8524 Операция DSA не может быть завершена из-за ошибки поиска DNS

Обновлено: 21.11.2024

В этом руководстве мы обнаружим некоторые возможные причины, которые могут вызвать ошибку 8524 с идентификатором события 1925, а затем мы предложим возможные методы исправления, которые вы можете попробовать решить эту проблему.

Если вы получаете событие с идентификатором 1925 с содержимым ошибки Ошибка поиска DNS, входящая репликация раздела каталога на целевом контроллере домена не удалась, так как вам нужно разрешить кризис DNS. 8524: Операция DSA не может быть продолжена из-за соответствующей ошибки поиска DNS.

В этой статье описываются симптомы, причины и действия по устранению неполадок операций AD, которые завершаются ошибкой Win32 8524:

Операция DSA не может быть продолжена только из-за сбоя поиска DNS. Кому:

Относится к Windows 10 – все разделы, Windows Server 2012 R2
Исходный объем в КБ: 2021446

Для домашних пользователей. Эта статья предназначена только для сотрудников службы поддержки и ИТ-специалистов. Если вам нужна помощь в решении проблемы, обратитесь к сообществу Microsoft.

Симптомы

DCDIAG сообщает об ошибке теста репликации Active Directory со статусом 8524:

Тестовый сервер:
Начать анализ: репликация
[проверить репликацию, ] Недавняя попытка олицетворения не удалась: от времени до контекста именования:
CN= ,DC=Contoso,DC=Com
Произошла ошибка репликации (8524):
Операция DSA не может быть завершена из-за ошибки поиска DNS.

REPADMIN сообщает, что попытка репликации не удалась со статусом 8524.

Команды REPADMIN, часто содержащие статус 8524, среди прочего:

Пример ошибки 8524 непосредственно из REPADMIN /SHOWREPL показан ниже:

Имя первого сайта по умолчаниюCONTOSO-DC1
Параметры DSA: IS_GC
Параметры сайта: (нет)
Идентификатор вызова объекта DSA:
DC=contoso,DC=com
Default-First-Site-NameCONTOSO-DC2 GUID:DSA через RPC
GUID объекта DSA:
Последняя попытка — ГГГГ-ММ-ДД ЧЧ:ММ:СС не удалась, результат 8524 (0x214c):
Операция DSA не может быть продолжена из-за ошибки поиска DNS.
1 ошибка подряд.
Последний доступ: ГГГГ-ММ-ДД ЧЧ:ММ:СС.

Остальная часть вывода /showrepl усекается

Одно из следующих событий, связанных с обнаружением 8524, будет зарегистрировано в журнале событий Выход из службы каталогов:

События Active Directory, которые обычно сообщают о статусе 8524, включают:

Событие Источник Цепочка событий

Удаленные домены регистрируют событие репликации NTDS 2087 и, при необходимости, событие репликации NTDS 2088 в собственном журнале событий службы каталогов:

Имя протокола: Служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата:
Идентификатор события: 2087
Категория задачи: Клиент DS-RPC
Уровень: Классический
Пользователь: error
Теги: АНОНИМНАЯ РЕГИСТРАЦИЯ
Компьютер: .
Описание:

AD DS не удалось преобразовать однопутевое DNS-имя хоста контроллера домена сайта в адрес интернет-протокола. Эта ошибка предотвращает репликацию добавлений, удалений и изменений в доменных службах Active Directory между одним или несколькими контроллерами имен доменов в лесу. Группы безопасности, групповые политики и пользователи, pcrrrs и их пароли периодически меняются местами между контроллерами домена, пока все ошибки не будут исправлены. Это может повлиять на аутентификацию при входе и доступ к ресурсам собрания.

Имя протокола: Служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата:
Идентификатор события: 2088
Категория задачи: Клиент DS-RPC
Уровень: Предупреждение
Теги: Classic
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: .
Описание:
AD DS не удалось использовать DNS для разрешения IP-адреса исходного контроллера домена, как описано ниже. Чтобы обеспечить согласованность групп безопасности, групповых политик, пользователей, технологий и паролей, доменные службы Active Directory были успешно реплицированы с использованием NetBIOS или полного имени компьютера на исходном контроллере домена.

Неправильные настройки DNS могут повлиять на другие критически важные функции рядовых компьютеров, контроллеров домена или иногда серверов приложений в этом достаточно загруженном лесу DS, включая проверку входа или доступ к сетевым ресурсам. Если

Немедленно исправьте эту ошибку конфигурации DNS, чтобы разрешить этому контроллеру домена разрешать IP-адрес исходного контроллера домена с помощью DNS.

Причина

Операция DSA не может продолжаться до тех пор, пока не произойдет ошибка поиска DNS.

Это специальная коллективная ошибка для всех возможных ошибок DNS, влияющих на Active Directory, подключенную к полевому контроллеру Windows Post Server 2003 SP1.


Событие Microsoft-Windows-ActiveDirectory_DomainService 2087 является партнером других событий Active Directory, таких как состояние 8524, когда каждый домен контроллера Active Directory не может подключиться к домену удаленного контроллера из своего полного CNAME. . примечание ( ._msdcs. ) с использованием DNS.

Microsoft-Windows-ActiveDirectory_DomainService Race 2088 регистрируется, когда локализованный контроллер домена успешно разрешается в основном по его имени NetBIOS, но это разрешение резервного дескриптора происходит только в случае сбоя разрешения имени -DNS.

Наличие точного статуса 8524 и событий Microsoft-Windows-ActiveDirectory_DomainServic, всех 2088 или 2087, указывает на то, что разрешение имен DNS не может быть выполнено в Active Directory.

Не страдайте от сбоев и ошибок. Исправьте их с помощью Reimage.

Ваш компьютер работает медленно? Вы продолжаете получать эти надоедливые сообщения об ошибках? Что ж, не смотрите дальше, потому что Restoro здесь, чтобы спасти положение! Это изящное маленькое программное обеспечение устранит все ваши проблемы, связанные с Windows, и заставит ваш компьютер снова работать как новый. Он не только работает быстро и легко, но и полностью безопасен, поэтому вам не нужно беспокоиться о потере важных файлов или данных. Так что, если вы готовы попрощаться с компьютерными проблемами, скачайте Restoro уже сегодня!

Поэтому статус репликации 8524 регистрируется, когда контроллеру домена назначения для отпуска не удается разрешить контроллер домена, начиная с его записей CNAME, и хоста «A» или хоста «AAAA» с помощью DNS. Конкретные причины включают:

Спасибо. Мы получили ваш запрос и незамедлительно ответим.

Присоединяйтесь к нам!

  • Общаться с другими участниками
  • Уведомления об ответах
    на ваши сообщения
  • Поиск по ключевым словам
  • Доступ в один клик к вашим
    любимым форумам
  • Автоматические подписи
    на ваших сообщениях
  • Лучше всего то, что это бесплатно!

*Функции Tek-Tips зависят от того, получают ли участники электронную почту. Присоединяясь, вы соглашаетесь на получение электронной почты.

Правила публикации

Реклама, продажа, рекрутинг, размещение курсовых и дипломных работ запрещено.

Операция DSA не может быть продолжена из-за ошибки поиска DNS

Операция DSA не может быть продолжена из-за ошибки поиска DNS

Поскольку мы переместили контроллер домена/домен в его удаленный офис, я получаю сообщение Операция DSA не может быть продолжена из-за сбоя поиска DNS на контроллерах домена корпоративного офиса. Сайты подключены через vpn. Я попробовал вторичную зону DNS на обоих концах, передача идет нормально, но проблема не решается.

CN=Schema,CN=Configuration,DC=homanitusa,DC=com
DR\DR2 через RPC
objectGuid: 2e13cd9b-74ab-4f0e-b3dc-87f3b7309f09
Последняя попытка @ 2004 -07-29 05:33.27 сбой, результат 8524:
Операция DSA не может быть продолжена из-за сбоя поиска DNS

Не знаю, что делать дальше, увидев там массу заметок msft, но я пока не выделил ни одной понравившейся, которая, кажется, отвечает на мой вопрос. Один сказал удалить объект в DNS, я по крайней мере так и сделал. Перезапустите dns и netlogon, но безрезультатно.

Я не знаю точного ответа на эту проблему. но

Когда вы «переместили DC/домен в его удаленный офис», вы создали новый сайт в Active Directory?

Встроен ли ваш основной DNS-сервер в Active Directory? Если это так, вам не нужно создавать дополнительную зону DNS, вы должны были просто установить службу DNS. (Записи DNS автоматически реплицируются на все контроллеры домена, если вы используете AD Integrated.)

Кроме того, вы включили DC удаленных сайтов в качестве сервера глобального каталога? Должно быть понятно, что это единственный контроллер домена на новом физическом сайте.

Возможно, используйте командный инструмент NSLOOKUP, чтобы проверить, правильно ли работает DNS.

Джозеф Л. Поандл
MCSE 2003

Не уверен, что удаление сайта, а затем его повторное создание решит проблему.

Мэтт
MCP(осталось еще 3)

Я почти все исправил, но в настройках NTDS в разделе "Сайты и службы" удалил свои подключения и создал их заново. Затем AD автоматически сгенерировала соединения. На моем сервере-плацдарме dc3 есть два подключения к dr2 с сайта dr. Какой из них должен остаться.

подключен именованный DR с сервера DR2 с сайта DR

или автоматически сгенерированный?

Также я зашел в Trusts и сделал проверку, и все прошло хорошо после повторной синхронизации паролей между сайтами. Так что DNS должен как-то работать со вторыми зонами.

Нет, я не думаю, что вход в Сайты и службы и последующее удаление сайта что-то исправит.

Когда вы получаете ошибки Netlogon (и если общий ресурс Netlogon не запускается), у вас проблемы с DC. Похоже, что после того, как вы переместили сервер на новый сайт, служба Netlogon и общий ресурс не запустились.

Возможно, это означает, что ваш контроллер домена не реплицировался по каналу WAN. Я бы вернул все как было до добавления вторичной зоны DNS, а что нет. Это не должно быть нужно.Интегрированная зона AD означает, что база данных DNS реплицируется в AD. Все, что вам нужно сделать, это ДОБАВИТЬ службу DNS и направить клиентов на их локальный DNS-сервер.

Я подозреваю, что, возможно, трафик блокируется при прохождении через вашу глобальную сеть. Если контроллеры домена не могут нормально взаимодействовать друг с другом, у вас по-прежнему будут проблемы.

Джозеф Л. Поандл
MCSE 2003

Я реплицирую, потому что удалил устаревшее соединение NTDS. Я проверил под _msdcs, и dr2 dc теперь там с новым псевдонимом 2e13 и т. д. Похоже, теперь он копируется, я избавился от некоторых плохих записей DNS. Я проверю netlogon и ntFrs. Я думаю, что я разобрался. Надеюсь! Я не удалял сайт, просто переделал ссылки на сайты. Это также реплицируется на удаленный контроллер домена.

спасибо за помощь

Джозеф Л. Поандл
MCSE 2003

Ну, в 12:13 я получил эту ошибку, но я думаю, что смогу это исправить. Или это уже исправлено после сглаживания.

Джозеф Л. Поандл
MCSE 2003

Я думаю, проблема в DNS. Вот мой dcdiag, хоть и показывает успешность репликации, но много ошибок. Кроме того, появляется сообщение «*Предупреждение: удаленный плацдарм DR\DR2 не подходит для использования в качестве плацдарма из-за слишком большого количества сбоев». Как сделать это снова?
Диагностика контроллера домена

Выполняется первоначальная настройка:
собрана исходная информация.

Выполнение первоначальных необходимых тестов

Тестовый сервер: HomanitUSA\HUSADOMAIN
Начало тестирования: подключение
. HUSADOMAIN успешно прошел тест на подключение

Тестовый сервер: HomanitUSA\HUSAEXCHANGE
Запуск теста: подключение
. HUSAEXCHANGE прошел тест на подключение

Тестовый сервер: HomanitUSA\DC3
Запуск теста: подключение
. DC3 прошел тест на подключение

Выполнение первичных тестов

Тестовый сервер: HomanitUSA\HUSADOMAIN
Запуск теста: Репликации
. HUSADOMAIN прошел тест репликации
Начало теста: NCSecDesc
. HUSADOMAIN прошел тест NCSecDesc
Начало теста: NetLogons
. HUSADOMAIN прошел тест NetLogons
Начальный тест: Реклама
. HUSADOMAIN прошел тест Реклама
Стартовый тест: KnowsOfRoleHolders
. HUSADOMAIN прошел тест KnowsOfRoleHolders
Стартовый тест: RidManager
. HUSADOMAIN прошел тест RidManager
Начало теста: MachineAccount
. HUSADOMAIN прошел тест MachineAccount
Начало теста: службы
Не удалось открыть службу IISADMIN в [HUSADOMAIN]: ошибка с кодом 1060: указанная
служба не существует как установленная служба.
Не удалось открыть службу SMTPSVC в [HUSADOMAIN]: ошибка с кодом 1060:
указанная служба не существует как установленная служба.
. Службы HUSADOMAIN не прошли тест
Запуск теста: ObjectsReplicated
. HUSADOMAIN прошел тест ObjectsReplicated
Начало теста: frssysvol
. HUSADOMAIN прошел тест frssysvol
Начало теста: kccevent
Произошло предупреждающее событие. EventID: 0x8000061E
Время создания: 02.08.2004 15:05:47
(Не удалось получить строку события)
Произошла ошибка. EventID: 0xC000051F
Время создания: 02.08.2004 15:05:47
(Не удалось получить строку события)
Произошло событие предупреждения. EventID: 0x8000061E
Время создания: 02.08.2004 15:05:47
(Не удалось получить строку события)
Произошла ошибка. EventID: 0xC000051F
Время создания: 02.08.2004 15:05:47
(Не удалось получить строку события)
. HUSADOMAIN не прошел тест kccevent
Начало теста: системный журнал
. Системный журнал HUSADOMAIN прошел тест

Тестовый сервер: HomanitUSA\HUSAEXCHANGE
Запуск теста: Репликации
. HUSAEXCHANGE прошел тест репликации
Стартовый тест: NCSecDesc
. HUSAEXCHANGE прошел тест NCSecDesc
Начало теста: NetLogons
. HUSAEXCHANGE прошел тест NetLogons
Начальный тест: Реклама
. HUSAEXCHANGE прошла тест Реклама
Стартовый тест: KnowsOfRoleHolders
. HUSAEXCHANGE прошел тест KnowsOfRoleHolders
Начало тестирования: RidManager
. HUSAEXCHANGE прошел тест RidManager
Начало теста: MachineAccount
. HUSAEXCHANGE прошел тест MachineAccount
Начало тестирования: Услуги
. HUSAEXCHANGE прошел тест Сервисы
Начало тестирования: ObjectsReplicated
. HUSAEXCHANGE прошел тест ObjectsReplicated
Запуск теста: frssysvol
Ошибка: нет записи о системе репликации файлов, запущен SYSVOL.
Запуск Active Directory может быть запрещен.
. HUSAEXCHANGE прошел тест frssysvol
Стартовый тест: kccevent
. HUSAEXCHANGE прошел тест kccevent
Запуск теста: системный журнал
. HUSAEXCHANGE успешно прошел тест системного журнала

Я запускаю тестовую среду с 2 контроллерами Active Directory Windows2012, которая довольно часто включается и выключается. Однако мне трудно расшифровать выходные данные repadmin /showrepl и repadmin /replsummary.В выходных данных отображаются ошибки из-за проблем 10-минутной давности, однако, судя по журналам событий, проблемы похоже устранены.

Ниже приведен пример. В настоящее время репликация, кажется, работает, просто добавляя объекты вручную, и они появляются в другом DC. Ошибки журнала событий и предупреждения, похоже, устранены. Однако моей главной заботой является возможность проверить состояние служб Active Directory в режиме реального времени, не обращаясь к прошлым ошибкам или ошибкам, которые не устраняются, как только все снова становится хорошо.

Кроме того, в чем разница между следующими тремя тестами, отображаемыми showrepl?:

1 Ответ 1

repadmin /replsummary обязательно показывает исторические данные из скользящего кеша успехов и неудач, и поэтому /replsummary будет продолжать отображать старые ошибки в течение некоторого времени, даже после того, как вы действительно их исправили. Мне не нравится /replsummary, и я никогда не использую его.

/showrepl, с другой стороны, работает в режиме реального времени. Может быть, вы все еще видите старые ошибки в /showrepl, потому что с тех пор контроллеры домена не пытались ничего воспроизвести?

Можете ли вы repadmin /syncall /APed с обоих контроллеров домена без каких-либо ошибок? Если вы не можете, значит, вы еще не исправили это.

Кроме того, в чем разница между следующими тремя тестами, отображаемыми showrepl?:

Контроллеры домена содержат несколько разных контекстов именования или разделов. Они в некотором роде аналогичны логическим таблицам или представлениям в базе данных. Каждый из этих разделов реплицируется отдельно. Первый, DC=tom,DC=local — это раздел вашего домена. Это место, где находятся ваши пользователи и группы, принадлежащие этому домену. Пользователи и группы из других доменов (если они у вас есть) не будут находиться в этом разделе.

CN=Configuration,DC=tom,DC=local — это контекст именования на уровне леса, который реплицируется на все контроллеры домена в лесу. Он содержит информацию о конфигурации всего леса, такую ​​как сайты AD, информацию PKI и т. д.

CN=Schema,CN=Configuration,DC=tom,DC=local также является контекстом именования для всего леса. На весь лес существует только одна версия этого раздела.

Читайте также: