Dns сервер не может открыть зону msdcs
В этой статье устраняется ИД события 4013, войдите в журнал событий DNS контроллеров доменов, которые после Windows будут размещены роли сервера DNS.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2001093
Решение
Некоторые microsoft и внешний контент рекомендовали Repl Perform Initial Synchronizations установить значение реестра до 0 , чтобы обойти начальные требования к синхронизации в Active Directory. Подкайка конкретного реестра и значения для этого параметра являются следующими:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Имя значения: Repl Perform Initial Synchronizations
Тип значения: REG_DWORD
Данные значения: 0
Это изменение конфигурации не рекомендуется использовать в производственных средах или в любой среде на постоянной основе. Использование следует использовать Repl Perform Initial Synchronizations только в критических ситуациях для решения временных и конкретных проблем. Параметр по умолчанию должен быть восстановлен после решения таких проблем.
Другие возможные варианты:
Удалите ссылки на устаревшие контроллеры домена.
Сделайте автономные или не функционируют контроллеры домена рабочими.
Контроллеры домена, принимающие зоны DNS, интегрированные с AD, не должны указать на один контроллер домена и особенно только на себя в качестве предпочтительного DNS для разрешения имен.
Настройка контроллеров домена, указывающих на IP-адрес одного сервера DNS, включая адрес 127.0.0.0.1, представляет собой одну точку сбоя. Этот параметр допустим в лесу только с одним контроллером домена, но не в лесах с несколькими контроллерами домена.
Контроллеры домена hub-site должны указать на DNS-серверы на том же сайте, что и для предпочитаемого и альтернативного DNS-сервера, а затем в качестве другого альтернативного DNS-сервера.
Контроллеры домена веб-сайтов филиала должны настроить предпочтительный IP-адрес DNS-сервера, чтобы указать на сервер DNS-узла, альтернативный IP-адрес DNS-сервера, чтобы указать на сервер DNS на месте или на ближайший доступный сайт, и, наконец, на себя с помощью 127.0.0.0.1 или текущего статического IP-адреса.
Указать на серверы DNS-узлового узла уменьшает количество переходов, необходимых для полной регистрации критически важных записей контроллера домена SRV и HOST. Контроллеры домена на сайте концентратора, как правило, получают наибольшее административное внимание, как правило, имеют самую большую коллекцию контроллеров домена на том же сайте. Поскольку они на одном сайте, происходят изменения репликации между собой:
- каждые 15 секунд в Windows Server 2003 или более поздней
- каждые пять минут в Windows 2000 Server
Такое поведение делает такие записи DNS хорошо известными.
Динамический контроллер домена SRV и регистрации записей A и AAAA не могут сделать его отключенным, если регистрируемый контроллер домена на сайте филиала не сможет реплицировать исходящий.
Компьютеры и серверы-члены должны по-прежнему указать на оптимальные для сайта DNS-серверы в качестве предпочтительных DNS. Кроме того, они могут указать на серверы DNS вне сайта для дополнительной допуска неисправности.
Ваша конечная цель состоит в том, чтобы предотвратить все, что может вызвать отказ в обслуживании, а также балансировать затраты, риски и использование сети, например:
- Задержки репликации и сбои репликации
- сбои оборудования, сбои программного обеспечения
- операционные практики
- кратковременные и долгосрочные отключения электроэнергии
- пожар, кража, наводнение и землетрясения
- террористические события
Убедитесь, что контроллеры домена назначения могут разрешать контроллеры исходных доменов с помощью DNS (например, избежать ошибок).
Необходимо убедиться, что контроллеры домена могут успешно разрешать управляемые записи CNAME для хозяйных записей текущих и потенциальных контроллеров домена. Это позволяет избежать высокой задержки, которая введена логикой отката разрешения имен.
Контроллеры домена должны указать на DNS-серверы, которые:
Недостающие, дублирующие или устаревшие записи CNAME и хост-записей способствуют этой проблеме. Очистка не включена на серверах Microsoft DNS по умолчанию, что повышает вероятность устаревших записей хост-серверов. В то же время очистка DNS может быть настроена слишком агрессивно, что приводит к преждевременной очистке допустимых записей из зон DNS.
Оптимизация контроллеров домена для отката разрешения имен.
Неумело настраивать DNS правильно, чтобы контроллеры домена могли разрешать записи GUID домена CNAME для хозяйских записей в DNS. Для обеспечения конечной репликации разделов Active Directory Windows Server 2003 SP1 и более поздние контроллеры домена были изменены для выполнения отката разрешения имен:
- от контроллера домена CNAME GUID до полноквалифицированного имени хост-кодов.
- от полностью квалифицированного имени хост-имени до имени компьютера NetBIOS.
В журналах событий службы каталогов репликация событий NTDS 2087 и 2088 указывают на то, что:
- контроллер домена назначения не смог разрешить запись GUID GUID контроллера домена CNAME в хост-запись.
- Происходит откат разрешения имен.
Можно настроить файлы WINS, HOST и LMHOST. Так контроллеры домена назначения могут разрешить имена текущих и потенциальных контроллеров домена источника. Из трех решений использование WINS более масштабируемо, так как WINS поддерживает динамические обновления.
IP-адреса и имена компьютеров неизбежно становятся устаревшими. Из-за этой проблемы статичные записи в файлах HOST и LMHOST со временем становятся недействительными. Когда возникает эта проблема, запросы для одного контроллера домена могут быть неправильно разрешены другому контроллеру домена. И запрос имени не наблюдается в сетевом следе.
Измените значение запуска для службы DNS-сервера вручную при загрузке в известной плохой конфигурации.
Если загрузка контроллера домена в известной плохой конфигурации, которая обсуждается в этой статье, выполните следующие действия:
- Установите значение запуска службы DNS Server вручную.
- Перезагружайся, подождите, пока контроллер домена будет рекламироваться.
- Перезапустите службу DNS Server.
Если значение запуска службы для службы DNS Server установлено вручную, Active Directory не ждет запуска службы DNS Server.
Дополнительные сведения
Тестирование 10 мая 2010 г. командой разработчиков Active Directory:
DNS ждет NTDS, и он не может начаться до завершения начальной репликации каталога. Это потому, что последние данные DNS еще не могут быть реплицированы на контроллер домена. С другой стороны, NTDS необходимо DNS для решения IP-адреса контроллера домена источника для репликации. Предположим, что DC1 указывает на DC2 в качестве DNS-сервера, а DC2 — на DC1 в качестве DNS-сервера. При одновременной перезагрузке DC1 и DC2 запуск будет медленным из-за этой взаимной зависимости. Основной причиной этого медленного запуска является DNSQueryTimeouts.
Если служба DNS Server работает хорошо при запуске NTDS, NTDS принимает только два запроса DNS для решения IP-адреса контроллера домена источника:
И эти DNS-запросы возвращаются практически мгновенно.
- четыре для имени на основе GUID
- четыре для полноквалифицированного имени
- два для однометного имени
Задержка для каждого запроса DNS контролируется DNSQueryTimeouts. По умолчанию для DNSQueryTimeouts установлено значение 1 1 2 4 4. Это означает, что клиент DNS будет ждать 12 (1 + 1 + 2 + 4 + 4) секунд для ответа сервера DNS. Каждый источник контекста именования занимает 120 секунд для решения IP-адреса. Предположим, что существует пять контекстов именования (Конфигурация, Схема, домен, ForestDnsZones, DomainDnsZones) и один источник репликации. В этом сценарии для завершения начальной репликации NTDS требуется 850 (170 X 5) секунд или более 14 минут.
Для проверки вышеуказанного поведения было сделано несколько тестов.
Перезагрузка контроллера домена, когда DNS-сервер является третьим контроллером домена, который находится в Интернете. Для каждого контекста именования каждого источника у нас есть два запроса DNS, и они завершались практически мгновенно:
Перезагрузка DC1 и DC2 одновременно. DC1 использует DC2 для DNS DC2, а DC1 — для DNS. Для каждого контекста именования каждого источника у нас есть 10 запросов DNS и каждый запрос занимает около 12 секунд:
Чтобы дополнительно изучить связь между DNSQueryTimeouts и медленным запуском, DNSQueryTimeouts были назначены 1 1 2 4 4 , чтобы клиент DNS ждал 31 (1 + 1 + 2 + 4 + 4) секунды. В этом тесте 31 секунда была потрачена на ожидание:
Пожалуйста, перечитайте внимательнее. Снесли АД которая была в образе, и подняли новую АД с другим доменом.
ДНС на сколько мне известно просто не трогали в тот момент.
Посмотрите, нет ли в этом разделе реестра ключа с параметрами "лишней" зоны:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones
Остановите службу DNS Server и удалите этот ключ, сделав предварительно резервную копию.
Немного схожая проблема.
После новой установки на сервер винды, поднятия AD и DNS, устранения некоторых проблем с DNS возникает такая же ошибка.
Просмотр событий
DNS-сервер
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 0d 00 00 00 .
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 0d 00 00 00 .
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 140
Дата: 13.01.2009
Время: 8:24:31
Пользователь: Н/Д
Компьютер: SERVER
Описание:
DNS-серверу не удалось проинициализировать службу удаленного вызова процедур (RPC). Если она не работает, запустите службу RPC или перезагрузите компьютер. Данными этого события является код ошибки.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: b0 06 00 00 °.
Приложение
Тип события: Ошибка
Источник события: Application Error
Категория события: (100)
Код события: 1000
Дата: 13.01.2009
Время: 8:24:32
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Ошибка приложения dns.exe, версия 5.2.3790.3959, модуль dns.exe, версия 5.2.3790.3959, адрес 0x00013b33.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 64 6e 73 ure dns
0018: 2e 65 78 65 20 35 2e 32 .exe 5.2
0020: 2e 33 37 39 30 2e 33 39 .3790.39
0028: 35 39 20 69 6e 20 64 6e 59 in dn
0030: 73 2e 65 78 65 20 35 2e s.exe 5.
0038: 32 2e 33 37 39 30 2e 33 2.3790.3
0040: 39 35 39 20 61 74 20 6f 959 at o
0048: 66 66 73 65 74 20 30 30 ffset 00
0050: 30 31 33 62 33 33 013b33
Служба ДНС после этого останавливается. После перезапуска несколько часов работает нормально.
Пожалуйста, перечитайте внимательнее. Снесли АД которая была в образе, и подняли новую АД с другим доменом.
ДНС на сколько мне известно просто не трогали в тот момент.
Посмотрите, нет ли в этом разделе реестра ключа с параметрами "лишней" зоны:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones
Остановите службу DNS Server и удалите этот ключ, сделав предварительно резервную копию.
Немного схожая проблема.
После новой установки на сервер винды, поднятия AD и DNS, устранения некоторых проблем с DNS возникает такая же ошибка.
Просмотр событий
DNS-сервер
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 0d 00 00 00 .
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 0d 00 00 00 .
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 140
Дата: 13.01.2009
Время: 8:24:31
Пользователь: Н/Д
Компьютер: SERVER
Описание:
DNS-серверу не удалось проинициализировать службу удаленного вызова процедур (RPC). Если она не работает, запустите службу RPC или перезагрузите компьютер. Данными этого события является код ошибки.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: b0 06 00 00 °.
Приложение
Тип события: Ошибка
Источник события: Application Error
Категория события: (100)
Код события: 1000
Дата: 13.01.2009
Время: 8:24:32
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Ошибка приложения dns.exe, версия 5.2.3790.3959, модуль dns.exe, версия 5.2.3790.3959, адрес 0x00013b33.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 64 6e 73 ure dns
0018: 2e 65 78 65 20 35 2e 32 .exe 5.2
0020: 2e 33 37 39 30 2e 33 39 .3790.39
0028: 35 39 20 69 6e 20 64 6e 59 in dn
0030: 73 2e 65 78 65 20 35 2e s.exe 5.
0038: 32 2e 33 37 39 30 2e 33 2.3790.3
0040: 39 35 39 20 61 74 20 6f 959 at o
0048: 66 66 73 65 74 20 30 30 ffset 00
0050: 30 31 33 62 33 33 013b33
Служба ДНС после этого останавливается. После перезапуска несколько часов работает нормально.
Пожалуйста, перечитайте внимательнее. Снесли АД которая была в образе, и подняли новую АД с другим доменом.
ДНС на сколько мне известно просто не трогали в тот момент.
Посмотрите, нет ли в этом разделе реестра ключа с параметрами "лишней" зоны:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones
Остановите службу DNS Server и удалите этот ключ, сделав предварительно резервную копию.
Немного схожая проблема.
После новой установки на сервер винды, поднятия AD и DNS, устранения некоторых проблем с DNS возникает такая же ошибка.
Просмотр событий
DNS-сервер
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 0d 00 00 00 .
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 0d 00 00 00 .
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 140
Дата: 13.01.2009
Время: 8:24:31
Пользователь: Н/Д
Компьютер: SERVER
Описание:
DNS-серверу не удалось проинициализировать службу удаленного вызова процедур (RPC). Если она не работает, запустите службу RPC или перезагрузите компьютер. Данными этого события является код ошибки.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: b0 06 00 00 °.
Приложение
Тип события: Ошибка
Источник события: Application Error
Категория события: (100)
Код события: 1000
Дата: 13.01.2009
Время: 8:24:32
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Ошибка приложения dns.exe, версия 5.2.3790.3959, модуль dns.exe, версия 5.2.3790.3959, адрес 0x00013b33.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 41 70 70 6c 69 63 61 74 Applicat
0008: 69 6f 6e 20 46 61 69 6c ion Fail
0010: 75 72 65 20 20 64 6e 73 ure dns
0018: 2e 65 78 65 20 35 2e 32 .exe 5.2
0020: 2e 33 37 39 30 2e 33 39 .3790.39
0028: 35 39 20 69 6e 20 64 6e 59 in dn
0030: 73 2e 65 78 65 20 35 2e s.exe 5.
0038: 32 2e 33 37 39 30 2e 33 2.3790.3
0040: 39 35 39 20 61 74 20 6f 959 at o
0048: 66 66 73 65 74 20 30 30 ffset 00
0050: 30 31 33 62 33 33 013b33
Служба ДНС после этого останавливается. После перезапуска несколько часов работает нормально.
Способ 1
Если вы хотите указать список DNS-серверов, которые могут добавлять записи NS, соответствующие себе, в указанную зону, выберите один DNS-сервер, а затем запустите Dnscmd.exe с помощью переключателя /AllowNSRecordsAutoCreation:
Чтобы установить список TCP/IP-адресов DNS-серверов, которые имеют разрешение на автоматическое создание записей NS для зоны, используйте dnscmd servername /config zonename /AllowNSRecordsAutoCreation IPList команду. Например:
Чтобы очистить список TCP/IP-адресов DNS-серверов, которые имеют разрешение автоматически создавать записи NS для зоны и возвращать зону в состояние по умолчанию, когда каждый основной DNS-сервер автоматически добавляет в зону соответствующую ему запись NS, используйте dnscmd servername /config zonename /AllowNSRecordsAutoCreation команду. Например:
Чтобы запросить список TCP/IP-адресов DNS-серверов, которые имеют разрешение на автоматическое создание записей NS для зоны, используйте dnscmd servername /zoneinfo zonename /AllowNSRecordsAutoCreation команду. Например:
Запустите эту команду только на одном DNS-сервере. Репликация Active Directory распространяет изменения на все DNS-серверы, работающие на DCs в одном домене.
В среде, в которой большинство DNS-компьютеров для домена находятся в филиалах, а некоторые расположены в центре, может потребоваться использовать команду, описанную ранее в этой статье, чтобы установить IPList, включив в него только централизованные Dnscmd DNS-компьютеры. Таким образом, только централизованные DNS-DCs добавляют соответствующие записи NS в доменную зону Active Directory.
Причина
Эта проблема возникает, так как Active Directory имеет ограничение примерно 1200 значений, которые могут быть связаны с одним объектом. В зоне DNS, интегрированной в Active Directory, имена DNS представлены объектами dnsNode, а записи DNS хранятся в качестве значений в многомерном атрибуте dnsRecord на объектах dnsNode, что приводит к ошибкам, перечисленным ранее в этой статье.
Дополнительная информация
Каждый DNS-сервер, который является авторитетным для зоны DNS, интегрированной в Active Directory, добавляет запись NS. По умолчанию каждый dc в домене регистрирует запись SRV для набора имен, не определенных для сайта, таких как "_ldap._tcp". и запись(ы) этой карты(ы) доменного имени Active Directory DNS к TCP/IP-адресу (es) DC. Когда DNS-сервер пытается записать запись после примерно 1200 записей с одинаковым общим именем, служба локальной безопасности (LSA) выполняется при 100-процентном использовании ЦП в течение примерно 10 секунд, и регистрация не выполняется. Netlogon повторно регистрирует эту регистрацию каждый час; пик использования ЦП на 100 процентов появляется по крайней мере один раз в час, и попытки регистрации не увенчаются успехом.
Статус
Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в разделе "Применяется к".
Причина
Копия Active Directory в некоторых контроллерах домена содержит ссылки на другие контроллеры домена в лесу. Эти контроллеры домена пытаются реплицировать все локальные разделы каталогов во время Windows запуска в рамках начальной синхронизации или синхронизации init.
В попытке загрузки с последним содержимым зоны DNS серверы Microsoft DNS, на которые встроены AD-копии зон DNS, задерживают запуск службы DNS на несколько минут после Windows запуска. Задержка не произойдет, если Active Directory выполнил первую синхронизацию во время Windows запуска. Тем временем Active Directory задерживается из-за входящие разделы репликации каталогов. Репликация отложена до тех пор, пока она не сможет разрешить GUID CNAME своего контроллера исходных доменов на IP-адрес на DNS-серверах, используемых контроллером домена назначения для разрешения имен. Длительность зависания при подготовке сетевых подключений зависит от количества локальных разделов каталогов, проживающих в копии Active Directory контроллера домена. Большинство контроллеров домена имеют по крайней мере следующие пять разделов:
- схема
- configuration
- domain
- раздел приложения DNS в лесу
- раздел приложения DNS для всей области домена
И эти контроллеры домена могут испытывать задержку запуска на 15-20 минут. Наличие дополнительных разделов увеличивает задержку запуска.
DNS Event ID 4013 в журнале событий DNS указывает на задержку запуска службы DNS. Это происходит из-за того, что входящие репликации разделов Active Directory не происходили.
Несколько условий могут усугубить следующие проблемы:
- медленное Windows запуска
- ведение журнала событий DNS 4013 на DNS-серверах, настроенных для зоны, интегрированной с AD, которые неявно находятся на компьютерах, действующих в качестве контроллеров домена.
К этим условиям относятся следующие условия:
- Настройка DNS-сервера, на который размещены зоны DNS, интегрированные с AD. Его копия Active Directory содержит знания других контроллеров домена в лесу, чтобы указать на себя исключительно для разрешения имен DNS.
- Настройка DNS-сервера, на который размещены зоны DNS, интегрированные с AD. Его копия Active Directory содержит знания о других контроллерах домена в лесу, чтобы указать DNS-серверы, которые либо не существуют, в настоящее время находятся в автономном режиме, не доступны в сети, либо не содержат необходимые зоны и записи, необходимые для входящие репликации Active Directory. Примеры включают запись GUID контроллера домена CNAME и соответствующую запись A или AAAA потенциальных контроллеров домена источника.
- Загрузка контроллера домена и DNS-сервера с зонами DNS, интегрированными с AD. Его копия Active Directory содержит знания других контроллеров домена о том, что является эффективной изолированной сетью, так как:
- Сетевой адаптер или сетевой стек на вызываемом или целевом компьютере отключен или нефункционарен.
- Контроллер домена загружается в изолированную сеть.
- Копия Active Directory локального контроллера домена содержит ссылки на устаревшие контроллеры домена, которые больше не существуют в сети.
- Копия Active Directory локального контроллера домена содержит ссылки на другие контроллеры домена, которые в настоящее время отключены.
- Существует проблема в контроллере домена источника, контроллере домена назначения или DNS или сетевой инфраструктуре. Таким образом, копия Active Directory контроллера домена локального домена содержит ссылки на другие контроллеры домена, которые находятся в Интернете и доступны, но не могут быть успешно реплицированы из.
В Windows Server 2003 и Windows 2000 Server SP3 или более поздней модели контроллеры домена, которые исполняют главные роли в операциях, также должны успешно реплицировать входящие изменения в раздел каталога, который поддерживает состояние роли магистрали операций. Перед выполнением операций, зависящих от FSMO, необходимо выполнить успешную репликацию. Такие начальные синхронизации были добавлены, чтобы убедиться, что контроллеры домена были в согласии с владением ролью FSMO и состоянием ролей. Начальные требования к синхронизации, необходимые для работы ролей FSMO, отличаются от начальной синхронизации, о которой говорится в этой статье, когда Active Directory должен входящие репликации, чтобы немедленно запустить службу DNS Server.
Исправление Netlogon
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.
Часть Netlogon этого хотфикса дает администраторам больше контроля, как описано выше в этой статье. Исправление должно применяться к каждому dc. Кроме того, чтобы предотвратить попытку динамических обновлений некоторых записей DNS, которые по умолчанию динамически обновляются Netlogon, используйте Regedt32.exe для настройки следующего значения реестра:
Значение реестра: DnsAvoidRegisterRecords
Тип данных: REG_MULTI_SZУстановите значение в списке mnemonics, указанных в следующей таблице.
Список mnemonics включает в себя:
Mnemonic Type Запись DNS LdapIpAddress A Ldap SRV _ldap._tcp. LdapAtSite SRV _ldap._tcp. . _sites. Pdc SRV _ldap._tcp.pdc._msdcs. Gc SRV _ldap._tcp.gc._msdcs. GcAtSite SRV _ldap._tcp. . _sites.gc._msdcs. DcByGuid SRV _ldap._tcp. . domains._msdcs. GcIpAddress A gc._msdcs. DsaCname CNAME ._msdcs. Kdc SRV _kerberos._tcp.dc._msdcs. KdcAtSite SRV _kerberos._tcp. . _sites.dc._msdcs. Dc SRV _ldap._tcp.dc._msdcs. DcAtSite SRV _ldap._tcp. . _sites.dc._msdcs. Rfc1510Kdc SRV _kerberos._tcp. Rfc1510KdcAtSite SRV _kerberos._tcp. . _sites. GenericGc SRV _gc._tcp. GenericGcAtSite SRV _gc._tcp. . _sites. Rfc1510UdpKdc SRV _kerberos._udp. Rfc1510Kpwd SRV _kpasswd._tcp. Rfc1510UdpKpwd SRV _kpasswd._udp. Перезапуск службы Netlogon не требуется. Если значение реестра DnsAvoidRegisterRecords создается или изменено, пока служба Netlogon остановлена или в течение первых 15 минут после начала работы Netlogon, соответствующие обновления DNS проходят с небольшой задержкой (однако задержка не позднее 15 минут после начала Netlogon).
DNS-регистрации записей, выполняемые Netlogon, также можно изменить с помощью значения реестра RegisterDnsARecords. Дополнительные сведения см. в дополнительных сведениях о том, как включить или отключить обновления DNSв Windows.
Следует помнить, что как значения реестра DnsAvoidRegisterRecords, так и значения реестра RegisterDnsARecords должны разрешить регистрацию записи хоста (A):
- RegisterDnsARecords = 0x1
Если вы перечислили значения LdapIpAddress и GcIpAddress в параметрах реестра DnsAvoidRegisterRecords, записи A не регистрируются. - RegisterDnsARecords = 0x0
Независимо от того, перечисляется ли значение LdapIpAddress и GcIpAddress в параметрах реестра DnsAvoidRegisterRecords, записи не регистрируются.
Записи, определенные для DC:
Mnemonic Type Запись DNS LdapIpAddress A Ldap SRV _ldap._tcp. DcByGuid SRV _ldap._tcp. . domains._msdcs. Kdc SRV _kerberos._tcp.dc._msdcs. Dc SRV _ldap._tcp.dc._msdcs. Rfc1510Kdc SRV _kerberos._tcp. Rfc1510UdpKdc SRV _kerberos._udp. Rfc1510Kpwd SRV _kpasswd._tcp. Rfc1510UdpKpwd SRV _kpasswd._udp. Mnemonic Type Запись DNS Gc SRV _ldap._tcp.gc._msdcs. GcIpAddress A gc._msdcs. GenericGc SRV _gc._tcp. Эти списки не включают записи, определенные для сайта. Поэтому серверы DCs и GC в филиалах находятся по записям, которые обычно используются локатором DC. Если программа ищет dc/GC с использованием общих (не для конкретного сайта) записей, таких как записи из списков, перечисленных ранее в этой статье, она находит dc/GC в центре расположения.
Решение
Для решения этой проблемы можно использовать один из следующих методов.
Дополнительные рекомендации
Избегайте единичек сбоя.
Примеры одиночных точек сбоя:
- Настройка доменного тока для указать на IP-адрес сервера с одним DNS-сервером.
- Размещение всех DNS-серверов на гостевом виртуальном компьютере на одном физическом хост-компьютере
- Размещение всех DNS-серверов на одном физическом сайте
- Ограничение сетевых подключений таким образом, что контроллеры домена назначения имеют только один сетевой путь для доступа к KDC или DNS Server
Установите достаточноЕ количество DNS-серверов для локальных, региональных и корпоративных показателей избыточности, но не так много, что управление становится бременем. DNS обычно является легкой операцией, которая высоко кэшется клиентами DNS и DNS-серверами.
Каждый сервер Microsoft DNS, работающий на современном оборудовании, может удовлетворять 10 000-20 000 клиентов на каждый сервер. Установка роли DNS на каждом контроллере домена может привести к чрезмерному числу DNS-серверов в вашем предприятии. И это увеличит затраты.
Ошеломляйте перезагрузку DNS-серверов в вашем предприятии, когда это возможно.
- Для установки некоторых хотфиксов, пакетов служб и приложений может потребоваться перезагрузка.
- Некоторые клиенты перезагружают контроллеры домена по расписанию (каждые семь дней, каждые 30 дней).
- Запланировать перезагрузку и установку программного обеспечения, требуемого для перезагрузки, с умом. Это необходимо для предотвращения одновременной перезагрузки только DNS-сервера или потенциального партнера репликации источника, на который указывает контроллер домена назначения для разрешения имен.
Если Windows обновления или программного обеспечения управления устанавливается программное обеспечение, которое требует перезагрузки, ошеломляйте установки на целевых контроллерах домена, чтобы половина доступных DNS-серверов, которые контроллеры домена указывают на перезагрузку для разрешения имен одновременно.
Установка устройств UPS в стратегически важных местах для обеспечения доступности DNS во время кратковременных отключений электроэнергии.
Уполномойте серверы DNS на основе UPS с помощью генераторов на месте.
Симптомы
Следующий DNS Event ID 4013 входит в журнал событий DNS контроллеров доменов, которые после начала Windows сервера DNS:
Способ 2
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.
