- Remove From My Forums
-
Question
-
Hello
Please move if in wrong forum
I have a Server 2012 r2 that I need to change logon servers.
From the server I type echo %logonserver% and get DC02. I want to change the logon server to DC04.History: I have a Domain Controller DC01, and two BDC DC02 and DC04. DC02 died, can’t remove it from the domain, worked with Microsoft, no luck but it is demoted and not a DC, started having problems with a server and discovered it had
a logon server as this demoted DC DC02Is it better to run a command line? Better to change remove from the domain into a workgroup then add back into domain?
Should I delete DHCP and DNS when changing logon servers?Thanks
B~
Thank you Bruce
Answers
-
Hello
I spent two day with Microsoft and different tools and processes for metadata clean up, all failed, so this is a dead server. It is currently as a BDC without a GC, but will not promote back to a DC or DC demote. All Server Manager features are
greyed out.The history is the previous admin deleted this from AD and tried to put it back in without dcpromo or ntdsutil or any powershell script. Again, I spent days with Microsoft and nothing worked.
I might be at starting over with Server 2016 or server 2019.
Thanks to all, great suggestions.
B~
Thank you Bruce
-
Marked as answer by
Saturday, November 16, 2019 10:22 PM
-
Marked as answer by
- Remove From My Forums
-
Question
-
Hello
Please move if in wrong forum
I have a Server 2012 r2 that I need to change logon servers.
From the server I type echo %logonserver% and get DC02. I want to change the logon server to DC04.History: I have a Domain Controller DC01, and two BDC DC02 and DC04. DC02 died, can’t remove it from the domain, worked with Microsoft, no luck but it is demoted and not a DC, started having problems with a server and discovered it had
a logon server as this demoted DC DC02Is it better to run a command line? Better to change remove from the domain into a workgroup then add back into domain?
Should I delete DHCP and DNS when changing logon servers?Thanks
B~
Thank you Bruce
Answers
-
Hello
I spent two day with Microsoft and different tools and processes for metadata clean up, all failed, so this is a dead server. It is currently as a BDC without a GC, but will not promote back to a DC or DC demote. All Server Manager features are
greyed out.The history is the previous admin deleted this from AD and tried to put it back in without dcpromo or ntdsutil or any powershell script. Again, I spent days with Microsoft and nothing worked.
I might be at starting over with Server 2016 or server 2019.
Thanks to all, great suggestions.
B~
Thank you Bruce
-
Marked as answer by
Saturday, November 16, 2019 10:22 PM
-
Marked as answer by
- Remove From My Forums
-
Question
-
Hello
Please move if in wrong forum
I have a Server 2012 r2 that I need to change logon servers.
From the server I type echo %logonserver% and get DC02. I want to change the logon server to DC04.History: I have a Domain Controller DC01, and two BDC DC02 and DC04. DC02 died, can’t remove it from the domain, worked with Microsoft, no luck but it is demoted and not a DC, started having problems with a server and discovered it had
a logon server as this demoted DC DC02Is it better to run a command line? Better to change remove from the domain into a workgroup then add back into domain?
Should I delete DHCP and DNS when changing logon servers?Thanks
B~
Thank you Bruce
Answers
-
Hello
I spent two day with Microsoft and different tools and processes for metadata clean up, all failed, so this is a dead server. It is currently as a BDC without a GC, but will not promote back to a DC or DC demote. All Server Manager features are
greyed out.The history is the previous admin deleted this from AD and tried to put it back in without dcpromo or ntdsutil or any powershell script. Again, I spent days with Microsoft and nothing worked.
I might be at starting over with Server 2016 or server 2019.
Thanks to all, great suggestions.
B~
Thank you Bruce
-
Marked as answer by
Saturday, November 16, 2019 10:22 PM
-
Marked as answer by
В некоторых случаях вам нужно определить на каком контроллере домена вы аутентифицированы (ваш logonserver). Это может пригодиться при проблемах с применением групповых политик, когда пользователи жалуются на медленный вход в систему. Пользователь может аутентифицироваться на неверном контроллере домена из-за того, что ближайший к нему DC не доступен, доступ к нему блокируется межсетевым экраном, неверной настройки подсетей и сайтов в Active Directory или проблемами с DNS. В результате пользователь может получать все GPO, скрипты, и т.д., не с ближайшего контроллера домена, а с любого другого DC. Это может привести к долгому применению GPO, медленной установке программ, медленной загрузки перемещаемых профилей или файлов в перенаправленных папках.
Содержание:
- Как узнать на каком контроллере домена вы залогинены?
- Как Windows определяет ближайший контроллер домена?
Как узнать на каком контроллере домена вы залогинены?
Вы можете узнать контроллер домена, через который вы выполнили вход в домен несколькими способами:
Если вы вошли на компьютер под локальной учетной записью, то вместо имени контроллера домена в переменной LogonServer будет указано имя вашего компьютера.
Зная контроллер домена, можно различную информацию о пользователя из журналов безопасности DC (например, историю входов пользователя в домен и другие логи).
Можно автоматически записывать информацию, на каком контроллере домена авторизовался пользователь в описание компьютера в AD. Так можно узнать LogonServer для конкретного компьютера из AD, не обращаясь к конкретному компьютеру по сети или локально.
Как Windows определяет ближайший контроллер домена?
