Проблемы в Дереве. КАК?

[Музалёв Николай]

Уважаемые коллеги!
Помогите советом в такой вот ситуации (для меня она неприятно внове):
рис 1 , PNG, ~4K
рис 2 , PNG, ~5K

Проблемы возникли после ( вследствии??) штатного останова и последующей перезагрузки сервера.

Выполненная после перезагр. DSREPAIR сама указала, что поврежден date stamp на [root] и предложила , загрузившись с ключиком -а объявить новую эпоху.

Что и было выполнено.

Больше ош. DSREP не находила.

Началась работа.

Внешне - никаких сбойных проявлений и помех. Дает работать с Деревом. В частности - создавать пользователей и тд.

Желтиков обнаружил случайно, в период штатного обхода Дерева.
Запустил диагностику - DSPEPAIR ничего криминального не находит.

Попробовакл осторожно прогнать PKIDIAG.

На сервере PENTA нашлось и исправилось 2 ош.

Код: Выделить всё

.......................
Step 6  Creating IP and DNS Certificates if necessary.
--> Number of Server IP addresses = 1
--> The default IP address is: 172.16.1.2
PROBLEM: The KMO SSL CertificateIP has expired.
--> The KMO SSL CertificateIP's IP Address is: 172.16.1.2.O=.BGD_CO.
----> The IP addresses match.
--> Run in Fixing mode to correct this problem(s).
--> Number of Server DNS names for the IP address 172.16.1.2 = 1
--> The server's default DNS name is:
      penta
PROBLEM: The KMO SSL CertificateDNS has expired.
--> The KMO SSL CertificateDNS's DNS name is: penta.bgd.O=.BGD_CO.
----> The DNS names match.
--> Run in Fixing mode to correct this problem(s).
Step 6 succeeded
................................


На сервер HOMER нашлось, но не исправилось 4 ош, связвнные с SSl

Код: Выделить всё

..................
Step 5  Re-verifying the links to the KMOs
   Reading the links for SAS Service object 'SAS Service - HOMER.GERMOZONA.OAP.BGD'.
PROBLEM: Cannot use private key for KMO 'SSL CertificateDNS - HOMER.GERMOZONA.OAP.BGD'.  It should be probably be unlinked and deleted.
Fix -- Successfully removed the link to KMO 'SSL CertificateDNS - HOMER.GERMOZONA.OAP.BGD'  You should probably delete it.
INFO: kmo DNS AG homer\.bgd - HOMER.GERMOZONA.OAP.BGD should probably be deleted.
PROBLEM: Cannot use private key for KMO 'SSL CertificateIP - HOMER.GERMOZONA.OAP.BGD'.  It should be probably be unlinked and deleted.
Fix -- Successfully removed the link to KMO 'SSL CertificateIP - HOMER.GERMOZONA.OAP.BGD'  You should probably delete it.
INFO: kmo IP AG 172\.16\.1\.4 - HOMER.GERMOZONA.OAP.BGD should probably be deleted.
Step 5 succeeded.

Step 6  Creating IP and DNS Certificates if necessary.
--> Number of Server IP addresses = 1
--> The default IP address is: 172.16.1.4
PROBLEM: A SSL CertificateIP does not exist
FIXING: Creating SSL CertificateIP (172.16.1.4)
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
ERROR -1211 creating SSL CertificateIP.
--> Number of Server DNS names for the IP address 172.16.1.4 = 1
--> The server's default DNS name is:
      homer
PROBLEM: A SSL CertificateDNS does not exist
FIXING: Creating SSL CertificateDNS (homer)
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
Pausing for 5 seconds because of error -1211
ERROR -1211 creating SSL CertificateDNS.
Step 6 failed -1211.
......................


Что делать?

Спасибо.

[Владимир Горяев]

TID-10067667 Unknown Objects / Yellow Question marks - Summary and Fix ( 03FEB2003)

и далее со всеми остановками

[Музалёв Николай]

Спасибо, но несколько не тот случай.
В источнике предполагается несколько реплик и разрушения - в одной.

А у меня, ИМНО, просто некорректно закрылось и сохранилось.
Сейчас вот нашел еще несколько желтых объектов - простые группы.

Группы я удалил и восст. из копии.

Потому вопрос несколько перефразируем:
можно ли восстановить Дерево простым удалением и последующим восстановлением из копии таких неординарных объектов: KAP , NLS_SLP , SAS.

Вообще - их можно на ходу удалить из Дерева? без последствий?
Или для таких объектов есть своя процедура?

[Владимир Горяев]

Потому вопрос несколько перефразируем:
можно ли восстановить Дерево простым удалением и последующим восстановлением из копии таких неординарных объектов: KAP , NLS_SLP , SAS.

Вообще - их можно на ходу удалить из Дерева? без последствий?
Или для таких объектов есть своя процедура?

Вообще, такие объекты можно пересоздать, процедуры описаны довольно подробно в соотв TID. А если есть копия, то почему бы не попробовать восстановить находу, но, насколько я помню, в нкоторых случаях необходимо перезагрузка сервера.

[v13]

Насчет KAP есть сомнения, остальное легко пересоздаётся.

[Владимир Горяев]

Насчет KAP есть сомнения

тока щас посмотрел, напр How to recreate KAP and W0 objects if they have been deleted

зы Reinstalling Certificate Server

[v13]

Насчет KAP есть сомнения

тока щас посмотрел, напр зы Reinstalling Certificate Server

Если есть куча служб уже настроенных на бывший сервер и подписанных им то возни немало ... Пересоздавать сертификаты на всех серверах и.т.п.

[Музалёв Николай]

А если есть копия, то почему бы не попробовать восстановить находу

Коллеги!
Спасибо за участие.
Все материалы прочитаны и займут место в архиве, хотя искренне надеюсь, что боле не понадобятся.

Ситуацию удалось реконструировать и вот как было дело:
вчера с утра сервер был перезагружен, проверен.
Как писал выше - было сообщение с предложением объявить новую эпоху, что и было сделано.

Проверка Дерева показало , что все ОК.

Прямоходящие стали подключаться и тут одна мартышка в безмерной мудрости своей НЕ ЗАКРЫЛА окно протокола подключения, оно завалилось в трей и там осталось

Естественно, таким образом эта рабочая станция залочила один из файлов Дерева.

Почти сразу ее черти унесли с работы и ПК пол-дня стоял с захваченным файлом.

Естественно, синхро реплик нарушилось.

И увидел я это только ближе к вечеру.
Увидел вот ту картинку, что на скринах и даже более серьезную: желтых было штук 8-10ть объектов разного типа.

Сегодня с утра вот написал в форум, читал и смотрел, что можно сделать с желтками.

Несколько ординарных объектов удалил-восстановил из копии вполне благополучно.

Оставались только серьезные объекты, подступать к которым решено было по окончанию рабочего дня.

(Вообщето было некое непонимание - почему при проблеме с главными службами Дерева работа прямоходящих, тем не менене, идет безПроблемно...)

Ну вот, время Ч наступило и было решено не просто перезагрузить ПК - это делалось за день раза 4ре - а накатить чистый клон машины.
( есть у меня такая нехорошая привычка - иметь несколько клонов на разные случаи жизни с разным набором установленных программ)

И вот когда чистый клон накатился, оказалось, что все объекты в порядке.

Меня обуяли сильные эмоции.
Во-первых, "чувство глубокого удоволетворения" по поводу Дерева.
И не менее сильное чувство к БилуНашемуГейтсу и системе его оконной...

Вопрос чисто риторический : и где эта сволочь кешировала неправильную картинку, неверные данные? почему не перечитывала реальное состояние Дерева?

И как впредь не попасть в такую ситуацию? бегать на другую машину или что?

Тем не менее - всем огромное спасибо за ссылки и советы!

[Сергей Дубров]

Естественно, таким образом эта рабочая станция залочила один из файлов Дерева.

Почти наверняка это был логин-скрипт, который в дереве хранится как стрим-файл. Довольно распространённая ситуация.

И как впредь не попасть в такую ситуацию?

Я в подобных ситуациях (сам попадался когда-то) использую одну из утилит Baird-а - OPENFILE - она замечательно показывает все открытые файлы, среди которых хорошо видны открытые стримы (с ключом /ml можно вообще вывести только залоченные файлы).

[Музалёв Николай]

Не, Сергей: "не попасться" означает в данном случае не то, что не видно залоченного файла.
Это то как раз было видно оч. хорошо.

А "не попасться" - снова не начать судорожно "чинить" здоровое Дерево, которое почему то стало отображаться с "желтками".
Причем, перегружал я рабочку админа, уж вы поверьте.

Т.е. вопрос можно поставить так:
как быть на 100% уверенным, что отображаемая в NWADMINе (в частности) информация о состоянии объектов соотв. действительности.

И, кстати, не пожадничайте командную строку на OPENFILE, если она у вас не особо секретная...

[Владимир Горяев]

Прямоходящие стали подключаться и тут одна мартышка в безмерной мудрости своей НЕ ЗАКРЫЛА окно протокола подключения, оно завалилось в трей и там осталось

Естественно, таким образом эта рабочая станция залочила один из файлов Дерева.

Почти сразу ее черти унесли с работы и ПК пол-дня стоял с захваченным файлом.

Николай, мой дежаву опять меня встревожил. Я настоятельно рекомендую, чтоб окно результатов логина всегда закрывалось само. Если что не так, пользователи вряд ли что поймут. Да и резултаты им можно в отдельном попапе дать.
никаких пауз
внешние команды запускать только через @ .

Так гораздо проще не попасть в такую ситуацию.

[Сергей Дубров]

И, кстати, не пожадничайте командную строку на OPENFILE, если она у вас не особо секретная...

Да какие тут секреты: что-то типа OPENFILE SERVER/ | grep -i "_NETWARE"

[Музалёв Николай]

Сергею - спасибо.

Про собачку знаю и использую. Тут нет вопросов.

Я бы и сам отказался от останова результирующего окна, но там пару моментов, к которым мои прямоходящие уже привыкли: как ни смешно - но текущее время.
И второе - оставшийся срок действия пароля, у кого он есть.

Конечно, надо бы как то наладить для отображения при логине другой инструмент, теже утилиты Берда, но пока вот руки не доходили.
Теперь будет хороший повод этим серьезно заняться.

И поясните пож., как

... резултаты ... можно в отдельном попапе дать.

[Сергей Дубров]

И второе - оставшийся срок действия пароля, у кого он есть.

Конечно, надо бы как то наладить для отображения при логине другой инструмент, теже утилиты Берда, но пока вот руки не доходили.

В этом/прошлом/позапрошлом году я добился от Baird-а, чтобы он дополировал свою утилиту pwdexp - очень удобный инструмент для показа из логин скрипта сколько осталось "жить" паролю и для его смены, при необходимости. Запускаем так (вариант полуGUI):

#pwdexp.exe /c /d:7 /g:5 /ys /f:0 /sa /z /v /m:"Пора менять пароль!"

/c - окно наверх (topmost).
/d:7 - начать "мягко" предупреждать за 7 дней до истечения срока действия пароля.
/g:5 - задержка пять секунд (чтобы реплики успели обновления принять).
/ys - вывод имени в короткой форме.
/f:0 - включить "жёсткий" режим за 0 дней до expire пароля (т.е., при ==0 как только пароль просрочился - ужесточаемся).
/sa - "упрямая" мода. В "мягком" режиме даёт пользователю отказаться от предлагаемой смены пароля, в "жёстком" - не пропустит, пока он его успешно не сменит (кнопка Exit и X - неактивны).
/z - если смена пароля NW неуспешна - не пытаться менять другие пароли (вендовый, simple, AD).
/v - ключик, который John Baird по моей просьбе добавил только что, пару месяцев назад - указывает, что pwdexp на тему expiration и смены пароля должна общаться с держателем master-реплики. В принципе этот ключ избавляет от необходимости делать задержки (/g:5). Без /v и задержек часто возникала такая ситуация - пользователь с просроченным паролем входит в сеть, соглашается со штатным новеловским предложением сменить пароль, меняет, но, из-за того что реплики могут не успеть реплицироваться, следующая проверка на просроченность Baird-вской pwdexp может обратиться к серверу, который про изменение пароля ещё не в курсе - и pwdexp радостно сообщит пользователю, что у него просроченный пароль и предложит его поменять ПОВТОРНО! Путаница была полная. Сейчас, с ключиком /v, всё стало замечательно.
/m:"Пора менять пароль!" - сообщение, которые выводится в заголовке окна. Если пароль не просрочен (или почти не просрочен - /d:7 - больше семи дней до "протухания") - никаких окон при логине вообще не выводится. После нескольких движений туда-сюда на сегодня текст нужно указывать в OEM-кодировке (DOS), бывали версии с ANSI, но они почему-то не все русские буквы правильно показывали.

[Владимир Горяев]

И поясните пож., как

... резултаты ... можно в отдельном попапе дать.

Смотря какие. Напр, время - как-то так:
@cmd /c echo %time%

Ну итд. можно и комфайлы нарисовать различные с цветными строками и фонами. Если нужно гуевое окно, в сети можно найти подобные утили выводящие сообщ. в графокне.

ЗЫ поспешил не /c а /k