event id 5719
Здравствуйте коллеги, есть доменная сеть организации состоящая из 1 леса active directory (назовем ее для понимания CORP1). Локальная сеть соединена с сетью другой (не через инет), территориально рядом расположенной организации, которая в свою очередь тоже состоит из домена ad и леса (CORP2). Раньше оба домена функционировали на 2003 уровне и все это хозяйство администрировалось одними людьми между доменами были настроены доверительные отношения. Теперь сети разграничили, и админятся разными ит отделами и похоже доверительные отношения «упали». На контроллере домена CORP1 периодически бегает ошибка с event id 5719:
Компьютер не может установить безопасный сеанс связи с контроллером домена CORP2 по следующей причине: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.
Доверительные отношения сейчас снова стали нужны. Есть подозрения что проблема на сетевом уровне т.к. домены не пингуются между собой. Какие порты нужно открыть, что бы все заработало?
Восстановление доверительных отношений в домене
Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:
- После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
- Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
- Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.
Основные признаки возможных неполадок учетной записи компьютера:
- Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
- Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
- Учетная запись компьютера в Active Directory отсутствует.
Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.
Поэтому необходимо сделать так :
Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.
Чтобы перезагрузка после сброса безопасного канала не требовалось, нужно использовать либо команду Netdom, либо Nltest.
C помощью учетной записи, относящейся к локальной группе «Администраторы»:
netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo
Компьютер не может установить безопасный сеанс связи с контроллером домена код 5719
Добрый день! Стоит сервер 2003, который является сервером баз данных в домене. Перестал пинговать как компьютеры в домене по dns-имени, пропал инет, при этом по ip-адресу пинг идет, сеть тоже видит. Но в домен обратно завести нельзя (поддержка сети не установлена или не настроена должным образом). Переустанавливал TCP/IP-протокол, фиксил Winsock ничего не помогает. Проверял программами на вирусы, тоже чисто.:(
Ты не сказал ничего конкретного.
Что есть в списке в св-вах сетевого интерфейса? Протокол TCP/IP, клиент для сетей MS и т.п.
Далее, что в ipconfig /all
Что в netdiag?
Что в nslookup?
Что в tracert?
Что в эвентах?
1.Свойства сетевого интерфейса: клиент для сети Microsoft, балансировка сетевого интерфейса, служба доступа к файлам и принтерам, протокол TCP/IP (IP-адрес, адреса DNS-серверов, WINS-серверов назначены вручную). NETBioS — включенMicrosoft
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : sqlrko
Основной DNS-суффикс . . . . . . : udp.org
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : udp.org
Подключение по локальной сети — Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82559 Fast Ethernet сетевой
адаптер интегрированный на материнской плате
Физический адрес. . . . . . . . . : 00-30-48-22-79-73
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.16.12.5
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 172.16.11.11
DNS-серверы . . . . . . . . . . . : 172.16.12.1
172.16.12.2
Основной WINS-сервер . . . . . . : 172.16.12.1
Дополнительный WINS-сервер. . . . : 172.16.12.2
3.При использовании команды tracert вот такая лажа:
C:Documents and SettingsАдминистратор>tracert ya.ru
Не удается разрешить системное имя узла ya.ru.
4.Команда netdiag выдает следующее:
C:Documents and SettingsАдминистратор>netdiag /d:DC1
Computer Name: SQLRKO
DNS Host Name: sqlrko.udp.org
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 6 Model 11 Stepping 1, GenuineIntel
List of installed hotfixes :
Q147222
Netcard queries test . . . . . . . : Passed
GetStats failed for ‘╧Ё ьющ ярЁрыыхы№э√щ яюЁЄ’. ERROR_NOT_SUPPORTED
WARNING The net card ‘╠шэшяюЁЄ WAN (PPTP)’ may not be working because it
as not received any packets.
WARNING The net card ‘╠шэшяюЁЄ WAN (PPPoE)’ may not be working because it
has not received any packets.
WARNING The net card ‘╠шэшяюЁЄ WAN (IP)’ may not be working because it ha
not received any packets.
GetStats failed for ‘╠шэшяюЁЄ WAN (L2TP)’. ERROR_NOT_SUPPORTED
Per interface results:
Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : sqlrko
IP Address . . . . . . . . : 172.16.12.5
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . : 172.16.11.11
Primary WINS Server. . . . : 172.16.12.1
Secondary WINS Server. . . : 172.16.12.2
Dns Servers. . . . . . . . : 172.16.12.1
172.16.12.2
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Passed
NetBT name test. . . . . . : Passed
WARNING At least one of the ‘WorkStation Service’, ‘Messeng
r Service’, ‘WINS’ names is missing.
WINS service test. . . . . : Passed
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_
1 NetBt transport currently configured.
Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
WARNING You don’t have a single interface with the ‘WorkStation Serv
ce’, ‘Messenger Service’, ‘WINS’ names defined.
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
Redir and Browser test . . . . . . : Failed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_
The redir is bound to 1 NetBt transport.
List of NetBt transports currently bound to the browser
NetBT_Tcpip_
The browser is bound to 1 NetBt transport.
FATAL Cannot send mailslot message to ‘\DC1*MAILSLOTNETNETLOGON’ via
edir. ERROR_BAD_NETPATH
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Failed
‘DC1’: Cannot find DC to get DC list from test skipped.
‘UDP’: No DCs are up.
Trust relationship test. . . . . . : Failed
‘UDP’: No DCs are up (Cannot run test).
FATAL Secure channel to domain ‘UDP’ is broken. ERROR_NO_LOGON_SERVERS
Kerberos test. . . . . . . . . . . : Skipped
LDAP test. . . . . . . . . . . . . : Failed
Cannot find DC to run LDAP tests on. The error occurred was: ╙ърчрээ√щ фюьх
эх ёє∙хёЄтєхЄ шыш ъ эхьє эхтючьюцэю яюфъы■ўшЄ№ё .
This computer cannot be joined to the DC1 domain because of one of the
following reasons.
1. The DNS SRV record for DC1 is not registered in DNS; or
2. A zone from the following list of DNS zones does not include delegation
to its child zone.
Such zones can include _ldap._tcp.dc._msdcs.DC1, and root zone.
Ask your network/DNS administrator to perform the following actions: To
find out why the SRV record for DC1 is not registered in the DNS,
run the dcdiag command prompt tool with the command RegisterInDNS on the
domain controller that did not perform the registration.
WARNING Cannot find DC in domain ‘DC1’. ERROR_NO_SUCH_DOMAIN
WARNING Failed to query SPN registration on DC ‘dc2.udp.org’.
WARNING Failed to query SPN registration on DC ‘dc1.udp.org’.
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
Note: run «netsh ipsec dynamic show /?» for more detailed information
The command completed successfully
5.Команда nslookup
C:Documents and SettingsАдминистратор>nslookup dc1
Server: dc1.udp.org
Address: 172.16.12.1
Name: dc1.udp.org
Address: 172.16.12.1
C:Documents and SettingsАдминистратор>nslookup ya.ru
Server: dc1.udp.org
Address: 172.16.12.1
Non-authoritative answer:
Name: ya.ru
Addresses: 87.250.250.3, 87.250.250.203, 87.250.251.3, 93.158.134.3
93.158.134.203, 213.180.193.3, 213.180.204.3, 77.88.21.3
Проверку работоспособности DNS-сервера проходит
6.В событиях ничего особенного, периодически вываливается ошибка с кодом 5719:
Компьютер не может установить безопасный сеанс связи с контроллером домена UDP по следующей причине:
Сервер RPC недоступен.
Также падают перманентно службы, причем разные как сервера SQL, так и такие Сервер, Обозреватель компьютеров и т.д.
1. перезапустите службы на dc1 netlogon, dns
2. Проверьте SRV записи в DNS на DC.
3. Проверьте на зверей sql сервер, раз периодически падают службы, они могли там поселиться.
Тебя не смущает, что нет связи с контроллером домена? Как правило, днсом настраивают его, а уже на нём организуют пересылку на провайдерские днс-сервера.
Компьютер не может установить безопасный сеанс связи с контроллером домена код 5719
Сообщения: 11
Благодарности: 0
Добрый день!
Раз в сутки начинает глючить интернет. Страницы грузятся через раз, в браузере появляется сообщение
http://s017.radikal.ru/i414/1411/a2/06c57e25fa30.jpg
На сервере с TMG в логах системы все начинается с появления ошибки:
Компьютер не может установить безопасный сеанс связи с контроллером домена GROUP по следующей причине:
Сервер RPC недоступен.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.
Все это происходит примерно в один период времени первый день:
Microsoft Forefront TMG Web Proxy
14198 — в 11-50
Ошибка фильтра веб-прокси при создании сетевого сокета из-за отсутствия доступных портов на компьютере. Forefront TMG уже установил максимальное количество портов равным 65535. Убедитесь, что это значение установлено в ключе HKLMSystemCurrentControlSetServicesTcpIpParametersMaxUsePort, и перезагрузите компьютер для вступления изменений в силу.
NETLOGON 5719 в 12-00
Microsoft Forefront TMG Web Proxy
31524 в 12-03
При попытке подключиться к серверу Microsoft Reputation Service произошла ошибка. Если этот сервер Forefront TMG соединен с вышестоящим сервером, убедитесь, что для веб-прокси WinHTTP задано значение «localhost». Если эта ошибка повторится, проверьте подключение к Интернету.
2й- Microsoft Forefront TMG Web Proxy в 11:55
14198
Ошибка фильтра веб-прокси при создании сетевого сокета из-за отсутствия доступных портов на компьютере. Forefront TMG уже установил максимальное количество портов равным 65535. Убедитесь, что это значение установлено в ключе HKLMSystemCurrentControlSetServicesTcpIpParametersMaxUsePort, и перезагрузите компьютер для вступления изменений в силу.
Microsoft Forefront TMG Web Proxy в 11:59
При попытке подключиться к серверу Microsoft Reputation Service произошла ошибка. Если этот сервер Forefront TMG соединен с вышестоящим сервером, убедитесь, что для веб-прокси WinHTTP задано значение «localhost». Если эта ошибка повторится, проверьте подключение к Интернету.
NETLOGON 5719 в 12:06
Schannel 36888 в 12:17
GroupPolicy 1058 — 12:18
3й- NETLOGON 5719 в 12:29
Microsoft Forefront TMG Web Proxy 31524 — 12:36
4-й — Microsoft Forefront TMG Web Proxy 14198 в 12:11
Ошибка фильтра веб-прокси при создании сетевого сокета из-за отсутствия доступных портов на компьютере. Forefront TMG уже установил максимальное количество портов равным 65535. Убедитесь, что это значение установлено в ключе HKLMSystemCurrentControlSetServicesTcpIpParametersMaxUsePort, и перезагрузите компьютер для вступления изменений в силу.
Schannel 36888 — 12:15
Microsoft Forefront TMG Web Proxy 31524 в 12:16
NETLOGON 5719 в 12:16
Делаю rpcping до домена, проходит тоже через раз, когда не проходит пишет следующий ответ:
http://s004.radikal.ru/i205/1411/c5/ab8ed6698d2c.jpg
В TMG выдает ошибку синхронизации:
http://s61.radikal.ru/i171/1411/f0/70bd9b7ee62a.jpg
но через 2-3 минуты все синхронизируется, но инет так же глючит
При попытке сохранить какие либо изменения в TMG выпадает ошибка:
http://s019.radikal.ru/i632/1411/7d/a9267ffa0f92.jpg
Если пару раз нажать «Продолжить», то сохраняет.
Помогает только перезагрузка, после нее все работает нормально никаких ошибко нет и интернет не глючит, но все это примерно на сутки , потом ситуация повтоярется
Может быть кто-нибудь знает , как это исправить?
Пропадают доверия между доменами
После долгого поиска по интернету решил написать сюда.
Вообщем ситуация такая:
Есть главный офис (к примеру office.contora.com) и есть доп офисы (к примеру dop_office.contora.com).
На контроллере в главном офисе сыпятся ошибки (NETLOGON 5719 ) :»Компьютер не может установить безопасный сеанс связи с контроллером домена dop_office.contora.com по следующей причине: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.»
В такие моменты,как правило, сетевые ресурсы расположенные в главном офисе не доступны из доп офисов. Оно и понятно. Если проверить в данный момент доверия то получаю 2 типа ошибок:
— «Локальному администратору безопасности не удаётся получить подключение RPC к контроллеру домена Active Directory dop_office.contora.com Убедитесь что имя можно разрешить и что сервер доступен «
Доверительные отношения между доменами
Приветствую. Сложилась ситуация: имеется домен под именем 005.027.xxx.ru (единственный домен в.
Настройка репликации между доменами
Здравствуйте)) Хочу задать вопрос и если можно то подскажите что можно сделать)) Опишу ситуацию. У.
Доверительные отношения между доменами
Есть три домена со следующей схемой доверительных отношений. Вопрос: можно ли вручную настроить.
Различие между доменами
Всем привет! Интересует такой вопрос, это разные домены или считаются как один.
Обмен данными между доменами
Как осуществить обмен данными между вкладками с разными доменами. Допустим: На site1.ru в.
Не ходит почта между доменами
Есть 2 домена /D1 и /D2 . Не ходит почта между ними . что я еще не настроил . что еще смотреть.
Связь между доменами (bind)
Добрый день, есть проблема: Есть подсеть 10.0.2.0/24, и в ней есть 3 компьютера 10.0.2.1.
Передача сессии между доменами
Есть два домена: example.com auth.example.com как сделать чтобы сессию созданную на.