За определение LogonServer при загрузке Windows отвечает служба NetLogon. Она должны быть запущена:
get-service netlogon
Упрощенно процесс поиска контроллера домена клиентом Windows выглядит так:
- При загрузке Windows служба NetLogon делает DNS запрос за списком контроллеров домена (SVR записи
_ldap._tcp.dc._msdcs.domain_
; - DNS возвращает список DC в домене;
- Клиент делает LDAP запрос к DC для определения сайта AD по-своему IP адресу;
- DC возвращает сайт, которому соответствует IP клиента или наиболее близкий сайт (эта информация кэшируется в ветке реестра
HKLMSystemCurrentControlSetServicesNetlogonParameters
и используется при следующем входе для более быстрого поиска); - Клиент через DNS запрашивает список контроллеров домена в сайте (в разделе _
tcp.sitename._sites...
);
- Windows пытается связаться со всеми DC в сайте и первый ответивший используется для выполнении аутентификации и в качестве LogonServer.
Вы можете переключить ваш компьютер на другой контроллер домена AD вручную с помощью команды:
nltest /SC_RESET:WINITPROMSK-DC02.winitpro.ru
Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \MSK-DC02.winitpro.ru Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully
Если указанный DC не доступен, появится ошибка:
I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
Если ни один из контроллеров домена не доступен, или компьютер отключен от сети, то при входе пользователя появится надпись:
There are currently no logon servers available to service the logon request.
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Войти на такой компьютер можно только под сохраненными учетными данными доменного пользователя.
Найти ближайший к вам контроллер домена согласно иерархии сайтов, подсетей и весов можно с помощью командлета Get-ADDomainController из модуля Active Directory для PowerShell:
Get-ADDomainController -Discover -NextClosestSite
Так вы сможете определить имя контроллера домена, через который должен аутентифицироваться компьютер. Если он отличается от текущего, нужно понять почему.
change logon
Включает или отключает вход из сеансов клиента или отображает текущее состояние входа. Эта служебная программа полезна для обслуживания системы. Чтобы выполнить эту команду, необходимо быть администратором.
чтобы узнать о новых возможностях последней версии, см. статью новые возможности службы удаленных рабочих столов в Windows Server.
Синтаксис
Параметры
| Параметр | Описание |
|---|---|
| /Query | Отображает текущее состояние входа в систему независимо от того, включено или отключено. |
| разрешение | Включает вход из сеансов клиента, но не из консоли. |
| /Disable | Отключает Последующие входы в систему из клиентских сеансов, но не из консоли. Не влияет на пользователей, выполнивших вход в систему. |
| /драин | Отключает вход из новых клиентских сеансов, но разрешает повторное подключение к существующим сеансам. |
| /драинунтилрестарт | Отключает вход из новых клиентских сеансов, пока компьютер не будет перезагружен, но допускает повторное подключение к существующим сеансам. |
| /? | Отображение справки в командной строке. |
Комментарии
При перезагрузке системы снова включаются входы в систему.
Если вы подключаетесь к серверу узла сеансов удаленный рабочий стол из сеанса клиента, а затем отключаете входы и выходы из системы перед повторным включением входов в систему, вы не сможете повторно подключиться к сеансу. Чтобы повторно включить вход из сеансов клиента, войдите в систему в консоли.
1 win2003 — dc1,
2 win2008r2 std — dc2,
3 win2008 ent — dc3 — виртуальный
уровень домена 2003
все роли fsmo переданы на 1 win2003 — dc1
кроме роли глобального каталога — роль GC у dc2 и у dc3
все пользователи используют dc3 в качестве logonserver
и нет возможности заставить пользователей логинится на других контроллерах домена
всегда logonserver=dc3
что только не пробовали:
1 выключали dc3 на ночь
2 делали новый сайт для подсети,где находятся все компьютера, помещали туда dc1 и dc2
3 меняли приоритет HKLMSYSTEMCurrentControlSetServicesNetlogonParametersLdapSrvPriority (http://technet.microsoft.com/library/cc957290?ppud=4)
ответ один, нет сервера способного обработать запрос на вход, если сервер dc3 выключен, в пртивном случае — все логинятся на нем
при запуске dcpromo на dc3 выдается сообщение, что сервер не видит другие серверы глобального каталога. Хотя все реплицируется с него не другие контроллеры и наоборот.
пробовал менять приоритет через реестр на контроллерах как написал LdapSrvPriority
попробую как ты говоришь
не очень разобрался вначале где менять, поменял везде — но не прореплицировалось это изменение, хотя может не дождался
Проблемы с переменной %logonserver%
При регистрации пользователя в системе служба регистрации создает несколько временных переменных среды. Эти переменные удаляются по завершению процесса регистрации, когда выгружается операционная среда пользователя.
Одной из переменных является %logonserver%, указывающая контроллер домена, проверявший действительность регистрационной информации. Эта переменная может оказаться полезной в регистрационных сценариях и в других задачах, выполняемых после регистрации.
В Windows переменная %logonserver% после регистрации удаляется. Для просмотра содержимого переменной воспользуйтесь следующей командой:
echo %logonserver%
\LOHANIK
Если переменная %logonserver% понадобится после регистрации пользователей в системе, можно воспользоваться утилитой Setx из пакета Resource Kit для ручной записи значения переменной %logonserver% в другую переменную среды. Введите следующую команду: