Блог

14.09.2009 22:29:54 Упала Active Directory. Поднимаем., Snake

Если тебя на эту статью завел поисковик, надеюсь я смогу тебе помочь, возможно у тебя такая же поломка как была недавно в моей практике.
На днях накрылся контроллер домена, на восстановление было потрачено около 24 часов, реальное решение проблемы заняло всего 5 минут.
Вот здесь http://www.itcommunity.ru/blogs/_asltechnet/archive/2008/08/27/21657.aspx описаны точно такие же симптомы и один из вариантов решения (переустановка поверх). Статью цитировать не буду, поисковики решения не дали, решено путем мучительных проб и ошибок.
Симптомы: консоли Active Directory пользователи и компьютеры, сайты и службы и т.д. не открывается, с чудовищной фразой "Не удалось найти информацию по именам по следующей причине: Сервер неработоспособен."
DDcdiag выдает следующее:
LDAP search failed with error 58,
Указанный сервер не может выполнить требуемую операцию..
An error cocured during DNS host lookup

В службах:

Тип события: Предупреждение
Источник события: DNS
Категория события: Отсутствует
Код события: 4013
Дата: 06.09.2009
Время: 22:29:45
Пользователь: Н/Д
Компьютер: SERVER
Описание:
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для использования информации службы каталогов и не может работать без доступа к данному каталогу. Для запуска DNS-cервера необходимо дождаться доступа к каталогу. Если DNS-сервер был запущен, а соответствующее событие не отражено в журнале, это означает, что он все еще ждет получения доступа к данному каталогу, чтобы начать работу.

Тип события: Предупреждение
Источник события: NTDS Inter-site Messaging
Категория события: Служба межсайтовых сообщений
Код события: 1473
Дата: 06.09.2009
Время: 21:51:05
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Службе межсайтовых сообщений не удается прочитать объекты межсайтового транспорта из Active Directory.

В результате служба межсайтовых сообщений остановлена. Вычисление межсайтовой топологии в ходе проверки согласованности знаний невозможно без этой службы.

Действие пользователя
Проверьте правильность функционирования запросов LDAP на этом компьютере.

Перезапустите службу межсайтовых сообщений, чтобы возобновить связь между сайтами.

Дополнительные данные
Значение ошибки:
58 Указанный сервер не может выполнить требуемую операцию.

Тип события: Ошибка
Источник события: NTDS General
Категория события: Глобальный каталог
Код события: 1126
Дата: 06.09.2009
Время: 22:16:45
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER
Описание:
Active Directory не удается подключиться к глобальному каталогу.

Дополнительные данные
Значение ошибки:
1792 Попытка входа в сеть при отключенной сетевой службе входа.
Внутренний ID:
3200cf3

Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.

Еще userenv с ошибкой 1053, и много других.

при попытке запуска Intersite Messaging:

Не удалось запустить службу Служба Intersite Messaging на Локальный компьютер.
Ошибка 58: Указанный сервер не может выполнить требуемую операцию.

Ну и все в том же духе. Причем DNS-сервер вроде работает но как-то очень плохо и странно, стоит вроде живой BDC, все настройки правильные, через nslookup определяет ip и имена компьютеров, но пинги не идут, netbios работает. Команды netdiag /fix, dcdiag /fix, winsock reset, netsh int ip reset не помогают.
Из всего этого прорисовывается, что контроллер домена не видит через DNS себя, следовательно не может загрузить AD (причем независимо, DNS хранится в AD или нет). Причина в накрывшихся соксах. Обычным ресетом соксов решить вопрос не удалось, решено следующим образом:
1. Найти работающий аналогичный сервер (не обязательно из того же домена/леса).
2. Экспортировать с живой машины разделы HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock и Winsock2
3. На проблемном сервере грохнуть соответствующие разделы и импортировать подготовленные из п.2.
4. Перезагрузиться.
5. Контроллер домена как новый.
Вот такая зараза мелочь, а создает стока траблов. Если нет под рукой целого сервера, как вариант мгожно попробовать удалить сетевое подключение и создать новое. Вроде соксы должны пересоздаться.
Вообще, как кто-то верно подметил, 90% проблем Active Directory это DNS. Ну вот еще оказывается могут и сетевые фишки барахлить. Удачи!