Dns серверу не удалось открыть active directory
В этой статье устраняется ИД события 4013, войдите в журнал событий DNS контроллеров доменов, которые после Windows будут размещены роли сервера DNS.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2001093
Дополнительные сведения
Тестирование 10 мая 2010 г. командой разработчиков Active Directory:
DNS ждет NTDS, и он не может начаться до завершения начальной репликации каталога. Это потому, что последние данные DNS еще не могут быть реплицированы на контроллер домена. С другой стороны, NTDS необходимо DNS для решения IP-адреса контроллера домена источника для репликации. Предположим, что DC1 указывает на DC2 в качестве DNS-сервера, а DC2 — на DC1 в качестве DNS-сервера. При одновременной перезагрузке DC1 и DC2 запуск будет медленным из-за этой взаимной зависимости. Основной причиной этого медленного запуска является DNSQueryTimeouts.
Если служба DNS Server работает хорошо при запуске NTDS, NTDS принимает только два запроса DNS для решения IP-адреса контроллера домена источника:
И эти DNS-запросы возвращаются практически мгновенно.
- четыре для имени на основе GUID
- четыре для полноквалифицированного имени
- два для однометного имени
Задержка для каждого запроса DNS контролируется DNSQueryTimeouts. По умолчанию для DNSQueryTimeouts установлено значение 1 1 2 4 4. Это означает, что клиент DNS будет ждать 12 (1 + 1 + 2 + 4 + 4) секунд для ответа сервера DNS. Каждый источник контекста именования занимает 120 секунд для решения IP-адреса. Предположим, что существует пять контекстов именования (Конфигурация, Схема, домен, ForestDnsZones, DomainDnsZones) и один источник репликации. В этом сценарии для завершения начальной репликации NTDS требуется 850 (170 X 5) секунд или более 14 минут.
Для проверки вышеуказанного поведения было сделано несколько тестов.
Перезагрузка контроллера домена, когда DNS-сервер является третьим контроллером домена, который находится в Интернете. Для каждого контекста именования каждого источника у нас есть два запроса DNS, и они завершались практически мгновенно:
Перезагрузка DC1 и DC2 одновременно. DC1 использует DC2 для DNS DC2, а DC1 — для DNS. Для каждого контекста именования каждого источника у нас есть 10 запросов DNS и каждый запрос занимает около 12 секунд:
Чтобы дополнительно изучить связь между DNSQueryTimeouts и медленным запуском, DNSQueryTimeouts были назначены 1 1 2 4 4 , чтобы клиент DNS ждал 31 (1 + 1 + 2 + 4 + 4) секунды. В этом тесте 31 секунда была потрачена на ожидание:
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону.
Способ 2. Синхронизация времени компьютеров
Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.
Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт:
258059 Как синхронизировать время на компьютерах под управлением Microsoft Windows 2000 в домене Microsoft Windows NT 4.0
216734 Настройка основного сервера времени в Windows 2000
Все ответы
При перезагрузке ошибка должна уйти.
А пока, для начала, после удаления "мёртвого" контроллера просто перезапустите службу DNS на "живом", если при этом ошибки исчезли - перезапустите службу Netlogon (Сетевой вход в систему), чтобы она зарегистрировала в DNS нужные для обнаружения КД записи.
PS Если ошибка не уйдёт после перезагрузки - пишите сюда, будем разбираться дальше.
Один контроллер домена в сети, он же DNS-сервер
DNS-серверу не удалось открыть Active Directory.
Ответы
Есть другой сервер, чтобы поднять на нём DNS, создать там зону домена - стандартную первичную, с разрешением небезопасных динамических обновлений, и указать его в качестве единственного сервера DNS на КД?
Если да, то, чтобы развязать AD и DNS, сделайте это, выполните динамическую регистрацию всех имён DNS (команды ipconfig /registerdns и nltest /dsregdns) и попробуйте запустить dcdiag после этого.
И ещё, нет ли у вас других серверов DNS в свойствах сетевых подключений на КД? Если есть, то их надо убрать - резолвер на КД вполне мог переключиться на один из них и обратно он просто так не переключится.
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff 29 ноября 2017 г. 6:52
Вопрос
Доброго времени Всем!
В сети было два контроллера домена.
Основной контроллер домена умер.
Командой Seize на втором контроллере перехватил все права на домен.
После перезагрузки не появляются зоны в DNS
В логах пишет:
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. Данными о событии является код ошибки.
Возможно это связано с репликацией на первый контроллер, которого больше нет.
Удалил его сегодня из AD но не перезагружал еще компьютер. По рдп там работаю пользователи.
netstat на 53 порту LISTEN
dcdiag /fix пишет
C:\Windows\system32>dcdiag /fix
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DC2
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\DC2
Запуск проверки: Connectivity
Узел d2b1933b-aca6-4ff6-9cd5-c189fdf990dd._msdcs.office11.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра.
. DC2 - не пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\DC2
Пропуск всех проверок, поскольку сервер DC2 не отвечает на запросы службы каталога.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: office11
Запуск проверки: CheckSDRefDom
. office11 - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. office11 - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: office11.local
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка 1355
Не удается найти центр распространения ключей (KDC) - все KDC отключены.
. office11.local - не пройдена проверка LocatorCheck
Запуск проверки: Intersite
. office11.local - пройдена проверка Intersite
C:\Windows\system32>
Подскажите, пожалуйста, как быть?
Все ответы
. Сервер проверки: DEfault-First-Site-Name\SERVER-DC
Пропуск всех проверок, поскольку сервер SERVER-DC не отвечает на запросы службы каталога
Один контроллер домена в сети, он же DNS-сервер
А в AD у вас никаких других контроллеров не числится? Сейчас вы проверить это не можете. Но если это так, то через час-другой после запуска сервера AD и DNS запустятся нормально (все таймауты кончатся) и вы можете проверить в AD Sites & Services, не числится ли у вас других контроллеров в лесу. Если там есть другие контроллеры (и если вы точно уверены, что в сети их нет и никогда больше не будет) - удалите их прямо оттуда.
PS Задержка запуска AD и DNS при наличии другого недоступного контроллера в AD связана с требованием начальной синхронизации разделов каталога для владельцев ролей FSMO: пока таймауты синхронизации не кончатся, AD нормально работать не будет. В Win2012 и выше соотвествующие таймауты, похоже, уменьшили, но вот в Win2K8 эта задержка может быть реально большой (втречались упоминания - больше часа). В принципе, начальную синхронизацию можно отключить через реестр, но лучше не отключать: это - крайне полезная защитная мера на случай конфликта владельцев FSMO.
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону.
Решение
Некоторые microsoft и внешний контент рекомендовали Repl Perform Initial Synchronizations установить значение реестра до 0 , чтобы обойти начальные требования к синхронизации в Active Directory. Подкайка конкретного реестра и значения для этого параметра являются следующими:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Имя значения: Repl Perform Initial Synchronizations
Тип значения: REG_DWORD
Данные значения: 0
Это изменение конфигурации не рекомендуется использовать в производственных средах или в любой среде на постоянной основе. Использование следует использовать Repl Perform Initial Synchronizations только в критических ситуациях для решения временных и конкретных проблем. Параметр по умолчанию должен быть восстановлен после решения таких проблем.
Другие возможные варианты:
Удалите ссылки на устаревшие контроллеры домена.
Сделайте автономные или не функционируют контроллеры домена рабочими.
Контроллеры домена, принимающие зоны DNS, интегрированные с AD, не должны указать на один контроллер домена и особенно только на себя в качестве предпочтительного DNS для разрешения имен.
Настройка контроллеров домена, указывающих на IP-адрес одного сервера DNS, включая адрес 127.0.0.0.1, представляет собой одну точку сбоя. Этот параметр допустим в лесу только с одним контроллером домена, но не в лесах с несколькими контроллерами домена.
Контроллеры домена hub-site должны указать на DNS-серверы на том же сайте, что и для предпочитаемого и альтернативного DNS-сервера, а затем в качестве другого альтернативного DNS-сервера.
Контроллеры домена веб-сайтов филиала должны настроить предпочтительный IP-адрес DNS-сервера, чтобы указать на сервер DNS-узла, альтернативный IP-адрес DNS-сервера, чтобы указать на сервер DNS на месте или на ближайший доступный сайт, и, наконец, на себя с помощью 127.0.0.0.1 или текущего статического IP-адреса.
Указать на серверы DNS-узлового узла уменьшает количество переходов, необходимых для полной регистрации критически важных записей контроллера домена SRV и HOST. Контроллеры домена на сайте концентратора, как правило, получают наибольшее административное внимание, как правило, имеют самую большую коллекцию контроллеров домена на том же сайте. Поскольку они на одном сайте, происходят изменения репликации между собой:
- каждые 15 секунд в Windows Server 2003 или более поздней
- каждые пять минут в Windows 2000 Server
Такое поведение делает такие записи DNS хорошо известными.
Динамический контроллер домена SRV и регистрации записей A и AAAA не могут сделать его отключенным, если регистрируемый контроллер домена на сайте филиала не сможет реплицировать исходящий.
Компьютеры и серверы-члены должны по-прежнему указать на оптимальные для сайта DNS-серверы в качестве предпочтительных DNS. Кроме того, они могут указать на серверы DNS вне сайта для дополнительной допуска неисправности.
Ваша конечная цель состоит в том, чтобы предотвратить все, что может вызвать отказ в обслуживании, а также балансировать затраты, риски и использование сети, например:
- Задержки репликации и сбои репликации
- сбои оборудования, сбои программного обеспечения
- операционные практики
- кратковременные и долгосрочные отключения электроэнергии
- пожар, кража, наводнение и землетрясения
- террористические события
Убедитесь, что контроллеры домена назначения могут разрешать контроллеры исходных доменов с помощью DNS (например, избежать ошибок).
Необходимо убедиться, что контроллеры домена могут успешно разрешать управляемые записи CNAME для хозяйных записей текущих и потенциальных контроллеров домена. Это позволяет избежать высокой задержки, которая введена логикой отката разрешения имен.
Контроллеры домена должны указать на DNS-серверы, которые:
Недостающие, дублирующие или устаревшие записи CNAME и хост-записей способствуют этой проблеме. Очистка не включена на серверах Microsoft DNS по умолчанию, что повышает вероятность устаревших записей хост-серверов. В то же время очистка DNS может быть настроена слишком агрессивно, что приводит к преждевременной очистке допустимых записей из зон DNS.
Оптимизация контроллеров домена для отката разрешения имен.
Неумело настраивать DNS правильно, чтобы контроллеры домена могли разрешать записи GUID домена CNAME для хозяйских записей в DNS. Для обеспечения конечной репликации разделов Active Directory Windows Server 2003 SP1 и более поздние контроллеры домена были изменены для выполнения отката разрешения имен:
- от контроллера домена CNAME GUID до полноквалифицированного имени хост-кодов.
- от полностью квалифицированного имени хост-имени до имени компьютера NetBIOS.
В журналах событий службы каталогов репликация событий NTDS 2087 и 2088 указывают на то, что:
- контроллер домена назначения не смог разрешить запись GUID GUID контроллера домена CNAME в хост-запись.
- Происходит откат разрешения имен.
Можно настроить файлы WINS, HOST и LMHOST. Так контроллеры домена назначения могут разрешить имена текущих и потенциальных контроллеров домена источника. Из трех решений использование WINS более масштабируемо, так как WINS поддерживает динамические обновления.
IP-адреса и имена компьютеров неизбежно становятся устаревшими. Из-за этой проблемы статичные записи в файлах HOST и LMHOST со временем становятся недействительными. Когда возникает эта проблема, запросы для одного контроллера домена могут быть неправильно разрешены другому контроллеру домена. И запрос имени не наблюдается в сетевом следе.
Измените значение запуска для службы DNS-сервера вручную при загрузке в известной плохой конфигурации.
Если загрузка контроллера домена в известной плохой конфигурации, которая обсуждается в этой статье, выполните следующие действия:
- Установите значение запуска службы DNS Server вручную.
- Перезагружайся, подождите, пока контроллер домена будет рекламироваться.
- Перезапустите службу DNS Server.
Если значение запуска службы для службы DNS Server установлено вручную, Active Directory не ждет запуска службы DNS Server.
Все ответы
При перезагрузке ошибка должна уйти.
А пока, для начала, после удаления "мёртвого" контроллера просто перезапустите службу DNS на "живом", если при этом ошибки исчезли - перезапустите службу Netlogon (Сетевой вход в систему), чтобы она зарегистрировала в DNS нужные для обнаружения КД записи.
PS Если ошибка не уйдёт после перезагрузки - пишите сюда, будем разбираться дальше.
Внимание! Эта статья содержит решения, связанные с изменениями реестра. Перед внесением изменений в реестр рекомендуется создать его резервную копию и изучить процедуру его восстановления в случае возникновения проблем. Сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Диагностика контроллера домена
Выполнение начальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 1753: В системе отображения конечных точек не осталось доступных конечных точек.
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 5: Отказано в доступе.
Нет доступных серверов входа (c000005e = "STATUS_NO_LOGON_SERVERS")
Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Клиенты Microsoft Outlook, подключенные к компьютерам с Microsoft Exchange Server, которые использует данные контроллеры домена для проверки подлинности, могут получить запрос на ввод учетных данных, даже если проверка подлинности входа в систему на других контроллерах домена прошла успешно.
DC list test . . . . . . . . . . . : Сбой
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для . (). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Сбой
[FATAL] Kerberos does not have a ticket for krbtgt/.
[FATAL] Kerberos does not have a ticket for .
LDAP test. . . . . . . . . . . . . : Успешно
[ПРЕДУПРЕЖДЕНИЕ] Failed to query SPN registration on DC \
Проблема
Ниже представлен список некоторых способов решения этих проблем. После него приводятся действия, подлежащие выполнению для каждого решения. Используйте способы по очереди, пока проблема не будет устранена. В конце статьи приводится перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.
Способ 1. Исправление ошибок в службе доменных имен (DNS).
Способ 2. Синхронизация времени компьютеров.
Способ 3. Проверка наличия права Доступ к компьютеру из сети.
Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена.
Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать).
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos.
Дополнительные рекомендации
Избегайте единичек сбоя.
Примеры одиночных точек сбоя:
- Настройка доменного тока для указать на IP-адрес сервера с одним DNS-сервером.
- Размещение всех DNS-серверов на гостевом виртуальном компьютере на одном физическом хост-компьютере
- Размещение всех DNS-серверов на одном физическом сайте
- Ограничение сетевых подключений таким образом, что контроллеры домена назначения имеют только один сетевой путь для доступа к KDC или DNS Server
Установите достаточноЕ количество DNS-серверов для локальных, региональных и корпоративных показателей избыточности, но не так много, что управление становится бременем. DNS обычно является легкой операцией, которая высоко кэшется клиентами DNS и DNS-серверами.
Каждый сервер Microsoft DNS, работающий на современном оборудовании, может удовлетворять 10 000-20 000 клиентов на каждый сервер. Установка роли DNS на каждом контроллере домена может привести к чрезмерному числу DNS-серверов в вашем предприятии. И это увеличит затраты.
Ошеломляйте перезагрузку DNS-серверов в вашем предприятии, когда это возможно.
- Для установки некоторых хотфиксов, пакетов служб и приложений может потребоваться перезагрузка.
- Некоторые клиенты перезагружают контроллеры домена по расписанию (каждые семь дней, каждые 30 дней).
- Запланировать перезагрузку и установку программного обеспечения, требуемого для перезагрузки, с умом. Это необходимо для предотвращения одновременной перезагрузки только DNS-сервера или потенциального партнера репликации источника, на который указывает контроллер домена назначения для разрешения имен.
Если Windows обновления или программного обеспечения управления устанавливается программное обеспечение, которое требует перезагрузки, ошеломляйте установки на целевых контроллерах домена, чтобы половина доступных DNS-серверов, которые контроллеры домена указывают на перезагрузку для разрешения имен одновременно.
Установка устройств UPS в стратегически важных местах для обеспечения доступности DNS во время кратковременных отключений электроэнергии.
Уполномойте серверы DNS на основе UPS с помощью генераторов на месте.
Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена
В меню Пуск выберите команду Выполнить и введите adsiedit.msc.
Разверните узлы Domain NC, DC=domain и OU=Domain Controllers.
Щелкните правой кнопкой мыши контроллер домена и выберите пункт Свойства.
На компьютере под управлением Windows Server 2003 установите на вкладке Редактор атрибутов флажки Отображать обязательные атрибуты и Отображать дополнительные атрибуты. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра значение Оба.
На компьютере под управлением Windows Server 2003 выберите в списке Атрибуты атрибут userAccountControl. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра атрибут userAccountControl.
