Test delegations del ошибка dns сервер

Обновлено: 02.07.2024

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DCKronos02
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site\DCKRONOS02
Запуск проверки: Connectivity
. DCKRONOS02 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site\DCKRONOS02

Запуск проверки: DNS

Проверки DNS выполняются без зависания. Подождите несколько минут.
. DCKRONOS02 - пройдена проверка DNS

Выполнение проверок разделов на: ForestDnsZones

Выполнение проверок разделов на: DomainDnsZones

Выполнение проверок разделов на: Schema

Выполнение проверок разделов на: Configuration

Выполнение проверок разделов на: cityhals-k

Выполнение проверок предприятия на: cityhals-k.local
Запуск проверки: DNS
Результаты проверки контроллеров домена:

Контроллер домена: DCKronos02.cityhals-k.local
Домен: cityhals-k.local


TEST: Delegations (Del)
Ошибка: Сервер DNS: dc_kronos.cityhals-k.local.
IP-адрес:<Недоступен> [Missing glue A record]

Отчет о результатах проверки DNS-серверов, используемых приведенными
выше контроллерами домена:

Отчет по результатам проверки DNS:

Auth Basc Forw Del Dyn RReg Ext
____________________________________________________________ _____
Домен: cityhals-k.local
DCKronos02 PASS PASS PASS FAIL PASS PASS n/a

. cityhals-k.local - не пройдена проверка DNS

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DCKronos02
Основной DNS-суффикс . . . . . . : cityhals-k.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : cityhals-k.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 50-E5-49-4C-64-F6
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.3.132(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.3.11
DNS-серверы. . . . . . . . . . . : 192.168.3.33
192.168.3.132
NetBios через TCP/IP. . . . . . . . : Включен

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Помогите разобраться и выбрать путь решения проблеммы.

Домен, 2 контроллера домена, 3-й КД - давно убитый не убранный из АД. Более 1000 ПК, Более 15000 пользователей, основная часть работают время от времени.

Репликая между 1 КД и 2 КД проходит нормально.

Режим работы домена: Windows2000 (основной режим). Режим работы леса: Windows2000.

Также доверительные отношения с другим лесом (тип доверия - Внешнее).

На первом контроллере домена - PDC: АД, ДНС, роли ФСМО, глобальный каталог
На втором - АД, ДНС, глобальный каталог

При перезагрузке 1-го КД служба "Сетевой вход в систему" (Netlogon) в состоянии "Приостановленна" - захожу в службы - делаю Перезапустить - запускается и

всё работает. Последний раз перезагружал очень давно.

Ещё на 1 КД не выполняется архивация SystemStatе (зависает на обработке ctive Directory - NTBackup ID 8012 - "Active Directory" возвратил "Не удалось найти

файл. "при вызове "BackupGetLogs()". ), после того как упс не выдержал долгого отсутствия электричества и просто рубанул систему. Последняя нормальная

архивная копия от 22 февраля. Перенёс я этот КД в "виртуальную песочницу", а там он вообще не хочет загружаться - пишет

lsass системная ошибка:

Не удалось инициализировать SAM из-за след ошибки: Невозможно запустить службу катлогов. 0xс00002e1. перезагружайтесь в режиме восстановления.

На заднем плане пишет "служба каталогов перестраивает индексы"

Те после перезагрузки 1 КД, я так понимаю, и выдаст эту ошибку, следовательно пора что-то делать!)

При попытке восстановиться из этой архивной копии: захожу в режим восстановления - выполняю неавторитетное восстановление - перезагружаюсь.

Включаю 2 КД в вирт песочнице - "Служба каталогов перестраивает индексы. "
В консоли "Users Computers" вижу всю структуру учеток. Хозяева ролей ФСМО - не определены и предлагается их присвоить.
Загружается 1 КД в обычный режим после восстановления из последнего удачного бекапа - не запускается netlogon.
Логинюсь, запускаю Netlogon.

Репликация не происходит, т к 2 КД не видит владельца PDC.

Какие варианты вижу:

1. Поднимаю ещё один КД (это и так планировалось) и переношу роли ФСМО на него (Кстати, в каком порядке лучше переносить роли. ). После dcpromo на 1 КД -

понижение до рядового сервера. Потом выход из домена, format c: и установка windows 2003r2 заново с тем же именем - включение в домен - dcpromo - обратно КД,

передача обратно ролей ФСМО.

2. В "виртуальной песочнице" - переносил туда оба КД. Запускаю 1 КД - нажимаю F8 - режим восстановления каталога ntdsutl не проходит, т к ошибка открытия

Проходит esentutl /p c:\windows\ntds\ntds.dit /!10240 /8 /o
Удаление c:\windows\ntds\ntds.integ.raw и d:\ntds\edb.log res1.log res2.log - журналы транзакций.
После перезагрузки - репликация между двумя КД пролходит нормально. Проверял записи пользователей и компьютеров - полное соответствие до и после. Не проверял

3. Заставить 1 КД делать бэкап SystemStatе, проверить в песочнице перезагрузку, и спойно не торопясь искать причину не зупускания службы Netlogon - но вот

как это сделать - не представляю.

И как 1-ый или 2-ой варианты могут отразится на доверительном отношении с другим лесом - тоже не знаю.

IP 10.31.111.211
Mask 255.255.0.0
GateWay 10.31.111.102

IP 10.31.111.212
Mask 255.255.0.0
GateWay 10.31.111.102

Dns1 10.31.111.211
Dns2 10.31.111.212
Dns3 10.31.118.207 - ДНС второго леса (с кем состоим в доверительных отношениях)

Ситуация следующая: в организации один единственный сервер AD+DNS+FileServer под WinSrv 2012 Std. 4 года как настроен и работал как часы. Пока на прошлой неделе не начались проблемы со входом в общие папки на сервере и машинах в сети, а именно - постоянно запрашивает имя пользователя и пароль, так как отсутствуют серверы которые могли бы обработать запрос на вход в сеть.
Диспетчер серверов показывает на всех ролях зеленые статусы.
Но тесты nslookup и dcdiag выдают ошибки DNS

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = srv
* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Выполнение основных проверок

Запуск проверки: DNS

Проверки DNS выполняются без зависания. Подождите несколько минут.
. SRV - пройдена проверка DNS

Выполнение проверок разделов на: ForestDnsZones

Выполнение проверок разделов на: DomainDnsZones

Выполнение проверок разделов на: Schema

Выполнение проверок разделов на: Configuration

Выполнение проверок разделов на: dc

TEST: Records registration (RReg)
Ошибка. Не удается найти регистрации записей для всех сетевых
адаптеров

Отчет о результатах проверки DNS-серверов, используемых приведенными
выше контроллерами домена:

Отчет по результатам проверки DNS:

Настройка протокола IP для Windows

Ethernet adapter Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it
Физический адрес. . . . . . . . . : 32-30-B1-5C-DD-7E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.55.19.200(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.55.19.1
DNS-серверы. . . . . . . . . . . : 10.55.19.200
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

ipmanyak его состояние рабочее, в службах запущен и DNS сервер и клиент.

В системных журналах какие ошибки пишет? В том числе журнале DNS сервера что есть?

ipmanyak
В журнале ошибок не было. В основной зоне были все записи - и хосты и неймсерверы. Из подзон была только _msdcs и в ней была только одна запись.

1. В панели интерфейсов выбрано: "Прослушивать только по указанным IP-адресам: 10.55.19.200"

2. В логах DNS сервера (Диспетчер DNS -> Глобальные журналы) критических ошибок нет, только уведомления.

3. Проверка ВРА DNS сервера выдала множество ошибок и предупреждений:
BPA

Сейчас даже не скажу, нормально ли это:

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown
> exit

Добавлено:
чуть не забыл..
вот это покажите:

date

21.04.2021

directory

Active Directory, DNS, PowerShell, Windows Server 2016

comments

комментариев 9

Active Directory это надежный, но в то же время крайне сложный и критичный сервис, от работоспособности которого зависит работа всей вашей сети. Системный администратор должен постоянно мониторить корректность работы Active Directory. В этой статье мы рассмотрим основные методики, позволяющие вам быстро проверить и диагностировать состояние вашего домена Active Directory, контроллеров домена и репликации.

Проверка состояния контроллеров домена с помощью Dcdiag

Базовая встроенная утилита для проверки состояния контролеров домена – dcdiag.

Чтобы быстро проверить состояние конкретного контроллера домена AD воспользуйтесь командой:

Данная команда выполняет различные тесты указанного контроллера домена и возвращает статус по каждому тесту (Passed| Failed).

dcdiag проверка состояния контроллера домена active directory

Помимо стандартных тестов, которые выполняются по-умолчанию, можно выполнить дополнительные проверки контроллера домена:

  • Topology – проверяет, что KCC сгенерировал полную топологию для всех DC;
  • CheckSecurityError
  • CutoffServers – находит DC, который не получает репликацию из-за того, что партнёр недоступен;
  • DNS – доступны 6 проверок службы DNS (/DnsBasic, /DnsForwarders,/DnsDelegation,/DnsDymanicUpdate,/DnsRecordRegistration,/DnsResolveExtName)
  • OutboundSecureChannels
  • VerifyReplicas – проверяет корректность репликации разделов приложения
  • VerifyEnterpriseReferences

Например, чтобы проверить корректность работы DNS на всех контроллерах домена, используйте команду:

dcdiag.exe /s:DC01 /test:dns /e /v

dcdiag проверка службы DNS в домене

В результате должна появится сводная таблица по проверкам разрешения имен службой DNS на всех контроллерах (если все ОК, везде должно быть Pass). Если где-то будет указано Fail, нужно выполнить проверку этого теста на указанном DC:

dcdiag.exe /s:DC01 /test:dns /DnsForwarders /v

Чтобы получить расширенную информацию по результатам тестов контроллера домена и сохранить ее в текстовый файл, используйте команду:

dcdiag /s:DC01 /v >> c:\ps\dc01_dcdiag_test.log

расширенная диагностика состояния контроллера домена командой dcdiag

Следующая команда PowerShell позволяет вывести только информацию о выполненных тестах:

Dcdiag /s:DC01 | select-string -pattern '\. (.*) \b(passed|failed)\b test (.*)'

powershell скрипт - вывести информацию о тестах контроллера домена

Чтобы получить состояние всех контроллеров домена, используйте:

Если нужно вывести только найденные ошибки, используйте параметр /q:

dcdiag.exe /s:dc01 /q

dcdiag вывести только ошибки

В моем примере утилита обнаружила ошибки репликации:

dcdiag.exe /s:dc01 /fix

Проверка ошибок репликации между контроллерами домена Active Directory

Для проверки репликации в домене используется встроенная утилита repadmin.

Базовая команда проверки репликации:

repadmin /replsum проверка репликации в домене

Утилита вернула текущий статус репликации между всеми DC. В идеальном случае значение largest delta не должно превышать 1 час (зависит от топологии и настроек частоты межсайтовых репликаций), а количество ошибок = 0. В моем примере видно, что одна из последних репликаций заняла 14 дней, но сейчас все OK.

Чтобы выполнить проверку для всех DC в домене:

Проверку межсайтовой репликции можно выполнить так:

Для просмотра топологии репликации и найденных ошибках, выполните:

Данная команда проверит DC и вернет время последней успешной репликации для каждого раздела каталога (last attempt xxxx was successful).

repadmin /showrepl проверка последней успешной репликации между контроллерами домена

Для запуска репликации паролей с обычного контроллера домена на контроллер домена на чтение (RODC) используется ключ /rodcpwdrepl.

Опция /replicate позволяет запустить немедленную репликацию указанного раздела каталога на определенный DC.

Для запуска синхронизации указанного DC со всеми партнерами по репликации, используйте команду

replmon /syncall <nameDC>

Для просмотра очереди репликации:

В идеальном случае очередь должна быть пуста:

repadmin /queue - очередь репликации

Вы также можете проверить состояние репликации с помощью PowerShell. Например, следующая команда выведет все обнаруженные ошибки репликации в таблицу Out-GridView:

Get-ADReplicationPartnerMetadata -Target * -Partition * | Select-Object Server,Partition,Partner,ConsecutiveReplicationFailures,LastReplicationSuccess,LastRepicationResult | Out-GridView

проверка репликации с помощью Get-ADReplicationPartnerMetadata

html отчет со статусом репликации в домене

  • Active Directory Domain Services (ntds)
  • Active Directory Web Services (adws) – именно к этой службе подключаются все командлеты из модуля AD PowerShell
  • DNS (dnscache и dns)
  • Kerberos Key Distribution Center (kdc)
  • Windows Time Service (w32time)
  • NetLogon (netlogon)

Get-Service -name ntds,adws,dns,dnscache,kdc,w32time,netlogon -ComputerName dc03

проверка служб ADDS на контроллере домена

Итак, в этой статье мы рассмотрели базовые команды и скрипты, которые можно использовать для диагностики состояния вашего домена Active Directory. Вы можете использовать их во всех поддерживаемых версия Windows Server, в том числе на контроллерах домена в режиме Server Core.

Одной из самых частых ошибок связанных с подключением к интернету в Windows, является ошибка: "DNS-сервер не отвечает". При этом, пропадает доступ к интернету. На значке подключения скорее всего будет желтый треугольник, а в браузере, при попытке открыть сайт, вы скорее всего увидите ошибку "Не удается найти DNS-адрес", "err name not resolved ", или что-то в этом роде. Проблема эта вызвана сбоем в работе DNS-сервера, который отвечает за перенаправленные IP-адреса на домен. Если говорить о причинах возникновения этой ошибки, то виновником может быть как сам компьютер, так и маршрутизатор, или оборудование на стороне провайдера.

Сама ошибка "DNS-сервер не отвечает" появляется в результате диагностики сетей Windows. Запустить диагностику очень просто. Достаточно нажать правой кнопкой мыши на значок подключения к интернету, и выбрать "Диагностика неполадок".

Ошибка "DNS-сервер не отвечает"

Иногда, может появляться ошибка: "Параметры компьютера настроены правильно, но устройство или ресурс (DNS-сервер) не отвечает".

Параметры компьютера настроены правильно, но устройство или ресурс (DNS-сервер) не отвечает

Вот такие ошибки. Если вы не знаете что делать, то сейчас мы рассмотрим несколько эффективных советов, которые должны помочь избавится от данных ошибок. В итоге, интернет на вашем компьютере заработает, и сайты начнут открываться. Решения будут одинаковыми для Windows 10, Windows 8, и Windows 7.

Для начала, я советую выполнить несколько простых решений. Есть шанс, что они помогут, и вам не придется разбираться с более сложными настройками.

  • Если у вас интернет подключен через роутер, или модем (по Wi-Fi, или по кабелю) , и вы наблюдаете ошибку "DNS-сервер не отвечает", то попробуйте просто перезагрузить роутер. Отключите питание роутера где-то на минуту, и включите обратно. Не важно какой у вас роутер, TP-Link, D-link, ASUS, или еще какой-то.
  • Перезагрузите свой компьютер, или ноутбук. В данном случае не важно, интернет у вас идет через роутер, или кабелем напрямую от провайдера. Просто выполните перезагрузку.
  • Если интернет подключен через роутер, то проверьте, работает ли интернет на других устройствах. Нет ли там ошибки с ответом DNS-сервера.
  • При подключении через маршрутизатор, если есть возможность, можно подключить интернет напрямую к компьютеру. Для проверки.
  • Постарайтесь вспомнить, после чего появилась ошибка DNS, и проблемы с доступом к интернету. Может после смены каких-то настроек, или установки программ.

Если эти советы не помогли, то попробуйте применить решения, о которых я напишу ниже.

Проверяем службу DNS-клиент

Прежде чем что-то менять, я рекомендую посмотреть, работает ли служба "DNS-клиент". Нажмите на клавиатуре сочетание клавиш Win + R. В появившемся окне введите команду services.msc, и нажмите Ok.

Выполнение команды services.msc

В новом окне ищем службу "DNS-клиент", нажимаем на нее правой кнопкой мыши, и выбираем "Свойства".

Тип запуска должен быть "Автоматически". И если у вас кнопка "Запустить" будет активной, то нажмите на нее. Дальше: "Применить" и "Ok".

Проверка и активация службы DNS-клиент

Если служба у вас была отключена, и вы ее включили, то после перезагрузки компьютера интернет должен заработать.

Меняем настройки DNS-серверов в свойствах подключения

Дальше мы проверим настройки DNS-серверов в свойствах подключения, через которое компьютер подключен к интернету. Если там прописаны какие-то адреса, то можно попробовать выставить автоматическое получение, либо прописать DNS-адреса от Google. Этот способ очень часто позволяет избавится от ошибки "DNS-сервер не отвечает".

Нам нужно открыть окно со всеми подключениями. Для этого можно нажать правой кнопкой мыши на значок подключения к интернету, и выбрать "Центр управления сетями. ". Дальше переходим в "Изменение параметров адаптера".

Изменение параметров адаптера

Дальше правой кнопкой мыши нажимаем на то подключение, через которое вы подключены к интернету (к роутеру) , и выбираем "Свойства". Если подключение по Wi-Fi, то это подключение "Беспроводная сеть", если по кабелю, то "Ethernet" (Подключение по локальной сети) .

У меня, например, проблема с DNS при подключении по Wi-Fi сети через роутер.

DNS-сервер не отвечает по Wi-Fi через роутер TP-Link

В новом окне выделите "IP версии 4 (TCP/IPv4)", и нажмите "Свойства". Если в новом окне у вас прописан какой-то DNS-сервер, то можно попробовать выставить автоматическое получение адресов, и проверить подключение к интернету после перезагрузки компьютера.

Автоматическое получение DNS-серверов в Windows 10

Но чаще всего помогает следующее: ставим переключатель возле "Использовать следующие адреса DNS-серверов", и прописываем DNS от Google:

Нажимаем "Ok" и перезагружаем компьютер.

Такое решение помогает очень часто. Если у вас проблема с получение DNS на всех устройствах, которые подключены через один роутер, то эти адреса можно прописать в настройках роутера, тогда они будут применяться для всех устройств. Как правило, сделать это можно в настройках вашего роутера, в разделе "Интернет", или "WAN". Где задаются параметры для подключения к провайдеру.

Для примера, покажу как это сделать на роутере TP-Link:

Не забудьте сохранить настройки.

Очищаем кэш DNS и другие сетевые параметры

Нужно просто запустить командную строку, и по очереди выполнить несколько команд, которые выполнять очистку кэша DNS-адресов, и других сетевых настроек. Этот способ подойдет как для Windows 10, так и для Windows 7 (8).

Командную строку нужно запустить от имени администратора. Если у вас Windows 10, то просто нажмите правой кнопкой мыши на меню пуск, и выберите "Командная строка (администратор)". В Windows 7, в поиске можно набрать "cmd", нажать правой кнопкой на "cmd" в результатах поиска, и выбрать "Запустить от имени администратора".

По очереди копируем и выполняем такие команды:

ipconfig /flushdns

ipconfig /registerdns

ipconfig /renew

ipconfig /release

В Windows 10 можно еще попробовать выполнить сброс сетевых настроек. Это практически то же самое.

После этого перезагрузите компьютер.

Обновление: отключаем или удаляем антивирус Avast

В комментариях Сергей написал, что ему помогло только удаление антивируса Avast. Если у вас установлен именно этот антивирус, то возможно он стал причиной того, что DNS-сервер перестал отвечать.

По своему опыту могу сказать, что антивирус Avast очень часто вмешивается в сетевые настройки Windows, из-за чего появляются разные проблемы с подключением к интернету. То интернет перестает работать после удаления антивируса, то ошибка DNS, или сетевой адаптер не имеет допустимых параметров настройки IP.

Можно попробовать для начала полностью остановить работу антивируса. Если это не решит проблему, то удалить его. Можно переустановить его, только без дополнительных модулей. Как это сделать, я писал в статье по ссылке выше (о решении проблемы с параметрами IP) .

Если вы все проделали правильно, но Windows по прежнему пишет что DNS-сервер не отвечает, то у меня есть еще пару советов:

Обязательно напишите, если у вас получилось избавится от этой ошибки. Напишите какой способ помог. Может у вас сработало какое-то другое решение, которого нет в статье. Ну и оставляйте свои отзывы в комментариях.

Читайте также: