Не работает LDAP. Как вылечить?

[AndreyN]

На контроллере домена с неизвестного мне момента перестала работать служба LDAP. Сам сервис запущен и не дает запуститься такому же сервису от KerioMailServera, т.к. порт 443 занят.
Обнаружилась проблема когда захотел к домену подцепить сервер на базе AIX5.0, чтобы расшаривать ресурсы и управлять им как частью WIndows-сети. То, что стандартный LDAP на сервере не работает или работет не правильно опосредовано поджтверждает невозможность обращения к службе каталогов по этому протоколу сторонних программ: Outlook Express, KMS, клиента LDAP ОС AIX и т.д.

Подскажите как прибить этот процесс, чтобы поднять его, на пример на KMS, или как его вылечить?

добавлено через 2 минуты
Прошу прощения не 443, а 389 порт.

[v1ct0r]

какие роли? хозяин схемы?

[AndreyN]

Роль - котроллер домена, он же хозяин схемы. Контроллер в домене единственный. На KerioMailServer поднял на 390 порту LDAP, который прекрасно работает. Выход конечно, но хотелось бы сделать нормально, а не извращаться.

[v1ct0r]

Вообще-то ролей немного больше, чем "контроллер домена"

Как вариант по "неимеющейся" информации - неправильно или неполностью перенесены роли. не исключено, что коряво установлен ад. какие ошибки в тестах?

Сервис этот всегда запущен, т.к. ад. Вот только на работающем dc (правильно настроенном) керио-примочки и пр. ставятся сразу же и без проблем.... разбирайся со своим адом.

[AndreyN]

Цитата:

Сообщение от v1ct0r

Вообще-то ролей немного больше, чем "контроллер домена"

Как вариант по "неимеющейся" информации - неправильно или неполностью перенесены роли. не исключено, что коряво установлен ад. какие ошибки в тестах?

Сервис этот всегда запущен, т.к. ад. Вот только на работающем dc (правильно настроенном) керио-примочки и пр. ставятся сразу же и без проблем.... разбирайся со своим адом.

Я не просил "ликбез" устраивать. И причем здесь роль хозяина схемы, на пример? Сервер ставился изначально как хозяин схемы, леса, единственный и неповторимый контроллер домена, сервер DNS, DHCP, WINS, NTP и т.д. и т.п. и все сервисы на нём настраивались как на единственном сервере в сети. В позапрошлом году пытался подключить домен на базе 2000-го сервера, но безуспешно. Но дело не в этом. AD от мусора почистил.
А просил я рассказать как добраться до настроек LDAP или как поковырять AD на предмет LDAP. Прошу конкретных советов и ответов на вопросы.

[v1ct0r]

тогда, дружок, читай инструкцию по-внимательнее (к вопросу "причем здесь роль хозяина схем")

[FantomIL]

Цитата:

Сообщение от AndreyN

То, что стандартный LDAP на сервере не работает или работет не правильно опосредовано поджтверждает невозможность обращения к службе каталогов по этому протоколу сторонних программ: Outlook Express, KMS, клиента LDAP ОС AIX и т.д.

Это все, конечно, интересно, но для анализа неплохо было бы логи выложить.

[AndreyN]

В логах "службы каталогов" всё нормально. Ошибок нет.

Цитата:

Тип события: Уведомление
Источник события: NTDS General
Категория события: Управление службой
Код события: 1000
Дата: 01.11.2007
Время: 5:05:59
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER
Описание:
Завершен запуск службы каталогов Active Directory, версия 5.2.3790.3959

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Цитата:

Тип события: Уведомление
Источник события: NTDS General
Категория события: Управление службой
Код события: 1394
Дата: 01.11.2007
Время: 5:06:29
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER
Описание:
Все проблемы, мешавшие обновлению базы данных Active Directory, были устранены. Новые попытки обновления базы данных Active Directory успешно выполняются. Служба сетевого входа в систему вновь запущена.

Цитата:

Тип события: Уведомление
Источник события: NTDS ISAM
Категория события: Оперативная дефрагментация
Код события: 700
Дата: 01.11.2007
Время: 5:20:59
Пользователь: Н/Д
Компьютер: SERVER
Описание:
NTDS (600) NTDSA: Начата полная оперативная дефрагментация базы данных "C:\WINDOWS\NTDS\ntds.dit".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Цитата:

Тип события: Уведомление
Источник события: NTDS General
Категория события: Глобальный каталог
Код события: 1869
Дата: 01.11.2007
Время: 5:20:59
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: SERVER
Описание:
Active Directory найден глобальный каталог в следующем сайте.

Глобальный каталог:
\\server.domain.local
Сайт:
Default-First-Site-Name

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Цитата:

Тип события: Уведомление
Источник события: NTDS ISAM
Категория события: Оперативная дефрагментация
Код события: 701
Дата: 01.11.2007
Время: 5:21:02
Пользователь: Н/Д
Компьютер: SERVER
Описание:
NTDS (600) NTDSA: Завершена полная оперативная дефрагментация базы данных "C:\WINDOWS\NTDS\ntds.dit".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

В логах DNS-сервера есть такие записи. Сервер каждый день перезагружается в 5 утра и в логах постоянно одно и тоже.

Цитата:

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4015
Дата: 01.11.2007
Время: 5:03:10
Пользователь: Н/Д
Компьютер: server
Описание:
DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 51 00 00 00 Q...

и следом идут такие

Цитата:

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4011
Дата: 01.11.2007
Время: 5:03:10
Пользователь: Н/Д
Компьютер: server
Описание:
DNS-серверу не удалось добавить или записать обновление имени "domain" домена в зоне domain.local в Active Directory. Убедитесь, что Active Directory функционирует нормально и добавьте или обновите имя домена с помощью консоли DNS. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 2a 23 00 00 *#..

Написано, что исправить можно "с помощью консоли DNS". Там (в консоли администрирования) нет утилит для исправления, только настройка. Сам DNS работает нормально: регистрирует новые компьютеры, возвращает адреса по доменному имени. Работаю записи, созданные вручную: псевдонимы и зоны для других доменов. В ntdsutil.exe нет утилит для работы с сервером LDAP. Загружаться в режиме восстановления AD боязно, да и не знаю поможет ли это.
Где рыть?

[Andy_]

AndreyN, _http://support.microsoft.com/kb/909249/en-us

[AndreyN]

Там написано, что нужно установить последний сервиспак. У меня стоит уже SP2. Поставить его еще раз поверх?

[Andy_]

AndreyN, Тогда смотрим _http://www.eventid.net/display.asp?eventid=4015&eventno=333&source=DNS&phase=1 и тут _http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=1798186&SiteID=40

[AndreyN]

Сделал как сказано в ссылках, указанных Andy. Перезагрузился и в журнале DNS пока только запись о том, что он стартовал. Будем дальше посмотреть.

[AndreyN]

LDAP так и не наладилась. Переношу AD на новый сервер.
Надеюсь, что на новом сервере AD станет нормально и заработает LDAP и всё остальное.

[AndreyN]

На новое железо поставил 2003SP2Ent. Поднял на нём AD и DNS. Соответственно перешли на него все настройки. Ну думаю всё, справедливость восторжествовала. В наглую на новом сервере забрал все роли: схемы, хоязина операций и т.п. по списку. Делаю его единственным сервером глобального каталога.
Далее сношу старый сервер на прочь. И домен становится в некрасивую позу. На поверку оказывается, что в DNS ни осталось необходимых для функционирования AD записей.

В рузультате переустановлены все сервера и заново поднят домен.