Если значение атрибута не равно 532480, в поле Изменить атрибут введите 532480 и последовательно нажмите кнопки Задать, Применить и ОК.
Закройте редактор ADSI.
Ответы
Сбросил доменную политику на "по умолчанию". После перезагрузки отключил файрвол в настройках и все заработало. Можно закрывать тему. Спасибо всем, кто откликнулся.
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff 1 февраля 2016 г. 12:27
Причина
Копия Active Directory в некоторых контроллерах домена содержит ссылки на другие контроллеры домена в лесу. Эти контроллеры домена пытаются реплицировать все локальные разделы каталогов во время Windows запуска в рамках начальной синхронизации или синхронизации init.
В попытке загрузки с последним содержимым зоны DNS серверы Microsoft DNS, на которые встроены AD-копии зон DNS, задерживают запуск службы DNS на несколько минут после Windows запуска. Задержка не произойдет, если Active Directory выполнил первую синхронизацию во время Windows запуска. Тем временем Active Directory задерживается из-за входящие разделы репликации каталогов. Репликация отложена до тех пор, пока она не сможет разрешить GUID CNAME своего контроллера исходных доменов на IP-адрес на DNS-серверах, используемых контроллером домена назначения для разрешения имен. Длительность зависания при подготовке сетевых подключений зависит от количества локальных разделов каталогов, проживающих в копии Active Directory контроллера домена. Большинство контроллеров домена имеют по крайней мере следующие пять разделов:
- схема
- configuration
- domain
- раздел приложения DNS в лесу
- раздел приложения DNS для всей области домена
И эти контроллеры домена могут испытывать задержку запуска на 15-20 минут. Наличие дополнительных разделов увеличивает задержку запуска.
DNS Event ID 4013 в журнале событий DNS указывает на задержку запуска службы DNS. Это происходит из-за того, что входящие репликации разделов Active Directory не происходили.
Несколько условий могут усугубить следующие проблемы:
- медленное Windows запуска
- ведение журнала событий DNS 4013 на DNS-серверах, настроенных для зоны, интегрированной с AD, которые неявно находятся на компьютерах, действующих в качестве контроллеров домена.
К этим условиям относятся следующие условия:
- Настройка DNS-сервера, на который размещены зоны DNS, интегрированные с AD. Его копия Active Directory содержит знания других контроллеров домена в лесу, чтобы указать на себя исключительно для разрешения имен DNS.
- Настройка DNS-сервера, на который размещены зоны DNS, интегрированные с AD. Его копия Active Directory содержит знания о других контроллерах домена в лесу, чтобы указать DNS-серверы, которые либо не существуют, в настоящее время находятся в автономном режиме, не доступны в сети, либо не содержат необходимые зоны и записи, необходимые для входящие репликации Active Directory. Примеры включают запись GUID контроллера домена CNAME и соответствующую запись A или AAAA потенциальных контроллеров домена источника.
- Загрузка контроллера домена и DNS-сервера с зонами DNS, интегрированными с AD. Его копия Active Directory содержит знания других контроллеров домена о том, что является эффективной изолированной сетью, так как:
- Сетевой адаптер или сетевой стек на вызываемом или целевом компьютере отключен или нефункционарен.
- Контроллер домена загружается в изолированную сеть.
- Копия Active Directory локального контроллера домена содержит ссылки на устаревшие контроллеры домена, которые больше не существуют в сети.
- Копия Active Directory локального контроллера домена содержит ссылки на другие контроллеры домена, которые в настоящее время отключены.
- Существует проблема в контроллере домена источника, контроллере домена назначения или DNS или сетевой инфраструктуре. Таким образом, копия Active Directory контроллера домена локального домена содержит ссылки на другие контроллеры домена, которые находятся в Интернете и доступны, но не могут быть успешно реплицированы из.
В Windows Server 2003 и Windows 2000 Server SP3 или более поздней модели контроллеры домена, которые исполняют главные роли в операциях, также должны успешно реплицировать входящие изменения в раздел каталога, который поддерживает состояние роли магистрали операций. Перед выполнением операций, зависящих от FSMO, необходимо выполнить успешную репликацию. Такие начальные синхронизации были добавлены, чтобы убедиться, что контроллеры домена были в согласии с владением ролью FSMO и состоянием ролей. Начальные требования к синхронизации, необходимые для работы ролей FSMO, отличаются от начальной синхронизации, о которой говорится в этой статье, когда Active Directory должен входящие репликации, чтобы немедленно запустить службу DNS Server.
Ответы
Сбросил доменную политику на "по умолчанию". После перезагрузки отключил файрвол в настройках и все заработало. Можно закрывать тему. Спасибо всем, кто откликнулся.
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff 1 февраля 2016 г. 12:27
Способ 1. Исправление ошибок в DNS
Введите в командной строке команду netdiag -v. В папке, в которой был выполнен запуск, эта команда создает файл Netdiag.log.
Перед тем как перейти к выполнению дальнейших действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, средства поддержки Windows 2000 Server можно загрузить с веб-узла корпорации Майкрософт по следующему адресу:
Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS заключается в том, что контроллер домена указывает для разрешения DNS-имен на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета
Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт:
291382 Вопросы и ответы о службе DNS в Windows 2000 и Windows Server 2003
237675 Настройка службы доменных имен (DNS) для Active Directory
254680 Планирование пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
255248 Создание дочернего домена в Active Directory и делегация пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Вопрос
Доброго времени Всем!
В сети было два контроллера домена.
Основной контроллер домена умер.
Командой Seize на втором контроллере перехватил все права на домен.
После перезагрузки не появляются зоны в DNS
В логах пишет:
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. Данными о событии является код ошибки.
Возможно это связано с репликацией на первый контроллер, которого больше нет.
Удалил его сегодня из AD но не перезагружал еще компьютер. По рдп там работаю пользователи.
netstat на 53 порту LISTEN
dcdiag /fix пишет
C:\Windows\system32>dcdiag /fix
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DC2
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\DC2
Запуск проверки: Connectivity
Узел d2b1933b-aca6-4ff6-9cd5-c189fdf990dd._msdcs.office11.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра.
. DC2 - не пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\DC2
Пропуск всех проверок, поскольку сервер DC2 не отвечает на запросы службы каталога.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка CrossRefValidation
Выполнение проверок разделов на: office11
Запуск проверки: CheckSDRefDom
. office11 - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. office11 - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: office11.local
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка 1355
Не удается найти центр распространения ключей (KDC) - все KDC отключены.
. office11.local - не пройдена проверка LocatorCheck
Запуск проверки: Intersite
. office11.local - пройдена проверка Intersite
C:\Windows\system32>Подскажите, пожалуйста, как быть?
Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать)
Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует возможность решения проблем, вызванных неправильным использованием редактора реестра. Ответственность за изменение реестра несет пользователь.Откройте редактор реестра.
На левой панели разверните узел Security.
В меню Security выберите пункт Разрешения, чтобы предоставить локальной группе "Administrators" полный доступ к кусту SECURITY, а также дочерним контейнерам и объектам.
Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
На правой панели редактора реестра один раз щелкните запись : REG_NONE.
В меню Вид выберите Вывод двоичных данных. В разделе Формат выберите 1 байт.
В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.
Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
На правой панели двойным щелчком выберите : REG_NONE.
В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена.)
Перезагрузите контроллер домена.
Симптомы
Следующий DNS Event ID 4013 входит в журнал событий DNS контроллеров доменов, которые после начала Windows сервера DNS:
Примеры сценариев клиентов
Несколько контроллеров домена на сайте Active Directory, которые одновременно перезагружаются.
- В том же центре обработки данных развернут домен контроллера с двумя доменами.
- Роль сервера DNS установлена на обоих контроллерах домена, и в ней размещены встроенные в AD копии _msdcs. и доменные зоны Active Directory.
- DC1 настроен для использования DC2 для предпочтительной DNS и для альтернативной DNS.
- DC2 настроена на использование DC1 для предпочтительной DNS и себя для альтернативной DNS.
- Все контроллеры домена имеют бесперебойное питание (UPS) и резервные копии электрогенератора.
- Центр обработки данных испытывает частые отключения электроэнергии от 2 до 10 часов. Устройства UPS держат контроллеры домена в работе до тех пор, пока генераторы не поставляют питание, но не могут запустить систему HVAC. Защита от температуры, встроенная в компьютеры класса сервера, закрывает контроллеры домена, когда внутренние температуры достигают пределов производителя.
- Когда питание в конечном итоге восстановлено, контроллеры домена висят в течение 20 минут. Эта проблема возникает после отображения сетевых подключений и перед отображением запроса logon.
- DNS Event ID 4013 входит в журнал событий DNS.
Связаться с сервером не удалось. Ошибка была: сервер недоступен. Хотите добавить его в любом случае?
Сведения о именова-именах не могут быть расположены
Единые контроллеры домена на сайте Active Directory
Один контроллер домена развернут на сайте.
Установлена роль DNS Server, в ней размещены встроенные в AD копии _msdcs. и доменные зоны Active Directory.
Контроллер домена указывает на себя для предпочтительного DNS.
Контроллер домена не имеет альтернативного DNS-сервера, указанного или указывает на контроллер домена по ссылке широкой сети (WAN).
Контроллер домена перезапущен из-за отключения электроэнергии.
Во время перезапуска может не работать ссылка WAN.
Когда контроллер домена запущен, он может висеть в течение 20 минут. Эта проблема возникает после отображения сетевых подключений и перед отображением запроса logon.
DNS Event ID 4013 входит в журнал событий DNS.
Связаться с сервером не удалось. Ошибка была: сервер недоступен. Хотите добавить его в любом случае?
Сведения о именова-именах не могут быть расположены.
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos
Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска "Вручную".
С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:
netdom resetpwd /server:другой контроллер домена /userd:domain\administrator /passwordd:пароль администратора
netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:пароль администратора
Перезагрузите контроллер домена, подверженный ошибкам.
Запустите службу центра распространения ключей Kerberos и выберите для нее тип запуска Авто.
Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:257623 После обновления операционной системы основного контроллера домена Windows NT 4.0 до Windows 2000 DNS-суффикс контроллера домена не соответствует имени домена
257346 После отмены права "Доступ к компьютеру из сети" перестают работать некоторые средства (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
316710 Определенные службы Exchange не запускаются, если отключена служба центра распространения ключей Kerberos
323542 Не удается запустить оснастку "Active Directory — пользователи и компьютеры", так как сервер неработоспособен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
329887 Не удается воспользоваться оснастками Active Directory из состава консоли управления MMC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) или более поздняя версия (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322267 Удаление клиента для сетей Майкрософт приводит к удалению других служб (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
297234 Разница во времени между клиентским компьютером и сервером (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
280833 Если в прокси-клиенте указаны не все зоны DNS, в службе DNS возникают ошибки, которые трудно обнаружить (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322307 После установки пакета обновления 2 (SP2) для Windows 2000 не удается запустить службы Exchange и оснастки Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Способ 3. Проверка наличия права "Доступ к компьютеру из сети"
Проверьте файл Gpttmpl.inf и убедитесь, что соответствующие пользователи имеют право Доступ к компьютеру из сети на контроллере домена. Для этого выполните указанные ниже действия.
Внесите изменения в файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена. По умолчанию права пользователей на контроллере домена определяются используемой по умолчанию политикой контроллеров домена. По умолчанию файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена расположен в указанной ниже папке.
Примечание. Папка Sysvol может иметь другое расположение, однако путь к файлу Gpttmpl.inf остается неизменным.
Контроллеры домена под управлением Windows Server 2003:
Контроллеры домена под управлением Windows 2000 Server:
Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп "Администраторы", "Прошедшие проверку" и "Все". См. перечисленные ниже примеры.
Контроллеры домена под управлением Windows Server 2003:
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
Контроллеры домена под управлением Windows 2000 Server:
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
Примечание. Группы "Администраторы" (S-1-5-32-544), "Прошедшие проверку" (S-1-5-11), "Все" (S-1-1-0) и "Контроллеры предприятия" (S-1-5-9) имеют хорошо известные, одинаковые для любого домена идентификаторы безопасности.
Удалите все данные справа от записи SeDenyNetworkLogonRight ("Отказ в доступе к компьютеру из сети"). См. следующий пример:
Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.
По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_произвольная_строка. (Учетная запись Support_произвольная_строка используется удаленным помощником.) Так как учетная запись Support_произвольная_строка имеет в каждом домене уникальный идентификатор безопасности, ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте ИД безопасности в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (таким образом его можно будет скопировать обратно после устранения проблемы).
Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если описанные выше действия не приводят к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для используемой по умолчанию политики контроллеров домена.
Читайте также: