Не удалось найти dns зону интегрированную в active directory
Решение
Для решения этой проблемы можно использовать один из следующих методов.
Статус
Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в разделе "Применяется к".
Способ 1
Если вы хотите указать список DNS-серверов, которые могут добавлять записи NS, соответствующие себе, в указанную зону, выберите один DNS-сервер, а затем запустите Dnscmd.exe с помощью переключателя /AllowNSRecordsAutoCreation:
Чтобы установить список TCP/IP-адресов DNS-серверов, которые имеют разрешение на автоматическое создание записей NS для зоны, используйте dnscmd servername /config zonename /AllowNSRecordsAutoCreation IPList команду. Например:
Чтобы очистить список TCP/IP-адресов DNS-серверов, которые имеют разрешение автоматически создавать записи NS для зоны и возвращать зону в состояние по умолчанию, когда каждый основной DNS-сервер автоматически добавляет в зону соответствующую ему запись NS, используйте dnscmd servername /config zonename /AllowNSRecordsAutoCreation команду. Например:
Чтобы запросить список TCP/IP-адресов DNS-серверов, которые имеют разрешение на автоматическое создание записей NS для зоны, используйте dnscmd servername /zoneinfo zonename /AllowNSRecordsAutoCreation команду. Например:
Запустите эту команду только на одном DNS-сервере. Репликация Active Directory распространяет изменения на все DNS-серверы, работающие на DCs в одном домене.
В среде, в которой большинство DNS-компьютеров для домена находятся в филиалах, а некоторые расположены в центре, может потребоваться использовать команду, описанную ранее в этой статье, чтобы установить IPList, включив в него только централизованные Dnscmd DNS-компьютеры. Таким образом, только централизованные DNS-DCs добавляют соответствующие записи NS в доменную зону Active Directory.
Причина
Эта проблема возникает, так как Active Directory имеет ограничение примерно 1200 значений, которые могут быть связаны с одним объектом. В зоне DNS, интегрированной в Active Directory, имена DNS представлены объектами dnsNode, а записи DNS хранятся в качестве значений в многомерном атрибуте dnsRecord на объектах dnsNode, что приводит к ошибкам, перечисленным ранее в этой статье.
Способ 2
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.
Если вы хотите выбрать, какой DNS-сервер не добавляет записи NS, соответствующие себе, в любую зону DNS, интегрированную в Active Directory, используйте редактор реестра (Regedt32.exe) для настройки следующего значения реестра на каждом затронутом DNS-сервере:
Значение реестра: DisableNSRecordsAutoCreation
Тип данных: REG_DWORD
Диапазон данных: 0x0 | 0x1
Значение по умолчанию: 0x0
Это значение влияет на все зоны DNS, интегрированные в Active Directory. Значения имеют следующие значения:
Значение | Смысл |
---|---|
0 | DNS-сервер автоматически создает записи NS для всех зон DNS, интегрированных в Active Directory, если в любой зоне, размещенной на сервере, не содержится атрибут AllowNSRecordsAutoCreation (описанный ранее в этой статье), который не включает сервер. В этой ситуации сервер использует конфигурацию AllowNSRecordsAutoCreation. |
1 | DNS-сервер не создает автоматически записи NS для всех зон DNS, интегрированных в Active Directory, независимо от конфигурации AllowNSRecordsAutoCreation в зонах DNS, интегрированных в Active Directory. |
Чтобы применить изменения к этому значению, необходимо перезапустить службу DNS Server.
Если вы хотите запретить некоторым DNS-серверам добавлять соответствующие записи NS в зоны DNS, интегрированные в Active Directory, на которые они хозяйствуют, можно использовать значение реестра DisableNSRecordsAutoCreation, описанное ранее в этой статье.
Если значение реестра DisableNSRecordsAutoCreation установлено 0x1, ни одна из зон DNS, интегрированных в Active Directory, на котором находится этот DNS-сервер, не будет содержать записи NS. Поэтому, если этот сервер должен добавить собственную запись NS по крайней мере в одну зону DNS, интегрированную в Active Directory, на которую он размещен, не задайте значение реестра 0x1.
Ответы
Active Directory (AD) uses DNS as its locator service to support the various types of services that AD offers, such as Global Catalog (GC), Kerberos, and Lightweight Directory Access Protocol (LDAP). Other non-Microsoft services can be advertised in the DNS, including--but not restricted to--non-Microsoft implementations of LDAP and GC. However, sometimes clients might need to contact a Microsoft-hosted service. For that reason, each domain in DNS has an _msdcs subdomain that hosts only DNS SRV records that are registered by Microsoft-based services. The Netlogon process dynamically creates these records on each domain controller (DC). The _msdcs subdomain also includes the globally unique identifier (GUID) for all domains in the forest and a list of GC servers.
If you install a new forest on a system that runs Windows Server 2003 and let the Dcpromo wizard configure DNS, Dcpromo will actually create a separate zone called _msdcs.<forest name> on the DNS server. This zone is configured to store its records in a forestwide application directory partition, ForestDNSZones, which is replicated to every DC in the forest that runs the DNS service. This replication makes the zone highly available anywhere in the forest.
