, ��:
zocomp.ru/index.php?option=c…ticles&Itemid=5

��-�� . �� . �� ? ��!

�� .

�� !

� �� DHCP �� ? � �� , � �� ?
DNS �� .
� ��, �� . �� . �� .
1. �� ADDS, DNS, DHCP �� .
2. �� ADDS �� .
3. �� DNS-��.
4. �� DHCP �� .
5. �� DHCP �� . �� DHCP �� . �� DNS �� , �� .
6. �� — �� (��-��, �� 5 �� ).
7. �� .
� �� ӣ. ��-�� .
�� , �� netlogon � �� . ��, � �� , �� . �� DNS �� .

� �� — �� , �� — �� -�� -��. �� , �� .

�� , �.� �� 2 �� . �� , ��

�� — �� . ��, ��-�� . �� BDC, �� .

� �� — �� ? �ӣ �� ?

�� , �� – �� Global Catalog (�� ). �� LDAP �� 3268, �� . �� – �� .

�� ?

�� . �� , ��

� �� , �� — �� ?

��… � ��, �� — �� ?

dsquery server –hasfsmo schema
dsquery server –hasfsmo name
dsquery server –hasfsmo rid
dsquery server –hasfsmo pdc
dsquery server –hasfsmo infr
dsquery server –forest -isgc

��, �� FSMO �� . � � ��, ��, ��.

�� , �� ntdsutil.

www.lissyara.su/articles/freebsd/programms/samba%20pdc%20bdc%20ldap/
�� , �� — �� LDAP. �� . �� LDAP. �� , �� . �� , �� ?
…
* ��, �� *

��, �� . �� , ��, �� .

��-��. �� .
� �� (� �� -�� ?), �� , �� , � �� ģ� �� LDAP…

�� , �� ģ�� , �� .

�� , �� FSMO, � �� «�� ». � �� , �� , �� FSMO � �� ntdsutil — �� .

� �� ? �� , �� AD � ��, �� Σ�� 2000 ��… � �� , �� 90 �� . �� …

��… �� — � �� , ��?

�� (�)
� �� (� �� -�� ?), �� , �� , � �� ģ� �� LDAP.

�� . ��, ��? �� NT �� PDC � � �� BDC. �� W2k �� DC � �� — �� , �� Multimaster. �� — ��. �� , �.�. �� , �� , �� , �� PDC emulator �� Scheme master.

� �� , �� 2012-� �� PDC � BDC. ��? �� — ��?
�� 2003 �� , �� — ��, �� . �� ģ�� .

� ��, � �� FSMO � ��. �� Scheme Master — �� .
�� , �� . �� — � �� ? �� .

�� ? �� , �� . �� , �� , �� , �� … �� . � �� -�� …

� �� FSMO � ��, ��. ��. �� , �� . �� ӣ ��, �� … � �� — PDC, BDC… �� , �� …

�� (�)
� �� , �� 2012-� �� PDC � BDC.

�� . �� — �� .

�� ?

� �� , � �� , �� .

�� (�)
�� : �� .

�� 15 — �� . ��, �� , � �� .

�� . ��, � LDAP �� 3268 �� 15 �� ? :)))
� �� — ��-�� , ��? �� «�� » � 2009-� �� …

�� , ��, �� . �� , �� 50. �� . �� (��) ��, �� — ��.

�� , �� — �� ӣ �� . � �� FSMO �� . �� -�� , ��, �� .

�� (�)
�� , �� 50. �� . �� (��) ��, �� — ��.

� �� ?
��, � �� ? :)))

�� 2000-�. �� ţ �� .
�, ��, �ӣ �� — � �� , �� , �� . ��. �� 50 �� . � ��, �� «��»…

* �� — �� , �� «�� » * :)))

�� (�)
�� 2000-�. �� ţ �� .

�� , �� , �� , �� .
�� , �� , �� , � �� , ��, ��, «� �� !» � �� , �� , �� : «�� » �� «��», �� .

�� , �� , � � �� .

�� , �� «�� »

�� — �� .

�� (�)
�� , ��

� �� — ��, �� ? �� …

��, �� , �� , �� — �� , � �� . �� , �� . �� , �� … � �� , �� . � �� , �� , �� . �� , �� .

�� , �ݣ �� , �� . �� . ��, � �� , �� … � �� , �� «��» �� …

�� (�)
� �� — ��, �� ?

�� , �� Sun Solaris �� Novell Netware — �� . �� Microsoft �� , � �� -�� .

�� .

�� , �� . �� «��» � �� «��» �� , � �� , �� -��-��-��, �� , � �� .

��, ��-�� , �� , �� .

�� , �ݣ �� , �� .

��, �� «�� 15 — �� » �� «�� » :)))

�.�. �� .

�� . �� «�� »? �� , �� , �� . �� , �� . � �� ?

�� . �� 4 ��, � �� AD. �� 2008 R2.�� . �� dcpromo �� , �� , � �� . �� set. � �� , �� logon server. � �� . �� , �� , �� : �� (��-�� )! �� !!!) �� . �� . �� HKLMSYSTEMCurrentControlSetServicesNetlogonParametersLdapSrvPriority ( technet.microsoft.com/library/cc957290?ppud=4 ) ��, �� , �� , �� , �� .��!

Avedis ��(�)
�� 4 ��, � �� AD. �� 2008 R2.�� . �� dcpromo �� , �� , � �� .

�� .
�� «�� » � �� 4 ��, �� ? �� , �� 4 �� , � �� ?

�� . �� , ��

�� 4 �� 100%

�� , �� DC �� winitpro.ru/index.php/2011/0…tility-ntdsutil
��

� �� :
��
�� ntdsutil, �� :
met cle
select operation target
select site 0
list servers in site

��
�� , �� select site <��>

� �� ? �� ?

��, �� …
�� FSMO �� — �� (�� , �� ).

� �� .

�� (�)
��, �� … <br> �� FSMO

��, � � �� , �� . �� ? �� Roles, � �� Metadata Cleanup. � �� TransferSeize, �� list � �� remove.
�� ?

��-�� ntdsutil.
� �� — �� , �� . �� ݣ � � �� , ��…
�� ݣ �� , �� . �� FSMO. � �� :)))

�� (�)
��-�� ntdsutil.

��-��! � � �� , �� ?
�� afraniy_super_nt_util , ��, ��?

�� .
�� , �� — �� . �� .

��, �� — �� , �� . � �� ?

��, � � ��, �� , �� ޣ� ��, �� . � �� … �� . �� ݣ �� , ��… �� , �� , �� -�� …

�� (�)
� �� ?

�� ?

�.�.> �� ntdsutil, �� :
Av>> � �� ?
��>>>�� FSMO

� �� , �� , �� . �� -�� , �� ?

� �� . �� :))

�� , �� , �� .

�� , �� . �� ?

�� 2008 R2.�� .

�� , �� , �ӣ �� )

�� AD � ��

Avedis ��(�)
�� , �� . �� ? …

��. �� :
�� , �� Credentials, �� , �� . �� -�� , ��-�� .

Avedis ��(�)
� �� , �� logon server. � �� . �� , �� , �� : �� (��-�� )! �� !!!) �� . �� .

�� ? Logon Server �� ? �� .
��, �� …
social.technet.microsoft.com…59d-cfc5aab822e

Avedis ��(�)
�� , �� , �� : �� (��-�� )!

��, �� . �� , ��.
�� .

1)�� nslookup
��
set type=srv
_kerberos._tcp.dc._msdcs.<�� >
_ldap._tcp.dc._msdcs.<�� >
�� ?
�� , �� — �� 2k8

2) �� DNS
�� , �� _msdcs � �� , � �� _ldap, _kerberos � ��. �� .

�� , �� ?

��! ��

�� nslookup � �� ?

��, �� ). �� .

�� nslookup, �� , �� ?

�� .
�� service location.
��, �� , �� , �� kerberos � �� . � �� , �� -�� — �� , �� .

�� service location �� 6 ��, �� , � �� , �� .

� �� LDAP � kerberos �� !

�� ?!

Источник

Домен входа по умолчанию в Windows — это доменное имя, которое используется по умолчанию при входе пользователя в систему. Т.е. если при входе пользователь просто вводит свой логин и пароль, это доменное имя подставляется автоматически. Имя домена по умолчанию отображается на экране входа, под полем для ввода пароля.

По умолчанию дефолтным доменом для компьютера назначается домен, членом которого данный компьютер является. Обычно изменять его не требуется, но в многодоменных средах бывают ситуации, когда пользователи входят в компьютеры, присоединенные к домену, отличному от своего. В этом случае для входа в систему пользователям необходимо вводить свое имя в формате ″доменимя пользователя″. Также бывает, что компьютер присоединен к домену, но пользователи работают под локальными учетными записями, используя формат ″.имя пользователя″.

Чтобы избежать лишних сложностей и упростить пользователям жизнь, имя домена входа по умолчанию можно изменить. Сделать это можно как редактированием реестра, так и с помощью групповых политик.

Изменение домена по умолчанию через реестр

Имя домена по умолчанию хранится в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon в параметре DefaultDomainName.

Для его изменения просто редактируем данный параметр и перезагружаем компьютер.

После перезагрузки имя домена буде изменено.

Данный способ безотказно работает на всех без исключения ОС Windows начиная с Windows XP.

Изменение домена по умолчанию с помощью групповых политик

Для изменения домена необходимо открыть редактор локальных (или доменных) политик, перейти в раздел Computer ConfigurationAdministrative SettingsSystemLogon,

перевести параметр ″Assign a default domain for logon″ в положение Enabled и указать имя домена входа по умолчанию.

Данная политика производит изменения в параметре реестра DefaultDomainName, находящемся в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem.

