Прошу помощи в вышеобозначенном вопросе. Перечитав кучу информации в инете, я так и не нашел решения своей проблемы. Отличается она тем, что у меня один контроллер домена. Была попытка поднять второй, окончилась неудачей, он был понижен. После этого, а может и до этого, поскольку я недавно тут работаю, NTFRS выдает ошибки при работе. Ошибка 13562, причем никаких описаний проблемы, а просто:
[QUOTE]Ниже следует сводка предупреждений и ошибок, которые произошли при опросе службой репликации файлов (FRS) сведений конфигурации набора репликации FRS у контроллера домена "server.xxx.ru". [/QUOTE]
Воспользовался статьей [URL="http://support.microsoft.com/kb/312862"]312862[/URL], все сделал согласно ней, но все равно эта ошибка присутствует. Экспериментально понял, что появляется она тогда, когда я создаю объект NTFRsSuscriber в [QUOTE]CN=NTFRS Subscriptions,CN=SERVER,OU=Domain Controllers,DC=xxx,DC=ru.[/QUOTE]
Также сравнив с чистым доменом нашел, что в [QUOTE]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets[/QUOTE] пусто. Т.е. там нет раздела с GUID. Я так понимаю, что в этом проблема и кроется. Только не понимаю, как он создается автоматически.
Приводить dcdiag и netdiag не буду, поскольку там все ОК. Приведу только отдельный тест frsevent
[QUOTE]C:\Documents and Settings\администратор>dcdiag /v /test:frsevent

Domain Controller Diagnosis

Performing initial setup:
  * Verifying that the local machine server, is a DC.
  * Connecting to directory service on server server.
  * Collecting site info.
  * Identifying all servers.
  * Identifying all NC cross-refs.
  * Found 1 DC(s). Testing 1 of them.
  Done gathering initial info.

Doing initial required tests

  Testing server: Default-First-Site-Name\SERVER
     Starting test: Connectivity
        * Active Directory LDAP Services Check
        * Active Directory RPC Services Check
        ......................... SERVER passed test Connectivity

Doing primary tests

  Testing server: Default-First-Site-Name\SERVER
     Test omitted by user request: Replications
     Test omitted by user request: Topology
     Test omitted by user request: CutoffServers
     Test omitted by user request: NCSecDesc
     Test omitted by user request: NetLogons
     Test omitted by user request: Advertising
     Test omitted by user request: KnowsOfRoleHolders
     Test omitted by user request: RidManager
     Test omitted by user request: MachineAccount
     Test omitted by user request: Services
     Test omitted by user request: OutboundSecureChannels
     Test omitted by user request: ObjectsReplicated
     Test omitted by user request: frssysvol
     Starting test: frsevent
        * The File Replication Service Event log test
        There are warning or error events within the last 24 hours after the
        SYSVOL has been shared.  Failing SYSVOL replication problems may cause
        Group Policy problems.
        An Warning Event occured.  EventID: 0x800034FA
           Time Generated: 10/24/2010   18:07:26
           (Event String could not be retrieved)
        ......................... SERVER failed test frsevent
     Test omitted by user request: kccevent
     Test omitted by user request: systemlog
     Test omitted by user request: VerifyReplicas
     Test omitted by user request: VerifyReferences
     Test omitted by user request: VerifyEnterpriseReferences
     Test omitted by user request: CheckSecurityError

  Running partition tests on : ForestDnsZones
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running partition tests on : DomainDnsZones
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running partition tests on : Schema
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running partition tests on : Configuration
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running partition tests on : int
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running enterprise tests on : ххх.ru
     Test omitted by user request: Intersite
     Test omitted by user request: FsmoCheck
     Test omitted by user request: DNS
     Test omitted by user request: DNS[/QUOTE]

Это единственная ошибка. Как уже где-то прочел, этот код EventID: 0x800034FA означает ошибки в объектах FRS.
Я думаю, что надо создать раздел с GUID  в Replica Sets, но вот как узнать какой GUID туда написать?

По-ходу, второй DC ты понизил (кстати, как?), а ссылки в AD для репликации с ним остались... Вот он и ищет партнера..
А реплику делать нЕкуда...
Останови службу репликации, ищи ссылки в AD (в частности в FRC и DNS) на неудачный DC, очищай.

Почитай тут:
http://support.microsoft.com/kb/216498

Сначала я создал второй DC, репликация не пошла, я его понизил, поскольку были ошибки в dcdiag и на первом DС. Короче, решил решить с первым DC. Второй понизил нормально через dcpromo.
С помощью ntdsutil все ссылки были почищены.
Но репликация AD и репликация SYSVOL делаются, насколько я знаю через разные службы. SYSVOL реплицируется через FRS, вот тут то и проблемы. Ссылки из АD я вычистил, что касаются репликации AD.
Так вот мне кажется, что для правильной работы FRS наооборот надо не удалить лишнее в AD, а чего-то не хватает. Я делаю обратную операцию, пытаюсь восстановить ее работу. На момент начала действий там вообще ничего не было. Контейнер FRS в AD был пуст.

С чем ты хочешь реплицировать _единственный_ DC?

Хочу не реплицировать, а чтобы в dcdiag ошибок не было. Т.е. хочу, чтобы заработала NTFRS

>>хочу, чтобы заработала NTFRS
для чего?

>>Т.е. хочу, чтобы заработала NTFRS
сейчас не работает?

ошибки в логах не обязательно говорят о том, что служба не работает. Та, что у тебя - указывает на недоступность системной шары, это обычно связано либо с правами, либо с самим наличием этой шары. В твоём частном случае отсутствует партнер по репликации вообще.
Не хочешь ошибок в логе - стопорни службу репликации. Или вычисти, наконец, ссылки на покойника.

(5) Ссылок на покойника нет нигде. Они вычищены ntdsutil.
>> для чего?
Стопорнуть NTFRS  я не хочу, потому что нужно поднять второй DC и репликация SYSVOL будет необходима.

>> сейчас не работает?
Работает, но с ошибками. При запуске пишет ошибку, которую я выше уже публиковал, про отсутствие необходимых объектов.

Насчет партнера по репликации я считаю, что ты неправ. Он как-бы есть, т.е. это сам сервер. В контейнерах AD есть контейнер самого сервера, типа localhost. При появлении нового DC туда добавляется еще один контейнер. Так что контейнер самого сервака есть всегда. Я сравниваю с чистым сервером, свежепоставленным. Так вот там есть те ключи реестра, которых нет у меня, и я считаю, что проблема в этом.

>>Ссылок на покойника нет нигде. Они вычищены ntdsutil.
Слишком оптимистично для человека, у которого банальный dcpromo не отработал как положено... :)
Некую гарантию очистки может дать разве что fdisk/format.
Почитай это: http://blog.squirell.org.ua/2009_01_23_archive.html?widgetType=BlogArchive&widgetId=BlogArchive1&action=toggle&dir=open&toggle=DAILY-1207947600000&toggleopen=DAILY-1209934800000
Там в п.7 написано, где искать…

>> Стопорнуть NTFRS  я не хочу.
Да не насовсем, чисто посмотреть уйдет ошибка или она следствие чег-то ещё…

Я так понимаю, что netdiag и dcdiag  с ключем /fix уже исполнялись?..

Далее.
У тебя в (0) ошибка в названии объекта NTFRsSuscriber. Это опечатка или с таким именем и создал? Кстати, ещё вариант. Может ты свой DC на что-то подписал («получатель»), а доставлять неоткуда…

Насчет
>>надо создать раздел с GUID  в Replica Sets, но вот как узнать какой GUID туда написать?
Посмотри рядом, в \Parameters\Cumulative Replica Sets, может там не потерлось…
Можешь ещё посмотреть на своём эталонном DC соотвесттвует ли GUID из Replica Sets GUID’у объекта NTDS Settings в разделе DC в контейнере Sites. Возможно, это одни и те же яйца и тогда заберешь в реестр на рабочем из его NTDS Settings.

>> Насчет партнера по репликации я считаю, что ты неправ. Он как-бы есть, т.е. это сам сервер. . В контейнерах AD есть контейнер самого сервера, типа localhost. При появлении нового DC туда добавляется еще один контейнер. Так что контейнер самого сервака есть всегда.
Это притянуто за яйца. Причем тут репликация? В AD полно контейнеров…

>> там есть те ключи реестра, которых нет у меня, и я считаю, что проблема в этом.
Ну так создай! По ключам читать тут: http://technet.microsoft.com/en-us/library/cc786122(WS.10).aspx
Кстати, там сказано и про ключик Debug Log Severity. По умолчанию двойка, подыми до пяти, может что полезное разглядишь… ПотОм вернешь в зад.
Там рядом и по работе FRS, с картинками:
http://technet.microsoft.com/en-us/library/cc758169(WS.10).aspx#w2k3tr_frs_how_bopg

Млин! Только что разглядел, что ты смотришь frsevent!Это же не /frssysvol...
Есть мнение, что event может отражать события давно минувших дней => вычистить логи ntfrs.
-----------------

Полезно будет позапускать NtFRSUtl, ещё средство File Replication Service Diagnostics Tool (FRSDiag.exe):
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=43CB658E-8553-4DE7-811A-562563EB5EBF&displaylang=en

>> Есть мнение, что event может отражать события давно минувших дней => вычистить логи ntfrs
Да. Может отражать, вернее так и делает. Я чистил лог FRS. Посмотрел Dcdiag, все гуд. Рестартанул FRS и снова ошибки. Т.е. они существуют, и проблема вместе с ними также.
Все эти ntfrsutil и frsdiag уже использовались. Ничего конкретного. Они не показывают почему не работает FRS.
Я создал эту тему только тогда, когда перечитав все и все перепробовав, не нашел решения.

(9)Эта ошибка не говорит, что frs не работает.
Ты запустил тест с параметром, который смотрит в лог ntfrs.
Что показывает Dcdiag /frssysvol ?

>> Там в п.7 написано, где искать…
Нет шар по причине неработоспособности NTFRS.
>> Я так понимаю, что netdiag и dcdiag  с ключем /fix уже исполнялись?..
конечно.
>> У тебя в (0) ошибка в названии объекта NTFRsSuscriber
Да. Просто ошибся. В АD такой не создашь, а только правильный.
>> Посмотри рядом, в \Parameters\Cumulative Replica Sets, может там не потерлось
Там тоже пусто.
>> Можешь ещё посмотреть на своём эталонном DC
А это я им и занимаюсь. Нет более никакого, только один DC.
>> Это притянуто за яйца. Причем тут репликация? В AD полно контейнеров
В AD всегда есть контейнер самого DC, он там должен быть всегда. Так вот в NTFRSSubscriber в атрибуте FRSMemberReference пишется объект CN=SERVER,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=xxx,DC=ru
Т.е. ссылается сам на себя. И тогда то же самое появляется в CN=SERVER,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=xxx,DC=ru но только в атрибуте FRSMemberReferenceBL.
Когда же будет еще один DC и еще соответственно один NTFRSSubscriber, то тогда в атрибуте FRSMemberReference будет писаться контейнер другого DC.

Про ключики читаю, но не вижу, как создать раздел с GUID. Кстати, не в курсе, как перевести GUID из октетов в читаемый вид типа {00000-.....-0000}, че-то я не нашел прог, только для обратного преобразования нашел.

Тест sysvol

Domain Controller Diagnosis

Performing initial setup:
  * Verifying that the local machine server, is a DC.
  * Connecting to directory service on server server.
  * Collecting site info.
  * Identifying all servers.
  * Identifying all NC cross-refs.
  * Found 1 DC(s). Testing 1 of them.
  Done gathering initial info.

Doing initial required tests

  Testing server: Default-First-Site-Name\SERVER
     Starting test: Connectivity
        * Active Directory LDAP Services Check
        * Active Directory RPC Services Check
        ......................... SERVER passed test Connectivity

Doing primary tests

  Testing server: Default-First-Site-Name\SERVER
     Test omitted by user request: Replications
     Test omitted by user request: Topology
     Test omitted by user request: CutoffServers
     Test omitted by user request: NCSecDesc
     Test omitted by user request: NetLogons
     Test omitted by user request: Advertising
     Test omitted by user request: KnowsOfRoleHolders
     Test omitted by user request: RidManager
     Test omitted by user request: MachineAccount
     Test omitted by user request: Services
     Test omitted by user request: OutboundSecureChannels
     Test omitted by user request: ObjectsReplicated
     Starting test: frssysvol
        * The File Replication Service SYSVOL ready test
        File Replication Service's SYSVOL is ready
        ......................... SERVER passed test frssysvol
     Test omitted by user request: frsevent
     Test omitted by user request: kccevent
     Test omitted by user request: systemlog
     Test omitted by user request: VerifyReplicas
     Test omitted by user request: VerifyReferences
     Test omitted by user request: VerifyEnterpriseReferences
     Test omitted by user request: CheckSecurityError

  Running partition tests on : ForestDnsZones
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running partition tests on : DomainDnsZones
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running partition tests on : Schema
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running partition tests on : Configuration
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running partition tests on : int
     Test omitted by user request: CrossRefValidation
     Test omitted by user request: CheckSDRefDom

  Running enterprise tests on : xxx.ru
     Test omitted by user request: Intersite
     Test omitted by user request: FsmoCheck
     Test omitted by user request: DNS
     Test omitted by user request: DNS

>> Эта ошибка не говорит, что frs не работает.
Согласен. Она работает, но некорректно. Достаточно даже не поднимать второй DC, а просто создать корень DFS. Никакой репликации при этом не происходит, а те же ошибки.

>>Нет шар по причине неработоспособности NTFRS.
Это ты про что?
Ресурсы типа
\\server\sysvol\xxx.ru\Policies\{GUID}\ не доступны?


----------------------
>>Достаточно даже не поднимать второй DC, а просто создать корень DFS

О чем ещё ты умолчал?
Ошибка может быть и из-за удаленной ссылки в DFS.

>>Никакой репликации при этом не происходит, а те же ошибки.

Так может просто frs не может понять, что кто-то будет поднимать DFS на единственной машине. Т. е. отсутствие хоть одного партнера по репликации - это ужЕ ошибка?..

Кстати, на чем хоть DC?

>> Это ты про что?
Ну ты писал про п.7, а там написано про net share. Так вот там не было шар sysvol и netlogon
>> Ресурсы типа
\\server\sysvol\xxx.ru\Policies\{GUID}\ не доступны?
Доступны.
>> О чем ещё ты умолчал?
Есть один корень DFS. Попробовал запустить репликацию и увидел, что репликация не идет. Остановил ее.
>> Так может просто frs не может понять, что кто-то будет поднимать DFS на единственной машине.
FRS нужна только для репликации. При отсутствии репликации работе DFS она никак не мешает, да и не связана с ней.
>>Ошибка может быть и из-за удаленной ссылки в DFS.
Там всего одна ссылка.
>> Кстати, на чем хоть DC?
win 2003 ent

Ну ты писал про п.7, а там написано про net share.
к п.7 отсылал как к списку мест, где нужно чистить ссылки...

>>Так вот там не было шар sysvol и netlogon
>>\\server\sysvol\xxx.ru\Policies\{GUID}\ не доступны?
Доступны.

шар нет, но по сети доступны?

DFS подразумевает что есть on-line реплика содержимого шары где-то ещё... Или зачем она нужна?

>>При отсутствии репликации работе DFS она никак не мешает, да и не связана с ней

Где про это можно почитать?

>> шар нет, но по сети доступны?
с SYSVOL все ОК. Все доступно, люди входят в домен. Та статья, что с п.7, мной была уже изучена и исполнена до этого.
>> Где про это можно почитать?
Не знаю. Но я знаю для чего нужна NTFRS, она нужна именно для репликации. А если у тебя в DFS не используется репликация целевых папок, то необходимость в ней отпадает. Можешь остановить FRS и пользоваться DFS далее.
>> DFS подразумевает что есть on-line реплика содержимого шары где-то ещё... Или зачем она нужна?

А может ее и нет. Я создал корень, в нем создал одну ссылку на одну целевую папку. ВСЕ! Я не создавал более для этой ссылки целевых папок.

DFS нужна не только для репликации, а еще для того, чтобы админ имел возможность перекидывать ресурсы между серверами, тогда как для конечного юзера ничего не изменится. Как заходил он в свою, к примеру, xxx\library, так и будет заходить. При этом эта library переехала с dc1 на dc10. А репликация нужна между сайтами, чтобы имелась актуальная информация в этих самых library в разных сайтах.

