Cosa fare quando Active Directory non va? Errori strani...

[Gig]

Salve ragazzi... ho un Win2000 Server SP4 rollup1 che da qualche tempo si è messo a fare i capricci... Ragazzi ve lo dico subito che con i Windows "Pro" me la cavo bene, ma con le caratteristiche delle versioni Server ho un'esperienza piuttosto limitata... siate buoni...
Ha funzioni da DHCP, file server, server di stampa, server sql, server antivirus trendmicro e l'autenticazione degli ingessi VPN di un firewall cisco che si collega all'elenco utenti del server. Esisterebbe anche il dominio, ma in pratica non lo usiamo. Non lo utilizziamo come server DNS, anche se il servizio sarebbe attivo, ma non ho idea di come fargli tenere i nomi di internet... tanto per quelli ci sono dei dns esterni a cui mi aggancio dai client e via... e per dirgli quali sono gli indirizzi all'interno della rete nostra forse avrei capito come si potrebbero impostare manualmente, ma non vedo il motivo di complicarsi la vita, visto che tanto ci pensa il netbios a risolverli, no?...
Purtroppo la partizione C è da soli 5 giga (evidentemente quando l'hanno fatto non sono stati molto lungimiranti... sigh...), il D con i dati mi pare sia da 25 (fisicamente sono 3 dischi in raid 5); con mio grande dispiacere sono stato costretto ad attivare la compressione del disco NTFS perché si era vicini al blocco... ma a quanto pare non è bastato. Sul C c'è circa un giga libero...

Insomma, torno dalle ferie ad agosto e mi ritrovo a dover creare un nuovo utente nella active directory, vado a salvare e mi dà errore. Dice che non c'è spazio sul disco per l'operazione. Eh? Per creare un utente? Ora c'è circa un giga, strano! Sento il mio collega, pare che durante le mie ferie lui fosse presso un'altra filiale, si fosse bloccata la stampante (pare perché c'erano troppe stampe e si era riempito il disco per i file temporanei... perché i PDF sono così immensi da stampare? Grrr!!!) ed avesse fatto fare qualcosa telefonicamente ad uno (non del centro elaborazione dati) per sbloccarla. Sarà un caso, ma guardando i log della macchina, proprio da quei giorni lì hanno cominciato ad apparire un gran numero di messaggi strani... ma non riesco ad immaginare cosa possano aver toccato.
Comunque, a quel punto mi è parso di capire dai log che la situazione di poche risorse per via della stampa avesse fatto mettere "in sospeso" Winlogon, quindi provo a riavviare manualmente il servizio, che si avvia ma ancora non mi funziona l'Active Directory. I log indicano problemi con il DNS e con il Replication service (che non ho ancora ben capito se si tratta di un replicatore di file tra più server o la replicazione delle tabelle DNS fra più server DNS... per l'appunto abbiamo anche altri server WinNT4 e Win2000, ma non credevo che fossero "accoppiati" in qualche modo... e visto che il collega che li aveva messi in piedi prima che io venissi a lavorare qui, adesso non lavora più qui, preferirei evitare di doverlo chiamare per spiegazioni...). Non ho idea da dove si configuri questo Replication service per capire a cosa vorrebbe connettersi.
Quindi ho riavviato il server incrociando le dita.

Fra l'altro, anche il riavvio è stato un bagno di sangue : una volta effettuato il login è rimasto con lo sfondo blu (non c'è wallpaper) e basta... ho provato anche a lasciarlo tutta la notte, ma è rimasto lì.. sono in qualche modo riuscito ad aprire il taskmanager e diceva 100%cpu, ma non aggiornava l'elenco dei processi e non si riusciva a capire cosa prendesse tutte le risorse.
Ho avviato con l'ERD commander ed ho disabilitato tutti i servizi non essenziali per l'avvio ed è partito. Facendo un po' di prove (tentendo conto che ci mette almeno 40 minuti ogni volta fra l'avviare con l'ERD commander, cambiare i servizi e riavviare Windows!!) mi è parso di capire che i servizi COM+ e IIS Administrator andassero in qualche modo in conflitto tra di loro se caricati all'avvio, quindi ho dovuto disabilitarli, avviare il computer e poi abilitarli manualmente...

Riavviando la macchina, sono riuscito poi a ricreare gli utenti in Active Directory, però è durato solo fino a quando non hanno cercato di stampare un altro PDF da qualche migliaio di pagine che ha screato uno spool di un giga, e di nuovo non posso creare utenti e non mi convalida le connessioni in ingresso sulla vpn perché ritiene che un qualche servizio non sia disponibile.
I log sono pieni di errori di DNS che dicono di controllare che active directory sia attivo (ma non dicono in che modo controllare), che questo Replication service non è in grado di fare il suo lavoro, che il rilevatore automatico della topologia della rete non è in grado di portare a termine l'operazione, che active directory ha riportato degli errori e via dicendo...
Ho provato a dare il riavvio manualmente a diversi servizi... sono in stato "avviato", ma quelle funzioni non vanno...
Inoltre ad alcune schermate di configurazione del server (tipo "Group Policy editor" o "Active Directory Sites and Services") mi avvisa che non ho i privilegi giusti o ho sbagliato account... ma è aperto come administrator! Per quanto riguarda questa cosa mi viene da pensare che possa essere dovuto al fatto che nel momento in cui c'era poco spazio sul disco ed ha messo "in pausa" netlogon, abbia anche incasinato i dati di accesso con cui ho aperto la sessione... solo che prima di provare a disconnettere e riconnettere l'utente volevo aspettare sera (quando non ci sono utenti collegati al file server ed all'sql server) per paura che mi si possa bloccare e sia costretto a riavviare con l'erd commander (vedi dove parlavo del riavvio)...

Insomma, non so che pesci prendere... ho girato internet e la KB microsoft alla ricerca di spiegazioni ai numerosi messaggi strani che mi trovo nei vari log, ma ci ho decisamente perso il capo....

Si accettano suggerimenti (basta che siano costruttivi e non dicano "butta via tutto! :P).. intanto sto controllando con un antivirus online se qualcosa fosse scappato all'antivirus normale...

UPDATE: Ho visto che adesso non apre proprio più nemmeno "Active Directory Users and computers"... DOH!!!! Ho provato a fare un semplice logout e logon dell'administrator ma non è servito (non ho potuto riavviare stasera perché ci sono delle elaborazioni a mezzo su dei client che puntano al server sql...)...
E l'antivirus Kaperski ha trovato soltanto un file, che era nella cartella della quarantena del trendmicro...

[betaxp86]

Ciao, si è praticamente suicidato il sistema operativo a causa dell'esiguo spazio di funzionamento.
Il non aver configurato il server DNS, pur non essendo fondamentale, è un primo errore di configurazione, infatti l'active directory lavora quando il DNS è attivo e corettamente configurato (per la configurazione di base... bastano veramente pochi click!) http://www.tomshw.it/howto.php?guide...dows_server-09 (il link parla di windows 2003 ma se non ricordo male la configurazione è molto simile).

Per quanto riguarda i servizi non utilizzati, rimuovili dai ruoli del server, se non usi l'active directory, disattivala del tutto (dai componenti di windows la si rimuove).

Dovresti aumentare la partizione di windows con tool come partition magic (non distruttivo) così da rendere più agevole la manipolazione anche della grandi code di stampa. ATTENZIONE fai una immagine del disco prima di procedere non si sa mai quello che potrebbe accadere.

[Gig]

Io per le immagini dei dischi utilizzo solitamente il Norton Ghost... ma sul sito di Symantec ho letto che il Ghost non supporta i dischi in RAID... quindi non so come fare il backup... ed in queste condizioni non me la sento di fare operazioni troppo pericolose...

Rimuovere del tutto l'active directory? E poi tutti gli utenti inseriti all'interno che fine fanno (ora sono tutti belli organizzati in gruppi)? Non vorrei che dopo non mi autenticasse più gli utenti per l'accesso alle cartelle sul server o che il firewall Cisco non riuscisse più ad attaccarcisi...

[betaxp86]

Scusa, leggendo le prime righe del tuo testo non avevo capito che lo usaste attivamente.
Al posto di Ghost potresti provare se Partition Magic Avviato da disco floppy ti permette di vedere tutte le partizioni e copiarle su un'altro disco.

[Gig]

Intanto ecco qui numerosi i messaggi di errore nel log di Windows... TERRORE!!!!

------------------
Application LOG
------------------
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1000
Date: 24/09/2006
Time: 15.51.09
User: NT AUTHORITY\SYSTEM
Computer: NOMESERVER
Description:
Windows cannot determine the user or computer name. Return value (-2146893022).
** Questo errore viene riportato ogni 5-10 minuti **
-----------

------------------
System LOG
------------------
Event Type: Warning
Event Source: MRxSmb
Event Category: None
Event ID: 3034
Date: 26/09/2006
Time: 11.56.04
User: N/A
Computer: NOMESERVER
Description:
The redirector was unable to initialize security context or query context attributes.
Data:
0000: 00 00 08 00 02 00 56 00 ......V.
0008: 00 00 00 00 da 0b 00 80 ......?
0010: 00 00 00 00 22 03 09 80 ...."..?
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
0028: 7d 04 00 00 22 03 09 80 }..."..?
** Questo errore viene riportato una o due volte al minuto **
------------

Event Type: Error
Event Source: DhcpServer
Event Category: None
Event ID: 1051
Date: 26/09/2006
Time: 11.14.33
User: N/A
Computer: NOMESERVER
Description:
The DHCP/BINL service has determined that it is not authorized to service clients on this network for the Windows domain: nomedominio.
Data:
0000: 00 00 00 00 ....
** Questo messaggio viene riportato una volta ogni tanto **
-------------

Event Type: Error
Event Source: IAS
Event Category: None
Event ID: 3
Date: 26/09/2006
Time: 10.00.31
User: N/A
Computer: NOMESERVER
Description:
Access request for user nomeutentex was discarded.
Fully-Qualified-User-Name = NOMEDOMINIO\nomeutentex
NAS-IP-Address = 192.168.192.254
NAS-Identifier = <not present>
Called-Station-Identifier = <not present>
Calling-Station-Identifier = <not present>
Client-Friendly-Name = FireWall
Client-IP-Address = 192.168.192.254
NAS-Port-Type = <not present>
NAS-Port = 1621
Reason-Code = 6
Reason = The server is unavailable.
** Questo messaggio viene riportato ogni volta che qualcuno cerca di connettersi alla VPN del Router Cisco **
------------------

------------------
Directory Service LOG
------------------
Event Type: Error
Event Source: NTDS KCC
Event Category: Knowledge Consistency Checker
Event ID: 1130
Date: 26/09/2006
Time: 8.56.33
User: N/A
Computer: NOMESERVER
Description:
The automatic topology generator was unable to complete the topology for site CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nomedominio, error code 7, and internal id f08028f.
** Questo messaggio viene riportato ogni 15 minuti **
--------------------

Event Type: Warning
Event Source: NTDS General
Event Category: Internal Processing
Event ID: 1173
Date: 25/09/2006
Time: 15.16.38
User: Everyone
Computer: NOMESERVER
Description:
Internal event: Exception e0010004 has occurred with parameters -510 and 0 (Internal ID 2020743).
** Questo messaggio veniva riportato ieri ogni 15 minuti, poi ha smesso ed è stato sostituito da quello sopra (NTDS KCC): forse è da quel momento che non fa proprio più aprire l'active directory...? **
------------------

Event Type: Information
Event Source: NTDS ISAM
Event Category: Online Defragmentation
Event ID: 700
Date: 26/09/2006
Time: 1.21.09
User: N/A
Computer: NOMESERVER
Description:
NTDS (288) Online defragmentation is beginning a full pass on database 'C:\WINNT\NTDS\ntds.dit'.
** Questo lo ha dato all'una e mezza di notte **
------------------

Event Type: Error
Event Source: NTDS ISAM
Event Category: Online Defragmentation
Event ID: 705
Date: 26/09/2006
Time: 1.21.12
User: N/A
Computer: NOMESERVER
Description:
NTDS (288) Online defragmentation of database 'C:\WINNT\NTDS\ntds.dit' terminated prematurely after encountering unexpected error -510. The next time online defragmentation is started on this database, it will resume from the point of interruption.
** E questo lo ha dato 3 secondi dopo **
-----------------

------------------
DNS Server LOG
------------------
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4015
Date: 25/09/2006
Time: 14.04.32
User: N/A
Computer: NOMESERVER
Description:
The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The event data contains the error.
Data:
0000: 52 00 00 00 R...
** Questo messaggio viene registrato ogni 3-4 secondi!! **
--------------

Event Type: Warning
Event Source: DNS
Event Category: None
Event ID: 3000
Date: 25/09/2006
Time: 14.04.58
User: N/A
Computer: NOMESERVER
Description:
The DNS server is logging numerous run-time events. For information about these events, see previous DNS Server event log entries. To prevent the DNS Server from clogging server logs, further logging of this event and other events with higher Event IDs will now be suppressed.
** Che bellezza! **
-----------------

Event Type: Information
Event Source: DNS
Event Category: None
Event ID: 3150
Date: 25/09/2006
Time: 14.26.27
User: N/A
Computer: NOMESERVER
Description:
The DNS server wrote version 20 of zone nomedominio to file nomedominio.dns.
** Questo compare ogni tanto **
-----------------

Event Type: Warning
Event Source: DNS
Event Category: None
Event ID: 4013
Date: 25/09/2006
Time: 18.40.53
User: N/A
Computer: NOMESERVER
Description:
The DNS server was unable to open the Active Directory. This DNS server is configured to use directory service information and can not operate without access to the directory. The DNS server will wait for the directory to start. If the DNS server is started but the appropriate event has not been logged, then the DNS server is still waiting for the directory to start.
Data:
0000: e5 03 00 00 ...
------------------

------------------
File Replication Service LOG
------------------
Event Type: Information
Event Source: NtFrs
Event Category: None
Event ID: 13516
Date: 07/09/2006
Time: 12.02.14
User: N/A
Computer: NOMESERVER
Description:
The File Replication Service is no longer preventing the computer NOMESERVER from becoming a domain controller. The system volume has been successfully initialized and the Netlogon service has been notified that the system volume is now ready to be shared as SYSVOL.
Type "net share" to check for the SYSVOL share.
** EEH??????????? !!! ?????? Questo lo scriveva ogni tanto**
------------------

Event Type: Information
Event Source: NtFrs
Event Category: None
Event ID: 13501
Date: 07/09/2006
Time: 12.41.35
User: N/A
Computer: NOMESERVER
Description:
The File Replication Service is starting.
-----------------

Event Type: Warning
Event Source: NtFrs
Event Category: None
Event ID: 13562
Date: 07/09/2006
Time: 12.42.03
User: N/A
Computer: NOMESERVER
Description:
Following is the summary of warnings and errors encountered by File Replication Service while polling the Domain Controller nomeserver.nomedominio for FRS replica set configuration information.
Could not find computer object for this computer. Will try again at next polling cycle.
-------------------

Event Type: Error
Event Source: NtFrs
Event Category: None
Event ID: 13568
Date: 07/09/2006
Time: 12.47.34
User: N/A
Computer: NOMESERVER
Description:
The File Replication Service has detected that the replica set "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" is in JRNL_WRAP_ERROR.

Replica set name is : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Replica root path is : "c:\winnt\sysvol\domain"
Replica root volume is : "\\.\C:"
A Replica set hits JRNL_WRAP_ERROR when the record that it is trying to read from the NTFS USN journal is not found. This can occur because of one of the following reasons.

[1] Volume "\\.\C:" has been formatted.
[2] The NTFS USN journal on volume "\\.\C:" has been deleted.
[3] The NTFS USN journal on volume "\\.\C:" has been truncated. Chkdsk can truncate the journal if it finds corrupt entries at the end of the journal.
[4] File Replication Service was not running on this computer for a long time.
[5] File Replication Service could not keep up with the rate of Disk IO activity on "\\.\C:".
Setting the "Enable Journal Wrap Automatic Restore" registry parameter to 1 will cause the following recovery steps to be taken to automatically recover from this error state.
[1] At the first poll, which will occur in 5 minutes, this computer will be deleted from the replica set. If you do not want to wait 5 minutes, then run "net stop ntfrs" followed by "net start ntfrs" to restart the File Replication Service.
[2] At the poll following the deletion this computer will be re-added to the replica set. The re-addition will trigger a full tree sync for the replica set.

WARNING: During the recovery process data in the replica tree may be unavailable. You should reset the registry parameter described above to 0 to prevent automatic recovery from making the data unexpectedly unavailable if this error condition occurs again.
To change this registry parameter, run regedit.
Click on Start, Run and type regedit.
Expand HKEY_LOCAL_MACHINE.
Click down the key path:
"System\CurrentControlSet\Services\NtFrs\Parameters"
Double click on the value name
"Enable Journal Wrap Automatic Restore"
and update the value.

If the value name is not present you may add it with the New->DWORD Value function under the Edit Menu item. Type the value name exactly as shown above.
** Questo messaggio lo dava una decina di giorni fa **
------------

Event Type: Warning
Event Source: NtFrs
Event Category: None
Event ID: 13562
Date: 25/09/2006
Time: 16.09.10
User: N/A
Computer: NOMESERVER
Description:
Following is the summary of warnings and errors encountered by File Replication Service while polling the Domain Controller nomeserver.nomedominio for FRS replica set configuration information.

Could not bind to a Domain Controller. Will try again at next polling cycle.
** Questo è stato l'ultimo messaggio registrato nel log "File Replication Service", risale a ieri pomeriggio. **



AAARGH! Salvatemi!!!

[betaxp86]

Configura il DNS come ti ho linkato prima, poi controlla che il DNS sia configurato con l'active directory (vedi nella stessa guida di prima).
Disattiva tutti i ruoli che non ti servono, esempio, se non devi pubblicare siti, o non ci sono applicazioni usate che usano IIS disinstallalo.

[Gig]

La gestione dell'antivirus centralizzato Trendmicro Officescan ha un'interfaccia web... ed infatti c'è un servizio trendmicro dipendente dal servizio iis...

Ma il DNS non c'è stato da anni a questa parte...

[Gig]

A dire il vero una zona nel forward lookup ed una nel reverse lookup c'erano...
anche se all'interno mi pareva non ci fossero computer (adesso invece ci sono ALCUNI dei computer client che appaiono nella zona del forward lookup, non so se prima non ci avessi solo fatto caso oppure li abbia trovati dopo che ieri ho visto che da qualche parte nella configurazione DNS c'era uno spazio per l'indirizzo del server che era vuoto e lo avevo riempito...) Però non capisco bene perché conosca solo alcuni dei computer... ora che ci penso, forse sono solo quelli più vecchi, quando ancora si facevano puntare al dominio invece che semplicemente ai workgroup (e che ancora ci puntano)!

L'albero riporta
-forward lookup zone
--nomedeldominio <<- A questo livello ci sono:
**Same as parent folder - Start of authority - [20], nomeserver.nomeserver.nomedominio, administrator.nomeserver.nomedominio
**Same as parent folder - WINS Lookup - [192.168.192.4]
**Same as parent folder - Name server- nomeserver.nomeserver.nomedominio
**Same as parent folder - Name server- nomeserver.nomedominio
**alcuni nomi dei computer della rete (forse quelli più vecchi, quando ancora si facevano puntare al dominio invece che semplicemente ai workgroup, ed ancora ci puntano...), tipo "host" e relativo indirizzo
---nomedelserver <<-a questo livello ci sono:
*** Same as parent folder - Host - [192.168.192.4]
*** nomeserver - Host - [192.168.192.4]
-Reverse lookup zones
--192.168.192.x Subnet <<- A quello livello ci sono:
**Same as parent folder - Start of authority - [5], nomeserver.nomedominio, administrator.nomecomputer.nomedominio
**Same as parent folder - Wins reverse lookup - nomedominio
**Same as parent folder - name server - nomeserver.nomeserver.nomedominio
**Same as parent folder - Name server - nomeserver.nomedominio

Le opzioni paiono un po' diverse da quelle del tutorial (che si tiene comunque sempre sul vago); due zone sono di tipo "Sandard Primary", se provo a farle diventare di tipo "Active-Directory integrated" mi dà errore perché active directory non è attivo. Ma cavolo, è un cane che si morde la coda! Non mi attiva AD se non c'è DNS, non mi fa integrare il DNS dentro AD se AD non è attivo! Uffa!!!!!

[betaxp86]

Incomincio a non riuscirti più ad aiutare purtroppo le mie prove di AD le ho sempre fatte sul 2003.
Avete già usato i due ticket inclusi nella licenza per l'assistenza diretta MS?

[Gig]

Riavviato il server.
Svariati servizi non si sono avviati automaticamente, ho dovuto lanciarli a mano.
Poi ho trovato il servizio di File replication service che stava occupando un'infinità di porte TCP (puntando allo stesso computer!), impedendo di fatto le altre connessioni... ora l'ho arrestato, ma anche questo è strano..
A che dovrebbe servire?