Если вы хотите выбрать, какой DNS-сервер не добавляет записи NS, соответствующие себе, в любую зону DNS, интегрированную в Active Directory, используйте редактор реестра (Regedt32.exe) для настройки следующего значения реестра на каждом затронутом DNS-сервере:
Значение реестра: DisableNSRecordsAutoCreation
Тип данных: REG_DWORD
Диапазон данных: 0x0 | 0x1
Значение по умолчанию: 0x0Это значение влияет на все зоны DNS, интегрированные в Active Directory. Значения имеют следующие значения:
Значение Смысл 0 DNS-сервер автоматически создает записи NS для всех зон DNS, интегрированных в Active Directory, если в любой зоне, размещенной на сервере, не содержится атрибут AllowNSRecordsAutoCreation (описанный ранее в этой статье), который не включает сервер. В этой ситуации сервер использует конфигурацию AllowNSRecordsAutoCreation. 1 DNS-сервер не создает автоматически записи NS для всех зон DNS, интегрированных в Active Directory, независимо от конфигурации AllowNSRecordsAutoCreation в зонах DNS, интегрированных в Active Directory. Чтобы применить изменения к этому значению, необходимо перезапустить службу DNS Server.
Если вы хотите запретить некоторым DNS-серверам добавлять соответствующие записи NS в зоны DNS, интегрированные в Active Directory, на которые они хозяйствуют, можно использовать значение реестра DisableNSRecordsAutoCreation, описанное ранее в этой статье.
Если значение реестра DisableNSRecordsAutoCreation установлено 0x1, ни одна из зон DNS, интегрированных в Active Directory, на котором находится этот DNS-сервер, не будет содержать записи NS. Поэтому, если этот сервер должен добавить собственную запись NS по крайней мере в одну зону DNS, интегрированную в Active Directory, на которую он размещен, не задайте значение реестра 0x1.
Примеры сценариев клиентов
Несколько контроллеров домена на сайте Active Directory, которые одновременно перезагружаются.
- В том же центре обработки данных развернут домен контроллера с двумя доменами.
- Роль сервера DNS установлена на обоих контроллерах домена, и в ней размещены встроенные в AD копии _msdcs. и доменные зоны Active Directory.
- DC1 настроен для использования DC2 для предпочтительной DNS и для альтернативной DNS.
- DC2 настроена на использование DC1 для предпочтительной DNS и себя для альтернативной DNS.
- Все контроллеры домена имеют бесперебойное питание (UPS) и резервные копии электрогенератора.
- Центр обработки данных испытывает частые отключения электроэнергии от 2 до 10 часов. Устройства UPS держат контроллеры домена в работе до тех пор, пока генераторы не поставляют питание, но не могут запустить систему HVAC. Защита от температуры, встроенная в компьютеры класса сервера, закрывает контроллеры домена, когда внутренние температуры достигают пределов производителя.
- Когда питание в конечном итоге восстановлено, контроллеры домена висят в течение 20 минут. Эта проблема возникает после отображения сетевых подключений и перед отображением запроса logon.
- DNS Event ID 4013 входит в журнал событий DNS.
Связаться с сервером не удалось. Ошибка была: сервер недоступен. Хотите добавить его в любом случае?
Сведения о именова-именах не могут быть расположены
Единые контроллеры домена на сайте Active Directory
Один контроллер домена развернут на сайте.
Установлена роль DNS Server, в ней размещены встроенные в AD копии _msdcs. и доменные зоны Active Directory.
Контроллер домена указывает на себя для предпочтительного DNS.
Контроллер домена не имеет альтернативного DNS-сервера, указанного или указывает на контроллер домена по ссылке широкой сети (WAN).
Контроллер домена перезапущен из-за отключения электроэнергии.
Во время перезапуска может не работать ссылка WAN.
Когда контроллер домена запущен, он может висеть в течение 20 минут. Эта проблема возникает после отображения сетевых подключений и перед отображением запроса logon.
DNS Event ID 4013 входит в журнал событий DNS.
Связаться с сервером не удалось. Ошибка была: сервер недоступен. Хотите добавить его в любом случае?
Сведения о именова-именах не могут быть расположены.
Читайте также: