Dns сервер обнаружил критическую ошибку active directory
Обновлено: 02.07.2024
Итак, я наконец то собрался с силами и, отбросив лень, сел плавненько переезжать на 2008 Server R2 с 2003 Server R2, где крутилась АД в режиме работы леса и домена 2003.
Выполнил adprep для леса и домена, все прошло успешно.
Взял один из этих двух КД и переставил на нем ОСь на Windows Server 2008 R2.
Добавил машинку в домен, поднял роль АД. ДНС добавился автоматически. Открываю AD, смотрю на данные - вроде бы все замечательно отреплицировалось, даные перенеслись, новый, только что установленный сервак отображается в списке Контроллеров Домена.
Однако, решил прочитать журнал DNS на всякий пожарный и хорошо, что прочитал:
Как же тогда я вижу данные в АД все? и в ДНС?
Брандмауэр на серваке отлючен, пользователь обладает правами администратора.
Может быть я неверно указал настройки для ДНСов? Сейчас схема такая.
КД1 (с которого надо все стянуть на 2008 R2):
Правда не понятен откуда взят адрес 172.17.1.3? И вообще все, что связано с АД. я поднимаю только после установки и настройки DNS.
Правда не понятен откуда взят адрес 172.17.1.3?
Хм. Как я только не пробовал выставлять айпишники, но так еще нет
Сделал так. Ошибки те же.
Отключил UAC, Брандмауэр отключил еще вчера. Антивирус/файрвол сторонний убил.
Проверил службу "Браузер Компьютеров" - была не запущена. Установил тип запуска - автоматом, саму службу запустил.
После всего этого ребутнул сервак. После ребута ошибки были те же. Открыл "AD - пользователи и компьютеры". Создал новую учетку. Кроме того изменил некоторые существующие записи - на КД1 изменения отобразились.
Запустил dcdiag на новом КД2, ниже привожу результат:
Дальше - больше. На КД1 dcdiag выплевывает исключительно ошибки репликации.
При этом оба сервака видят друг друга через nslookup.
Очень надеюсь на помощь.
А что у вас за сервер CORE это первое и второе на w2k3 все ли роли захвачены? Внимательнее просмотрите DNS, все записи, которые микрософтовские, т.е. зоны, начинающиеся с "_"и записи в них. ну и попробуйте снова зарегистрировать основной контроллер можно любым способом ipconfig /registersdns или перезапуском netlogon. snorlov писал(а): А что у вас за сервер CORE это первое и второе на w2k3 все ли роли захвачены? Внимательнее просмотрите DNS, все записи, которые микрософтовские, т.е. зоны, начинающиеся с "_"и записи в них. ну и попробуйте снова зарегистрировать основной контроллер можно любым способом ipconfig /registersdns или перезапуском netlogon.До этого было 2 КД, оба на w2k3. Один из них я понизил, переставил ОСь на 2008 Server и снова поднял АД, введя его в домен.
CORE - это старый КД на w2k3, все 5 ролей принадлежат ему.
NetLogOn перезапускал, эффект тот же. Сейчас попробую перезарегистрировать КД.
Имеет ли смысл переустановить службы AD на новом КД (W2K8)?
Еще в доке читал, что необходимо поднимать DNS !ДО! установки AD, если поднимается дополнительный КД. Однако, dcpromo выполнил сам эту функцию и установил ДНС вместе АД.
DNS у меня интегрирован в AD.
Блин, а роли то у кого остались, похоже, что у CORE, которого сейчас физически нет. Вот и стоит ругань. Этот CORE у вас наверное и в DNS'е имеется, вы сказали, что вы его не обновили, а переставили, так что у вас появился новый кд snorlov писал(а): Блин, а роли то у кого остались, похоже, что у CORE, которого сейчас физически нет. Вот и стоит ругань.Было два КД. Один Core с айпишником 192.168.0.1, второй URAN с айпишником 192.168.0.2.
Так вот, URAN я понизил до роли простого сервера. Все роли на себя принял CORE.
После этого URAN я вывел из домена и отключил физически.
Еще раз проверил роли на CORE - все ок. Запустил dcdiag и netdiag - все ок. Подготовил лес и домен для w2K8 через adprep.
Вычистил из АД всю информацию об URAN, - там еще сохранилась на тот момент запись типа А.
Взял старый КД - URAN - переустановил там ОС на СЕРВЕР 2008. Ввел в домен. Запустил DCPROMO. Все прошло успешно. Поставил галочку глобального каталога и вуаля! Получил два КД:
Первый кд - это старый CORE на w2k3
Новый кд - URAN на w2k8
Между ними не работает репликация.
Но, физически у меня ДВА КД.
проблемы в DNS'е, останавливайте dns на uran, убивайте все записи об uran на core, затем на uran прописывайте первым dns'ом dns на core, регистрируйте uran в dns'e на core через registersdns, снова винмательно смотрим записи об uran, гоняем тесты и лишь затем поднимаем dns на uran, можно сначала его поднять как slave. snorlov писал(а): проблемы в DNS'е, останавливайте dns на uran, убивайте все записи об uran на core.В смысле удалить саму службу DNS? Тогда же и АД придется затирать.
На CORE затирать записи в DNS, я так понимаю.
Еще дополнительную инфу кидаю, которую только что сделал.
Привожу ipconfig. Сначала с w2k3 - старый КД:
PID 1304 соответствует службе DNS. Больше PID'ов, слушающих 53 порт я не вижу.
registerdns провел, через 15 минут будет результат.
snorlov писал(а): проблемы в DNS'е, останавливайте dns на uran, убивайте все записи об uran на core. В смысле удалить саму службу DNS? Тогда же и АД придется затирать.На CORE затирать записи в DNS, я так понимаю. Кто тебе сказал такую ересь, что при удалении/остановке DNS удалиться АД, DNS для AD может быть и unix'совым, главное, что бы эта служба была доступна кд, ну и обладала некоторыми свойствами, одно из которых динамическое обновление зон. Большинство твоих проблем связано с тем, что ты понизил uran, а потом по существу его убил, но записи о нем в AD и DNS'е остались, и под тем же именем вы в AD втащили новый кд. Кстати обратная зона в DNS'е есть? Спрашиваю потому, что она нужна для работы, но автоматом она не создается.
Так, ДНС я удалил с URAN.
Теперь там есть только АД. На сетевых интерфейсах обоих КД указал в качестве праймари ДНС айпишник первого КД - CORE. Альтернативный ДНС сделал пустым.
При этом Active Directory сообщает о следующих ошибках:
1) Исходный КД функционирует
2) Через net view/ping/nslookup новый КД находит старый. URAN находит CORE и наоборот
3) dcdiag /test:dns на CORE выполняется с успехом
4) Аналогично.
5) С базой знаний знакомлюсь.
Вопрос. Что мне вычищать на CORE? Записи типа А и CNAME?
Все ссылки на uran и его ip, обратная зона (0.168.192.in.addr-arpa, на виндовом серваке через мастер вроде там надо писать 192.168.0. ) на core есть? если нет, добавить ручками, ОБЯЗАТЕЛЬНО snorlov писал(а): Все ссылки на uran и его ip, обратная зона (0.168.192.in.addr-arpa, на виндовом серваке через мастер вроде там надо писать 192.168.0. ) на core есть? если нет, добавить ручками, ОБЯЗАТЕЛЬНОИмена в айпишники и айпишники в имена разрешаются.
Попробовал выполнить репликацию через Active Directory - сайты и службы - выполнилась без ошибок.
Попробовал выполнить репликацию из cmd, через repadmin - тут получил ошибку:
что делать дальше? мне не нравится выполнение repadmin. mr. brightside писал(а): Попробовал выполнить репликацию из cmd, через repadmin - тут получил ошибку:
Я не понимаю, откуда вы сделали такой вывод?
Когда я понижал URAN, то все записи я вычищал и из АД и из ДНС. Вычищал как через оснастки, так и через консоли.
Но старый DSA - 9119974d-4c8a-412a-a0ad-86b357a72fc1 (CORE) - не менялся. Он как был, так и остался. Более того, за все время его работы я его не трогал ни разу.
По всему выходит, что именно запись старого КД - 9119974d-4c8a-412a-a0ad-86b357a72fc1 - и невозможно определить. Может быть, имеет смысл перекинуть роли на новый КД, перекинуть ДНС, переставить ОСь на стором КД ввести в домен и снова сделать КД? Тогда все должно грамотно перерегистрироваться?
Если честно, 1000 страниц читать просто лень Тем более, что я не виндовый админ, а юниксовый
Скажите, пожалуйста, просто, куда капнуть, а то ведь время, время.
в первом случае она идет от кд, где запускается, к его партнерам, а во втором от партнеров к нему.А все 1000 страниц и не надо читать, я просто в более доступном виде не видел описания утилит для работы с AD на русском языке. в первом случае она идет от кд, где запускается, к его партнерам, а во втором от партнеров к нему.
А все 1000 страниц и не надо читать, я просто в более доступном виде не видел описания утилит для работы с AD на русском языке.
Здесь запись 229137f9-6e82-4293-8ac-4e69d4a2c037, - она не встречается в DNS или AD у меня, а в логе есть.
Ошибка на НОВОМ КД - W2k8 в разделе "Служба каталогов":
Эта, вторая запись DSA - 9119974d-4c8a-412a-a0ad-86b357a72fc1 - записана в DNS и AD как имя CORE - старого КД.
По поводу repadmin сейчас отпишусь
P.S. большое спасибо за ответы!
P.P.S. Книжку уже скачал
Вроде бы, все замечательно.
Так, теперь, если я правильно понял, мне необходимо вычистить все записи на ДНСе относительно нового КД. Вопрос: какие именно записи? Абсолютно все?
- в зоне прямого просмотра "папку верхнего уровня" и запись А?
- в msdcs псевдоним?
- а также записи _kerberos, _kpasswd, _ldap и _gc в разделах dc/domains/gc/pdc?
И в зоне обратного просмотра айпишник/имя сервера?
Или достаточно удалить запись типа А и Псевдоним CNAME?
После удаление мне надо будет перерегистрироваться в ДНС и посмотреть, что будет, верно?
Я бы вычистил все записи и после этого дал команду регистрации в dns, ну а потом поднял бы DNS на новом кд.Ну хорошо, проделал
Удалил все SRV-записи, установил ДНС, теперь мне ситуация еще более не понятна.
Ошибки остались все те же самые. В лог они валятся ИСКЛЮЧИТЕЛЬНО при загрузке ОСи на новом КД.
В процессе работы, если новый КД не перезагружать, все работает замечательно. Работает репликация. Ниже привожу репликацию из консоли и dcdiag на новом КД после усановки ДНСа. Также хочу отметить, что репликация из оснастки тоже работает и ошибок не выдает.
Repadmin:
Может, как-нибудь заставить запускаться DNS и AD с задержкой? Скажем, секунд в 30 или 60, пока все фоновые службы не стартанут.
Да, внимательно посмотрел логи и соотнес их со временем загрузки сетевой карты
DNS и AD пытаются начать работу сразу, как начинает грузиться ОСь, а сетевая карта ТОЛЬКО когда происходит ЛОГОН, т.е. на 2 с лишним минуты позже, чем вышеупомянутые службы уже пытаются начать работу.
Можно ли как-нибудь заставить сетевушку работать уже на этапе биоса?
Intel 82574L и 82578DM
Или, может, не в сетевушках дело, а в ОСи? Может, настройка какая?
А вот это странно, поскольку такого не может быть, старт сетевых сервисов должен происходить после поднятия карточек, посмотрите зависимость старта сервисов. Из вашей фразы можно предположить, что в сервере 2-е карты, может вся сложность именно из наличия 2-х карт? snorlov писал(а): А вот это странно, поскольку такого не может быть, старт сетевых сервисов должен происходить после поднятия карточек, посмотрите зависимость старта сервисов. Из вашей фразы можно предположить, что в сервере 2-е карты, может вся сложность именно из наличия 2-х карт?В том то и дело, что такого не должно происходить.
Эти сетевые карточки идут вместе с какой то управляющей утилитой, которая загружается исключительно при логоне пользователя в систему/домен. До этого они мертвые и никакого коннекта по сети нет.
я проанализировал логи, сверял время запуска AD/DNS/RDP с моментом старта сетевушек.
Сеть поднималась только когда я залогинивался в домене. Это абсолютно неприемлемо даже с точки зрения возможного отключения электричества - вот вырубится свет, УПС продержит сервак, потом тот уйдет в офф. Boot on power есть, но если сервак загрузится, то еще необходимо залогиниться, чтобы он стал в сети доступен
Обидно, жалко и непонятно, но я просто вставил Realtek в сервак и все проблемы сразу решились. Те ошибки, которые постил ушли, остались предупреждения про сертификаты Kerberos (RDP) и SASL аутентификация (AD). Но, это меня уже почти не волнует.
Точно также не поленился и опробовал Acorp - грузится замечательно. Сетевая карта оживает сразу после загрузки биоса.
"DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: "0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=HDC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=viladm,DC=ru'" (может отсутствовать). Данные о событии содержат сведения об ошибке."
Контроллер домена один.
DNS - Два.
AD -Один.
До этого была ошибка с временем на двух DNS серверах. (Было установлено разное время, исправлено).
Есть некое предположение, что один из DNS серверов не правильно назван (HDC и HDC2, но HDC (если открыть свойства или попробовать подключится удаленно, то он будет называться WIN-9Q8G3TR56K.)
Помощь в написании контрольных, курсовых и дипломных работ здесь
Error 1 fatal error LNK1000: Internal error during IncrBuildImage ModalMnd
Ребята помогите пожалуиста разобраться с ошибкой ! только начал изучать WinApi ! Visual studio 8.
Error displaying the error page: Application Instantiation Error
Вот такая ощибка. БД импортнул нормально. Но сайт не пашет.. Добавлено через 3 минуты PS гуглил.
Error LNK1120, error LNK2019, error LNK2028, queue
// свойство класса Parser queue<elem*>* postfix = new queue<elem*>; // строка, из-за.
Почему два DC не сделать?
HDC - главный (мастер схемы)
HDC2 - реплика
DC был один изначально, как я пришел на рабочее место и решил его не трогать, т.к с ним нареканий не было.
Добавлено через 2 часа 19 минут
и дополню.
Если зайти на HDC2 сервер и посмотреть "Диспетчер серверов-Все сервера" видно только сам HDC2.
стесняюсь спросить, а эти сервера вообще друг-друга видят?
проверьте по ip и по имени.
и я не понял, почему AD не реплицировали?
Добавлено через 32 секунды
и диагностика AD и DNS скорее всего валит ошибками?
Добавлено через 1 минуту
и дайте netdom query fsmo
с обоих
стесняюсь спросить, а эти сервера вообще друг-друга видят?
проверьте по ip и по имени.
и я не понял, почему AD не реплицировали?
Добавлено через 32 секунды
и диагностика AD и DNS скорее всего валит ошибками?
Добавлено через 1 минуту
и дайте netdom query fsmo
с обоих
2. AD реплицирован (Видимо не правильно описал, извиняюсь.)
3. Во вложение. (на HDC2 "192.168.2.2 ошибок больше в двое, пример ошибок во вложение.)
4. Во вложение.
ikaruskam,
repadmin /showrepl
с обоих плиз
я не забыл про вас, просто очень занят.
У меня есть два предположения:
1. у вас не совпадают логин или пароль администратора службы каталогов
2. по какой-то причине новый КД выпал из домена, или нарушена настройка\связь между ними
убедитесь, что по пути от DC к DC2 не теряются пакеты по сети.
проверьте настройки по мануалу ввода DC.
Добавлено через 2 минуты
default-first-site-name и прочие настройки AD сайты и службы. домены и доверие.
repadmin /showrepl не забудьте
Добавлено через 3 минуты
WIN-9Q8G3TR56K - походу старое имя сервра, и переименовали его уже после создания КД.
соответсвенно все службы и керберос привязку имеют к имени. я подумаю.
Добавлено через 3 минуты
проверьте записи ДНС. Где-то скорее всего еще болтается запись WIN-9Q8G3TR56K
если такое есть, то может помочь банальное переименование, или создание отсутствующей записи в разделе DNS
Добавлено через 1 минуту
был у меня один случАй. когда один комп имел аж 3 DNS имени в записях АД.
4. лезем в зоны прямого и обратного просмотра
там проверяем соответствие имени и IP адреса в обоих разделах.
при этом, в зоне обратного и прямого просмотра имена могут отличаться. например
зона прямого comp1 - 192.168.0.1
зона обратного comp1.home.loc - 192.168.0.1
но эти имена должны соотвествовать ip адресу хостов.
скорее всего, где-то будет запись о старом КД по старому имени.
далее проверить _sites _tcp _udp и другие разделы на наличие правильных записей соответствующих имени и ip
Добавлено через 58 секунд
ну и далее repadmin /showrepl
для того, что бы посмотреть как проходит репликация
Error displaying the error page: Application Instantiation Error
после того, как залил на хостинг стала выходить ошибка Your host needs to use PHP 5.3.1 or higher.
Ошибка "Error displaying the error page: Application Instantiation Error"
Доброго времени суток. Подскажите пожалуйста кто сталкивался с данной проблемой. У меня завис.
LAN:
Локальный IP адрес 192.168.1.1
Маска: 255.255.255.0
Пердпочитаемый DNS: 127.0.0.1
Inet:
Внешний IP адрес 80.x.x.x
Маска:
Пердпочитаемый DNS: 127.0.0.1
Я так понял для того чтобы грамотно встал контроллер домена при двух сетевых картах и ДНС при этом чувствовал себя хорошо нужно:
Пишу по шагам.
1) Сделать по умолчанию локальный интерфейс приоритетным
2) В настройках локального интерфейса прописать н.р. 192.168.1.1 и маску подсети
ДНС вообще не указывать.
3) В настройках сетевой карточки смотрящей в инет по анологии с пунктом 2 вписать внешний IP, маску и шлюз. ДНС снова не указывать.
4) Запустить dcpromo и пускай он всё на автомате ставит, но вот тут у меня сомнения, может лучше сначала в ручную ДНС настроить посоветуйте? (Если в ручную, можно вас попросить ссылки дать дельные или может у кого есть свои записи, поделитесь?)
5) После автоматической установки в ДНС сделать форвардинг на внешний ДНС провайдера.
Так же подскажите что сейчас можно сделать чтобы с нуля не переустанавливать всё.
По поводу того что всё живёт на одном компе, это только по той причине что комп у меня дома и через него будет получать инет ещё один комп, я планирую поставить на свой комп контроллер домена, ISA, ну и антивирусник естественно.
Ajay Kulshreshtha (Last update 12/1/2005):
In my case, the root domain DNS zone did not have this server in the authoritative DNS servers list for this child domain. Besides adding that, I also added the root DNS zone here, as a secondary zone (DNS is AD-integrated in each domain). Now, the 4015 error is no more.
Как вариант, можно попробовать поставить в зависимости службе DNS сервера службу Net Logon, например. Это по идее должно притормозить старт DNS.
The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is "". The event data contains the error.
в АД никаких ошибок нету
в компе три сетевых интерфейса один инетовский два по разным локалкам смотрят
ип конфиг
inet - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigab
it Ethernet Controller
Физический адрес. . . . . . . . . : 00-0F-EA-74-35-01
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 195.5.*.*
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 195.5.60.70
203 - Ethernet адаптер:
onua - Ethernet адаптер:
домен создавал через мастер при первом запуске выбрал тока АД а днс он сам предложил поставить при установке днс не разрешал делать пересылку запросов так как мой днс сам занимаеца определением инетовских адресов и хостов
У меня проблема в следующем, при прохождениии dcdiag в нем показывается следующая ошибка
Starting test: frsevent
There are warning or error events withing the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
Вернёмся к старым баранам!
DNS упала сегодня ночью через 4 часа после того, как команды bat-файла перезапустили службу DNS.
Лог выдал следующие ошибки:
DNS log
Уведомление
DNS-сервер прекратил работу.
Ошибка источник DNS
DNS-серверу обнаружил критическую ошибку Active Directory.
Убедитесь, что Active Directory работает правильно.
Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.
Предупреждение Источник DNS
DNS-серверу не удалось открыть Active Directory.
Этот DNS-сервер настроен для использования информации службы каталогов и не
может работать без доступа к данному каталогу.
Для запуска DNS-cервера необходимо дождаться доступа к каталогу.
Если DNS-сервер был запущен, а соответствующее событие не отражено в журнале,
это означает, что он все еще ждет получения доступа к данному каталогу, чтобы начать работу.
Дальше Ошибка источник DNS повторяется n-раз.
NTFrs log
Предупреждение
Ниже следует сводка предупреждений и ошибок,
которые произошли при опросе службой репликации файлов (FRS)
сведений конфигурации набора репликации FRS у контроллера домена "server.domain.local".
Не удалось найти объект-компьютер для этого компьютера.
Попытка будет повторена на следующем цикле опроса.
Предупреждение
Ниже следует сводка предупреждений и ошибок, которые произошли
при опросе службой репликации файлов (FRS)
сведений конфигурации набора репликации FRS у контроллера домена
"server.domain.local".
Не удалось выполнить привязку к контроллеру домена.
Попытка будет повторена на следующем цикле опроса.
И что самое интересное в логах АД никаких ошибок нет! Глобальный каталог функционирует, никаких сбоев при дефрагментации не было.
Непонятно!
Может bat-ник почаще в планировщике запускать, скажем раз в 2 часа
каждый день?
Подскажите пожалуйста правильный выход!
_________________
С уважением!
Читайте также: