DNS: DNS-зона _msdcs.nash-domen.local интегрирована в Active Directory и должна быть доступна.

ОШИБКА (при вроверке роли DNS-сервера):
Название:
DNS: DNS-зона _msdcs.nash-domen.local интегрирована в Active Directory и должна быть доступна.

Серьезность:
Ошибка

Дата:
27.09.2012 15:39:18

Категория:
Настройка

Проблема:
Не удалось найти DNS-зону _msdcs.nash-domen.local, интегрированную в Active Directory.

Воздействие:
DNS-запросы зоны _msdcs.nash-domen.local, интегрированной в Active Directory, могут завершаться ошибками.

Разрешение:
Восстановите DNS-зону _msdcs.nash-domen.local, интегрированную в Active Directory.

Дополнительные сведения об этой рекомендации и подробные процедуры: http://go.microsoft.com/fwlink/?LinkId=189238



РЕШЕНИЕ:
Создаем в зоне прямого просмотра требуемую зону _msdcs.nash-domen.local. Область репликации указываем "Для всех DNS-серверов, работающих на контроллерах домена в этом ЛЕСУ:".
И перезапускаем службу DNS.

Настройка NTP сервера в домене Microsoft

Автор: Игорь Тепляков

Оригинал: http://teplyakov.net/2012/03/ntp_conf/

Описание

Синхронизация времени – это важный и, зачастую, критичный аспект работы всех компьютерных систем в сети. Корректное функционирование службы времени Windowsявляется одним из факторов для нормального функционирования Active Directory. Так же правильное время на компьютерах играет важную роль для пользователей и работы различных программ.

По умолчанию члены домена синхронизируют время с контроллером домена (DC), на котором они авторизовались. Все DC запрашивают актуальное время на DC с ролью FSMO«Эмулятор PDC». Эмулятор PDC, в свою очередь, синхронизируется с внешним источником времени. Внешним источником как правило выступает один или несколько NTP-серверов.
Если ваш эмулятор PDC располагается в виртуальной среде, обязательно отключите синхронизацию времени между хостовой и виртуальной машинами (по умолчанию включена). В противном случае, время виртуальной машины будет принудительно синхронизироваться с временем хостовой машины.
Связь с источником осуществляется по протоколу NTP : 123 порт UDP - для корректной работы входящие и исходящие подключения по этому порту должны быть разрешены.

Инструмент

Настройку я рекомендую выполнить используя утилиту командой строки w32tm(существуют и другие способы настройки службы времени). Основные параметры утилиты, которые используются для управления временем:

• w32tm /query — позволяет опросить текущие настройки клиента и сервера NTP
• w32tm /config — используется для настройки службы времени
• w32tm /resync — используется для инициализации синхронизации времени
• w32tm /dumpreg — используется для отображения текущих параметров реестра связанных с службой времени
• w32tm /debug — используется для включения журнала отладки службы времени

Настройка

Настройка синхронизации времени в домене на контроллере домена под управлениемWindows Server 2008 R2 с ролью FSMO «Эмулятор PDC»:

w32tm /query /configuration — смотрим текущие параметры службы времени
w32tm /config /syncfromflags:manual — выбираем источник (заданный нами список) для синхронизации времени

• MANUAL — синхронизация с узлами из заданного вручную списка
• DOMHIER — синхронизация с контроллером домена в доменной структуре
• NO — не синхронизировать
• ALL — синхронизация как с узлами, заданными вручную, так и с узлами домена

w32tm /config /manualpeerlist:"0.ru.pool.ntp.org 1.ru.pool.ntp.org"- устанавливаем заданный вручную список узлов для синхронизации. Узлы представляют собой DNS-имена или IP-адреса, разделённые пробелами. При указании нескольких узлов, все значения узлов заключаются в кавычки.

w32tm /config /reliable:yes — задаем параметр, что данная машина является надёжным источником времени и может обслуживать клиентов

w32tm /config /update — информируем службу времени, что были внесены изменения (можно перезапустить службу)

w32tm /query /configuration — проверяем внесенные изменения в параметры службы

w32tm /resync — выполняем синхронизацию (можно поиграться, менять время и проверять, будет ли выполнена синхронизация)

net stop w32time & net start w32time — по личным убеждениям я выполняю перезапуск службы w32time

Для синхронизации я использовал серверы времени проекта NTP POOL PROJECT. Можно использовать другие удобные вам - список узлов для синхронизации времени наhttp://ntp.org.
Основной сервер времени в домене настроен, другие серверы и клиентов рекомендую настроить используя групповые политики.

Центр распространения ключей (KDC) не может найти подходящего сертификата для использования

ОШИБКА:

Регистрировать имя: система
Источник: Microsoft-Windows-Kerberos-Key-Distribution-Center
Дата: 13/10/2008 1: 56: 30 PM
КОД события: 29
Категории задач: нет
Уровень: предупреждение
Ключевые слова: классический
Пользователь: N/A
Компьютера: имя

Описание:
Центр распространения ключей (KDC) не может найти подходящего сертификата для использования не удалось проверить входа смарт-карты или сертификата KDC. Смарт-карты входа работать правильно, если проблема не устранена. Чтобы исправить это проблемы, либо проверить существующие KDC сертификат с помощью программы certutil.exe или подать для нового сертификата KDC.

РЕШЕНИЕ:
Добавить роль "Службы сертификации Active Directory" с настройками по-умолчанию и, соответственно, при этом создать сертификат.


Дополнительно:
Оригинал решения проблемы (я рассмотрел только вариант с отсутствием самой роли, там есть и другие варианты) - http://support.microsoft.com/kb/967623

Удаление сертификата контроллера домена, который уже не действует - http://technet.microsoft.com/en-us/library/cc734096(WS.10).aspx

Службе WinRM не удалось создать следующие имена участников-служб

ОШИБКА:

Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/dc0.domain.local, WSMAN/dc0.

Дополнительные данные
Была получена ошибка "8344": %%8344.

Действия пользователя
Имена участников-служб можно создать под учетной записью администратора с помощью служебной программы setspn.exe.

РЕШЕНИЕ:

1. открыть ADSIEDIT.msc
2. подключился к контроллеру по умолчанию
3. открыть объект DC=DOMAIN, DC=local
4. войти в OU=Domain Controllers
5. в свойствах для каждого контролдлера сделать следующее: на вкладке безопаснось и дополнительные настройки добавить группу NETWORK SERVICE и дать ей права "Удостоверенная запись на узел с именем участника службы".

Редактирование настроек DCOM в Windows 2008 R2

Для редактирования настроек DCOM для конкретного компонента в Windows 2008 R2 заходим сначала в реестр в ветку HKEY_CLASSES_ROOT\AppID\ и ищем там требуемый нам AppID. Выставляем в "разрешениях" владельцем группу "Администраторы" и соответственно группе "Администраторы" даем "Полный доступ".

Например:

Довольно популярная ошибка "Код события 10016" связанная с "NAP Agent Service", решением которой является изменение разрешений в оснастке "Службы компонентов" - группе "система" нужно выставить разрешение на "Локальный запуск".

Соответственно для данной манипуляции нам предварительно надо зайти в реестре в ветку "HKEY_CLASSES_ROOT\AppID\{B292921D-AF50-400c-9B75-0C57A7F29BA1}" и выполнить действия описанныев начале статьи.