После перезагрузки дефолтный домен, отображающийся на странице входа, будет изменен так же, как и в предыдущем случае.

Источник

При входе на компьютер Windows в домене Active Directory пользователь может увидеть следующее сообщение:

There are currently no logon servers available to service the logon request

Отсутствуют серверы, которые могли бы обрабатывать запрос на вход в сеть

Это сообщение говорит о том, что с компьютера не доступен ни один контроллер домена AD (logonserver), на котором можно выполнить аутентификацию пользователя.

Проблема может связана как с самим клиентом Windows, или с более глобальной проблемой с работоспособностью контроллеров домена и Active Directory.

Рассмотрим типовые причины, из-за которых может возникнуть такая ошибка и как их исправить.

Проверьте, что ваш компьютер подключен к компьютерной сети. Отключите и подключите сетевой кабель (если используется Ethernet) или перезагрузите вашу точку доступа Wi-Fi;
Попробуйте войти под локальным администратором на компьютер. Это может быть как встроенная учетная запись administrator, так и дополнительный администратор, созданный вручную или с помощью Microsoft LAPS. Если вы не знаете пароль локального администратора, его можно сбросить.
Также можно попробовать войти на компьютер, под доменной учетной записью пользователя, который логинился на этот компьютер ранее. Windows по умолчанию сохраняет в локальный кэш компьютера учетные данные последних 10 пользователей (cached credentials). Это настраивается с помощью параметра групповых политик Interactive logon: Number of previous logons to cache (in case domain controller is not available в разделе Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Количество пользователей, учетные данные которых кэшируются на компьютере можно получить из реестра с помощью PowerShell: (
Get-ItemProperty "HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon").CachedLogonsCount

Если значение этого параметра 0, значит доменный пользователь не сможет войти на компьютер, если контроллеры домена не доступны или компьютер не подключен к корпоративной сети.
Проверьте, что Windows видит сетевые адаптеры;
Проверьте, что ваш компьютер получил корректный IP адрес от вашего DHCP сервера с помощью команды
ipconfig /all
или с помощью PowerShell:
Get-NetIPConfiguration
. Сбросьте настройки сети с помощью команд:
netsh winsock reset
netsh int ip reset
Если DHCP сервер не доступен, компьютер получит IP адрес формата
169.254.x.x
. Обновите IP адрес
ipconfig /release & ipconfig /renew
. Если компьютер не получит IP адрес, нужно попробовать указать IP адрес и DNS сервера вручную;
Проверьте, что на компьютере запущены службы DNS client, DHCP client и netlogon. Перезапустите службы с помощью PowerShell:
get-service Dhcp, Dnscache, Netlogon | restart-service
Проверьте, доступны ли DNS сервера, указанные в настройках вашего сетевого адаптера с помощью команды
nslookup
->
your_domain_name
. Проверьте, что вам отвечает корректный DNS сервер. Если DNS сервера не доступны, проверьте с помощью утилиты portquery, что доступ к ним не блокируется файерволом по порту 53 UDP:
PortQry.exe –n your_dns_server -p both -e 53

Проверьте, нет ли статических DNS записей для вашего домена в файле hosts:
Get-Content $env:SystemRootSystem32Driversetchosts
. Удалите лишние записи из файла.
Выполните трассировку маршрута до вашего DNS сервера:
tracert your_dns_server
Попробуйте выполнить поиск контроллера домена в DNS:
nltest /dnsgetdc:winitpro.ru
. Проверьте что клиент может найти контроллер домена с помощью поиска:
nltest /dsgetdc:winitpro.ru
Попробуйте вручную переключить Windows на использование другого контроллера домена AD:
nltest /SC_RESET:WINITPROMSK-DC02.winitpro.ru

Если проблема с недоступностью DC возникает у множества пользователей, нужно проверить контроллеры домена и состояние AD.

Проверьте здоровье контроллеров домена и репликации AD;
Проверьте службу W32Time(NTP) и время на DC и на клиентах. Оно не должно отличаться более чем на 5 минут;
Проверьте, что политики Windows Defender Firewall на контроллерах домена не блокируют входящий трафик от клиентов;
Проверьте, что на контроллере домена запущена служба netlogon и опубликованы административные сетевые каталоги SYSVOL и NETLOGON:
net share
(могут быть проблемы с sysvol и netlogon при восстановлении Active Directory из бэкапа);
Если вы недавно удаляли контроллер домена, проверьте что он был удален корректно;
Проверьте наличие SRV записей для контроллеров домена AD в DNS (https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/verify-srv-dns-records-have-been-created). Если записи DC были удалены, это вызовет проблемы с поиском контроллера домена клиентами и установкой защищенного канала;

В этой статье я постарался собрать типовые шаги при диагностике ошибки с недоступностью логон серверов Windows.

Источник

Question

Answers

Question

Answers

Question

Answers

Изменение домена по умолчанию через реестр

Изменение домена по умолчанию с помощью групповых политик