ОК.
С  Debug Log Severity не пробовал детализацию логов увеличить?
Ну и сами логи ntfrs почитать...

И ещё. Ты писАл:
>>Так вот там не было шар sysvol и netlogon

Теперь есть? как восстанавливал? может права не те/не тем дал...

Ошибка дословно означает, что есть проблема репликации, которая _возможно_ приведет к проблемам с политиками...

>> Ну и сами логи ntfrs почитать...
Прочел.
<RcsMain:                       3724: 10445: S0: 10:14:11> :S: Replica subsystem has started.
<FrsPrintEvent:                 7544:   614: S0: 10:14:11> :E: Eventlog written for EVENT_FRS_DS_POLL_ERROR_SUMMARY (13562) severity: Warn  at:   10:14:11
<FrsPrintEvent:                 7544:   617: S0: 10:14:11> :E: STRINGS:
<FrsPrintEvent:                 7544:   620: S0: 10:14:11> :E:   0 : 'server.xxx.ru'
<FrsPrintEvent:                 7544:   620: S0: 10:14:11> :E:   1 : ''

>> И ещё. Ты писАл:
  Так вот там не было шар sysvol и netlogon
Видимо, не поняли друг друга. Это было на втором DC, когда он был. Шар там не было. А на первом все ОК и все есть.

(18)Это на max детализации (Debug Log Severity=5)?

>>Все эти ntfrsutil и frsdiag уже использовались. Ничего
конкретного. Они не показывают почему не работает FRS.

просто отчеты можно сравнить с эталонным.

А может просто где-то ошибся при восстановлении парамтеров ntfrs. Кстати, а куда делся ключ \Parameters\Replica Sets?
Сам потерся?

Вот из исходников виндовоза:

//
// MessageId: EVENT_FRS_DS_POLL_ERROR_SUMMARY
//
// MessageText:
//
Following is the summary of warnings and errors encountered by File Replication Service
while polling the Domain Controller %1 for FRS replica set configuration information.
//  %n
//  %n %2
//  %n
//
#define EVENT_FRS_DS_POLL_ERROR_SUMMARY  0x800034FAL

>> А может просто где-то ошибся при восстановлении парамтеров ntfrs. Кстати, а куда делся ключ \Parameters\Replica Sets?
ХЗ. Не при мне было это. Такое досталось.

>> Это на max детализации (Debug Log Severity=5)?
неа. Я ключа такого не нашел. Его нет. Можно создать, а какой тип этого ключа? DWORD?

>> просто отчеты можно сравнить с эталонным.
Я сравнил. На чистом вот так:
<RcsMain:                       3712: 10445: S0: 00:25:52> :S: Replica subsystem has started.
<ChgOrdRetrySubmit:             2996: 14639: S1: 00:26:09> ++ ChgOrdRetryCS: submit for Replica DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
<FrsPrintEvent:                 2996:   614: S0: 00:26:09> :E: Eventlog written for EVENT_FRS_SYSVOL_READY (13516) severity: Info  at:   00:26:09
<FrsPrintEvent:                 2996:   617: S0: 00:26:09> :E: STRINGS:

Тип не знаю, попробуй Dword или какой предложит по умролчанию.

Ещё ключи
Debug Disable
Registry path

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
Version

Windows Server 2003 and Windows 2000

Disables the FRS debug log files. By default, FRS records its actions in debug log files. These log files are named NtFrs_000n.log and are located in the Systemroot\Debug directory. These files are typically used to investigate FRS replication problems.

To find more information aboutthis registry entry, see Registry Reference in Tools and Settings Collection.
Debug Log File
Registry path

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
Version

Windows Server 2003 and Windows 2000

Specifies where FRS stores its debug log files. If you change the value of this entry, FRS creates new debug log files in the directory specified, but it does not move existing debug log files to the new location. Also, FRS does not delete or maintain log files in the original location.

To find more information aboutthis registry entry, see Registry Reference in Tools and Settings Collection.
Debug Log Files
Registry path

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
Version

Windows Server 2003 and Windows 2000

Specifies how many FRS debug log files can be active simultaneously. FRS creates a set of sequential log files named NtFrs_000n.log. The files are numbered, beginning with 0001, so that the log with the highest number contains the most recently logged entries. The log files are retained until the number of files reaches the value of this entry, and then FRS deletes NtFrs_0001.log and renumbers all remaining logs accordingly.

To find more information aboutthis registry entry, see Registry Reference in Tools and Settings Collection.
Debug Log Severity
Registry path

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
Version

Windows Server 2003 and Windows 2000

Specifies the level of detail that FRS records in its debug log files (NtFrs_000n.log). FRS assigns severity levels to different log print statements in the FRS code. The value of this entry determines which severity levels are written to the log. The higher the value of this entry, the more detail the log records.

If the value of this entry is 0, only the most severe events are recorded in the log. If the value of this entry is 5, all events are recorded in the log. The default value is set to 2 so that tracking records are displayed, as well as warning and error messages.

To find more information aboutthis registry entry, see Registry Reference in Tools and Settings Collection.
Debug Maximum Log Messages
Registry path

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
Version

Windows Server 2003 and Windows 2000

Specifies how many entries can be stored in each FRS debug log file (NtFrs_000n.log). When the number of event entries reaches the value of Debug Maximum Log Messages, the system closes the current log file and starts a new one. The log files are numbered sequentially, so when FRS closes NtFrs_0001.log, it begins NtFrs_0002.log.

To find more information aboutthis registry entry, see Registry Reference in Tools and Settings Collection.

А результаты ntfrsutil и frsdiag?

Сравни с эталоном ещё:
AD Sites and Services>Sites>Default-First-Site-Name>Servers>Servername>NTDS Settings

Может пригодится...
How to rebuild the SYSVOL tree and its content in a domain:
http://support.microsoft.com/kb/315457

Где выставлять BurFlags в d4 ужЕ знаешь.


--------------
Ещё:
http://www.chicagotech.net/troubleshooting/eventid1134&13562.htm

>> А результаты ntfrsutil и frsdiag?
Совпадают. Только у frsdiag ошибки, взятые из event viewer.
>> Сравни с эталоном ещё:
AD Sites and Services>Sites>Default-First-Site-Name>Servers>Servername>NTDS Settings
Это восстановлено полностью согласно статье 312862.
>> How to rebuild the SYSVOL tree and its content in a domain:
Тоже досконально изучил и сделал. Раздел не создался.

Пипец просто. Не знаю, че делать. Хоть создавать домен заново.

Ну хз. Может на саму ветку \Parameters\Replica Sets не хватает прав на создание разделов/ключей?
Попробуй с BurFlags=2...
http://support.microsoft.com/kb/290762/

Пока искал тебе ссылки мелькнуло, что люди мувили sysvol в пределах тома, делали restore и обратно...

Знаю, что sysvol надо перемещать в пределах тома. Тоже делал.
Я тут нашел нужный мне Guid, сравнил реестр с результатом ntfrsutl ds
Оказалось, что это Guid самого DC. Создал раздел, а при рестарте ntfrs эта сука его потерла. То ли не подходит ей, то ли еще чего.

Да, права вроде все есть на эту ветку, опять же сравнивал с чистым.

а это:
>>You may also try to use Netdom.exe to Reset Machine Account Passwords

>>при рестарте ntfrs эта сука его потерла
а ты в CurrentControlSet делал?
может следует и в ControlSet00x сразу сделать?

может импортнуть с донора ветки \NtFrs со всеми ключами, заменить GUID и экспорт...

>>You may also try to use Netdom.exe to Reset Machine Account Passwords
а что это вообще? Я не знаю че это?
>> а ты в CurrentControlSet делал?
ага, не туда надо?
>> может следует и в ControlSet00x сразу сделать?
Честно говоря, я не знаю, зачем там их несколько этих ControlSet00x
>> может импортнуть с донора ветки \NtFrs со всеми ключами, заменить GUID и экспорт..
так и сделал.

http://support.microsoft.com/kb/260575/en-us

А для какой цели это делать? Зачем сбрасывать эти пароли?

Это отсюда:
http://www.chicagotech.net/troubleshooting/eventid1134&13562.htm

Понял. Не то. Написано You are running two domain controllers.
А у меня он один.

Проблема нерешаемая, либо очень сложная. Задал тот же вопрос еще на 3 форумах, пока ничего.