А востановить относительно просто:
If it is the _msdcs. zone, simply Create a new Forward
Lookup zone named _msdcs. allow dynamic updates and
restart the Netlogon service. (all records in this zone are registered by
the Netlogon service on DCs)
IF it is the _msdcs delegation and your have a _msdcs.
forward lookup zone, create a new delegation named _msdcs, give it the NS
records for all DNS servers that have the _msdcs. zone.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Добрый день,
зону удалите и netlogon сервис перезапустите, должна автоматом создасться.
Вообщем после этих манипуляций зона не создалась! Я даже сервак перезапустил.
Стали появляться новые ошибки:
На DNS-сервере обнаружено недопустимое имя домена в пакете от 216.218.215.123. Пакет будет отклонен. В данных события содержится пакет DNS.
Значение параметра DC-COLO в разделе реестра OptionalNames недопустимо и было пропущено. Измените его значение на значение правильного типа, лежащее в допустимых границах, либо удалите совсем, и тогда будет использоваться значение по умолчанию. Возможно, данное значение было установлено одним из старых приложений, в котором не использовались правильные ограничения.
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность.
Если некоторые клиенты сейчас используют неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS, после такого изменения конфигурации они могут перестать работать. Чтобы помочь выявить такие клиенты, сервер каталогов будет каждые 24 часа регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить клиенты так, чтобы они не использовали их. Как только соответствующие события перестанут регистрироваться в течение достаточно долгого периода, советуем настроить сервер на отклонение таких привязок.
Вы можете включить расширенное ведение журнала, чтобы регистрировать событие при каждой привязке клиента, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять значение для категории ведения журнала событий "События интерфейса LDAP" до уровня 2 или выше.
Дополнительная информация
Каждый DNS-сервер, который является авторитетным для зоны DNS, интегрированной в Active Directory, добавляет запись NS. По умолчанию каждый dc в домене регистрирует запись SRV для набора имен, не определенных для сайта, таких как "_ldap._tcp". и запись(ы) этой карты(ы) доменного имени Active Directory DNS к TCP/IP-адресу (es) DC. Когда DNS-сервер пытается записать запись после примерно 1200 записей с одинаковым общим именем, служба локальной безопасности (LSA) выполняется при 100-процентном использовании ЦП в течение примерно 10 секунд, и регистрация не выполняется. Netlogon повторно регистрирует эту регистрацию каждый час; пик использования ЦП на 100 процентов появляется по крайней мере один раз в час, и попытки регистрации не увенчаются успехом.
Добрый день,
зону удалите и netlogon сервис перезапустите, должна автоматом создасться.
Вообщем после этих манипуляций зона не создалась! Я даже сервак перезапустил.
Стали появляться новые ошибки:
На DNS-сервере обнаружено недопустимое имя домена в пакете от 216.218.215.123. Пакет будет отклонен. В данных события содержится пакет DNS.
Значение параметра DC-COLO в разделе реестра OptionalNames недопустимо и было пропущено. Измените его значение на значение правильного типа, лежащее в допустимых границах, либо удалите совсем, и тогда будет использоваться значение по умолчанию. Возможно, данное значение было установлено одним из старых приложений, в котором не использовались правильные ограничения.
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность.
Если некоторые клиенты сейчас используют неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS, после такого изменения конфигурации они могут перестать работать. Чтобы помочь выявить такие клиенты, сервер каталогов будет каждые 24 часа регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить клиенты так, чтобы они не использовали их. Как только соответствующие события перестанут регистрироваться в течение достаточно долгого периода, советуем настроить сервер на отклонение таких привязок.
Вы можете включить расширенное ведение журнала, чтобы регистрировать событие при каждой привязке клиента, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять значение для категории ведения журнала событий "События интерфейса LDAP" до уровня 2 или выше.
Добрый день,
зону удалите и netlogon сервис перезапустите, должна автоматом создасться.
Вообщем после этих манипуляций зона не создалась! Я даже сервак перезапустил.
Стали появляться новые ошибки:
На DNS-сервере обнаружено недопустимое имя домена в пакете от 216.218.215.123. Пакет будет отклонен. В данных события содержится пакет DNS.
Значение параметра DC-COLO в разделе реестра OptionalNames недопустимо и было пропущено. Измените его значение на значение правильного типа, лежащее в допустимых границах, либо удалите совсем, и тогда будет использоваться значение по умолчанию. Возможно, данное значение было установлено одним из старых приложений, в котором не использовались правильные ограничения.
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность.
Если некоторые клиенты сейчас используют неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS, после такого изменения конфигурации они могут перестать работать. Чтобы помочь выявить такие клиенты, сервер каталогов будет каждые 24 часа регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить клиенты так, чтобы они не использовали их. Как только соответствующие события перестанут регистрироваться в течение достаточно долгого периода, советуем настроить сервер на отклонение таких привязок.
Вы можете включить расширенное ведение журнала, чтобы регистрировать событие при каждой привязке клиента, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять значение для категории ведения журнала событий "События интерфейса LDAP" до уровня 2 или выше.
Создал новый DC, чтобы перенести на него всё со старого и старый выбросить. dcpromo отработал нормально, только вот при тестировании DNS вылезает такая ошибка: Не удалось найти DNS-зону _msdcs.regcon.local, интегрированную в Active Directory. Что за зона такая и как решить эту проблему ?
Исправление Netlogon
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.
Часть Netlogon этого хотфикса дает администраторам больше контроля, как описано выше в этой статье. Исправление должно применяться к каждому dc. Кроме того, чтобы предотвратить попытку динамических обновлений некоторых записей DNS, которые по умолчанию динамически обновляются Netlogon, используйте Regedt32.exe для настройки следующего значения реестра:
Значение реестра: DnsAvoidRegisterRecords
Тип данных: REG_MULTI_SZ
Установите значение в списке mnemonics, указанных в следующей таблице.
Список mnemonics включает в себя:
Mnemonic | Type | Запись DNS |
---|---|---|
LdapIpAddress | A | |
Ldap | SRV | _ldap._tcp. |
LdapAtSite | SRV | _ldap._tcp. . _sites. |
Pdc | SRV | _ldap._tcp.pdc._msdcs. |
Gc | SRV | _ldap._tcp.gc._msdcs. |
GcAtSite | SRV | _ldap._tcp. . _sites.gc._msdcs. |
DcByGuid | SRV | _ldap._tcp. . domains._msdcs. |
GcIpAddress | A | gc._msdcs. |
DsaCname | CNAME | ._msdcs. |
Kdc | SRV | _kerberos._tcp.dc._msdcs. |
KdcAtSite | SRV | _kerberos._tcp. . _sites.dc._msdcs. |
Dc | SRV | _ldap._tcp.dc._msdcs. |
DcAtSite | SRV | _ldap._tcp. . _sites.dc._msdcs. |
Rfc1510Kdc | SRV | _kerberos._tcp. |
Rfc1510KdcAtSite | SRV | _kerberos._tcp. . _sites. |
GenericGc | SRV | _gc._tcp. |
GenericGcAtSite | SRV | _gc._tcp. . _sites. |
Rfc1510UdpKdc | SRV | _kerberos._udp. |
Rfc1510Kpwd | SRV | _kpasswd._tcp. |
Rfc1510UdpKpwd | SRV | _kpasswd._udp. |
Перезапуск службы Netlogon не требуется. Если значение реестра DnsAvoidRegisterRecords создается или изменено, пока служба Netlogon остановлена или в течение первых 15 минут после начала работы Netlogon, соответствующие обновления DNS проходят с небольшой задержкой (однако задержка не позднее 15 минут после начала Netlogon).
DNS-регистрации записей, выполняемые Netlogon, также можно изменить с помощью значения реестра RegisterDnsARecords. Дополнительные сведения см. в дополнительных сведениях о том, как включить или отключить обновления DNSв Windows.
Следует помнить, что как значения реестра DnsAvoidRegisterRecords, так и значения реестра RegisterDnsARecords должны разрешить регистрацию записи хоста (A):
- RegisterDnsARecords = 0x1
Если вы перечислили значения LdapIpAddress и GcIpAddress в параметрах реестра DnsAvoidRegisterRecords, записи A не регистрируются. - RegisterDnsARecords = 0x0
Независимо от того, перечисляется ли значение LdapIpAddress и GcIpAddress в параметрах реестра DnsAvoidRegisterRecords, записи не регистрируются.
Записи, определенные для DC:
Mnemonic | Type | Запись DNS |
---|---|---|
LdapIpAddress | A | |
Ldap | SRV | _ldap._tcp. |
DcByGuid | SRV | _ldap._tcp. . domains._msdcs. |
Kdc | SRV | _kerberos._tcp.dc._msdcs. |
Dc | SRV | _ldap._tcp.dc._msdcs. |
Rfc1510Kdc | SRV | _kerberos._tcp. |
Rfc1510UdpKdc | SRV | _kerberos._udp. |
Rfc1510Kpwd | SRV | _kpasswd._tcp. |
Rfc1510UdpKpwd | SRV | _kpasswd._udp. |
Mnemonic | Type | Запись DNS |
---|---|---|
Gc | SRV | _ldap._tcp.gc._msdcs. |
GcIpAddress | A | gc._msdcs. |
GenericGc | SRV | _gc._tcp. |
Эти списки не включают записи, определенные для сайта. Поэтому серверы DCs и GC в филиалах находятся по записям, которые обычно используются локатором DC. Если программа ищет dc/GC с использованием общих (не для конкретного сайта) записей, таких как записи из списков, перечисленных ранее в этой статье, она находит dc/GC в центре расположения.
Читайте также: