Dns-серверу не удалось открыть активный каталог

Обновлено: 03.07.2024

В настоящее время у меня возникают проблемы с одним из моих контроллеров домена (Windows Server 2003). В моей среде у меня в настоящее время есть два контроллера домена. На данный момент я вижу ошибки на контроллере домена 2003 года, в том смысле, что он не может связаться с DNS-сервером (который является самим собой). Я также получаю несколько ошибок в средстве просмотра событий (идентификатор события 4000), в которых говорится, что DNS-серверу не удалось открыть Active Directory. Я также заметил, что все прямые и обратные зоны недоступны на этом контроллере домена, так как они интегрированы в AD.

Мы будем признательны за любую помощь!

IT_CHAD

Intel vPro®: что нового в 2022 году

2022-03-24 16:00:00 UTC Video Meetup Видеовстреча: Intel - Intel vPro®: что нового в 2022 г. Подробнее о событии Просмотреть все события

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Я бы посоветовал перенести роли FSMO на сервер 08 и сервер dcpromo 2003. Сервер 2003 все равно работает некорректно, верно?

26 ответов

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

1) Является ли IP-адрес DNS для этой нестабильной машины тем же IP-адресом, который она использует для DNS? Другими словами, он указывает на себя для DNS. 2) Перезагрузить зону

IT_CHAD

1) Да, ненадежный сервер использует себя в качестве DNS

2) Я не могу перезагрузить зоны? Я выполнил перезапуск DNS, но после перезапуска в журнале появляются многочисленные события 4007. Они отмечают, что DNS не удалось открыть мои зоны?

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Удалите подсети, серверы пересылки и т. д., а затем создайте их заново. Какая ОС является другим DNS?

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Запустите dcdiag /test:DNS и ipconfig /all на DNS-сервере, на котором возникли проблемы, и опубликуйте здесь.

IT_CHAD

Не могли бы вы воссоздать зоны как дополнительные (скопировать их из другого DNS)?

IT_CHAD

Прилагается вывод команды DCDIAG /DNSALL.

IT_CHAD

Вот результат команды IPCONFIG /ALL.

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Что есть что?SIPCADC2 и SIPCASVR1 — это одно и то же? Ваш диагностический файл выглядит так, как будто он содержит ответ на проблему.

Что такое вывод dcdiag и ipconfig другого сервера?

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Повторное создание зон зависит от того, какой сервер является основным контроллером домена, а какой — резервным контроллером домена.

IT_CHAD

SIPCADC2 — это другой DC, Server 2008, они разные.

Я проведу DCDIAG на другом контроллере домена (SIPCADC2).

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Ваш сервер SIPCADC2 — он был установлен как контроллер домена? В том же домене, что и существующий сервер 2003? Можете ли вы просто dcpromo сервер 2003 и сделать его рядовым сервером? Сервер 2008 работает не так, как сервер 2003. Какой сервер имеет роли FSMO?

IT_CHAD

Прикреплены выходные данные DCDIAG /TEST:DNS от DNS-сервера, у которого возникли проблемы. Это был тест, который вы изначально просили.

Я буду следить за DCDIAG и IPCONFIG для нашего второго контроллера домена (SIPCADC2, у которого нет проблем.)

IT_CHAD

Вот тест DCDIAG /TEST:DNS, выполненный на втором контроллере домена.

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Это ваша основная ошибка. Проверьте свои записи A. У вас должна быть запись A для 192.168.2.11. Также я не знаю, почему он делает PTR (запись указателя для DNS) для 127.0.0.1, чтобы указать обратно на DC. PTR должен быть обратным IP-адресом записи A.

ТЕСТ: базовый (Basc)
Предупреждение: адаптер [00000010] VMware Accelerated AMD PCNet Adapt
у него неверный DNS-сервер: 192.168.2.11 ( )
Ошибка: все DNS-серверы недействительны
Ошибка: запись A для этого контроллера домена не найдена
Предупреждение: нет подключения DNS RPC (ошибка или
сервер
не Microsoft DNS)

Сводка результатов тестирования DNS-серверов, используемых указанными выше
контроллерами домена:

IT_CHAD

SIPCADC2 был установлен в качестве контроллера домена, и теперь он должен работать с резервной копией исходного контроллера домена 03.

Можно запустить dcpromo и сделать ящик 03 рядовым сервером? Сервер 2003 (SIPCASVR1) в настоящее время является сервером FSMO.

IT_CHAD

2.11 в настоящее время не имеет зон, поэтому у него не будет записи A. Это проблема, но почему нет зон? Никаких изменений в моей среде, за исключением того, что я недавно представил Openfiler как еще одну виртуальную машину. Из-за этих проблем я отключил его, но не вижу, как это может быть связано?

Почему вдруг этот контроллер домена не может получить доступ к DNS сам по себе и в результате не показывает ни прямых, ни обратных зон?

Прилагается то, что я вижу в диспетчере DNS на рассматриваемом сервере.

Если есть возможность, я бы не возражал против того, чтобы сделать мой сервер 2008 основным, так как затем я хотел бы перенести все AD/DNS на новый экземпляр Server 2012.

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Я бы посоветовал перенести роли FSMO на сервер 08 и сервер dcpromo 2003. Сервер 2003 все равно работает некорректно, верно?

IT_CHAD

Можно ли выполнить SFC /SCANNOW на этом ПК? Вероятность того, что это повреждение Windows, кажется вероятным. Изменение ролей на другом сервере может не работать в моей среде, так как у меня есть жестко запрограммированные устаревшие приложения, в которых указан контроллер домена для аутентификации учетных данных/аутентификации SQL.

Переключаем передачу, есть предложения, как заставить это работать?

IT_CHAD

Кажется, SFC решила проблему? Скорее всего, это были какие-то поврежденные файлы.

Я буду начислять баллы за указатели. Скорее всего, я возьму эти указатели и применю их при перемещении ролей FSMO на сервер 2008, чтобы проверить, может ли устаревшее приложение по-прежнему обмениваться данными.

IT_CHAD

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

На компьютере введите ipconfig /flushdns, а затем ipconfig /registerdns. Если до сих пор не видит. Тогда для этого имени в DNS нет записи A, ПК не настроен на использование этого DNS-сервера или ПК имеет неверную запись в файле Hosts.

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

ИЛИ это имя sipca НЕ является допустимым общим именем. Можете ли вы сопоставить диск, используя учетные данные администратора, с \\servername\C$ ? Если да, то имя общего ресурса, которое вы пытаетесь сопоставить, недействительно

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Я говорю первый вариант, так как он работает с ip. Вы все еще преследуете проблему с DNS. Можете ли вы пропинговать это имя сервера и получить ответ с правильного IP-адреса?

solethumdudu

Randy1699, мне нужна ваша мудрость по моей проблеме. Который очень похож на этот!!

AR- Пчеловод

Этот человек является проверенным специалистом

AR-Пчеловод

Затем откройте новую тему, чтобы ее могли видеть все участники сообщества. Я не буду работать над новым вопросом по старой теме.

solethumdudu

Я открыл вопрос. за несколько минут до связи с вами.

Эта тема заблокирована администратором и больше не открыта для комментариев.

Чтобы продолжить это обсуждение, задайте новый вопрос.

Идеи руководства для ИТ-пользователей

Итак, я новичок, и одной из моих целей в этом году является создание списка предложений для представления руководству о том, как наша ИТ-сфера справляется с незваными гостями. Цель заключается в следующем: убедиться, что все признаются как они зайти в наш район, чтобы направить их к .

Компьютерная безопасность/пароли для пользователей?

Здравствуйте! Существуют ли веб-сайты, на которые я могу указать своим пользователям, чтобы помочь им создавать более надежные пароли? Я знаю, что Diceware — это одно, но что еще? Я также только что нашел SANS OUCH! Что-нибудь похожее?

Искра! Серия Pro – 22 марта 2022 г.

День в истории: 22 марта 1765 г. — принят Закон о гербовом сборе; Первый прямой британский налог на американских колонистов, организованный премьер-министром Джорджем Гренвиллем 1782 г. — Папа Пий VI прибывает в Вену для встречи с императором Священной Римской империи.

Щелкни! Взлом Okta, взлом Microsoft, дефекты принтеров HP, экзопланеты, изобретательность

Ваша ежедневная доза технических новостей. Вы должны это услышать. Компания по аутентификации Okta расследует сообщение об утечке данных Поставщик аутентификации Okta, похоже, подвергся серьезной утечке данных после того, как в Интернете появились скриншоты конфиденциальных данных.

Как вы измеряете успех?

Если в вашей команде появился новый инженер, и вы его обучили. Как вы измеряете успех инженера с точки зрения обучения, которое вы предоставили? Как вы оцениваете, что они должны уметь делать, или как узнать, было ли ваше обучение успешным.

Недавно у нас был "Понедельник исправлений" – это необычно, поскольку обычно мы устанавливаем исправления по пятницам (на случай, если что-то пойдет не так, у нас впереди выходные). воспользовался возможностью исправить.

К сожалению, что-то пошло не так. Сначала после перезагрузки одного из серверов Exchange я получил следующую ошибку:

Exchange ECP / Сервер LDAP недоступен

"Поставщик топологии не смог найти Microsoft Exchange Active Directory"


В журналах было зарегистрировано событие с идентификатором 2142 MSExchangeADTopology с ошибкой "Ошибка обнаружения топологии"

Сначала я подумал, что это плохой патч, но вскоре после этого все еще не исправленный Exchange
сообщил об ошибках.

Ошибки явно указывают на AD. Я посмотрел на контроллер домена, т.к. он тоже был обновлен. Сразу после входа в DC меня встретил неприятный сюрприз.

После открытия консоли DNS появилось сообщение «Отказано в доступе».

DNS был недоступен.


В DC были зарегистрированы следующие события:

Идентификатор события Microsoft-Windows-DNS-Server-Service 4000

Описание для идентификатора события ( 4000 ) в источнике ( Microsoft-Windows-DNS-Server-Service ) не найдено. Либо компонент, вызывающий это событие, не установлен на вашем локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере или обратиться к производителю компонента за более новой версией.


Если событие было сохранено с другого компьютера или перенаправлено с удаленного компьютера, вам, возможно, придется включить отображаемую информацию вместе с событиями при их сохранении или настройке пересылки.

Идентификатор события Microsoft-Windows-DNS-Server-Service 4007

Описание для идентификатора события ( 4007 ) в источнике ( Microsoft-Windows-DNS-Server-Service ) не найдено. Либо компонент, вызывающий это событие, не установлен на вашем локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере или обратиться к производителю компонента за более новой версией.

Если событие было сохранено с другого компьютера или перенаправлено с удаленного компьютера, возможно, вам придется включить отображаемую информацию вместе с событиями при их сохранении или настройке пересылки


Это происходит, когда конкретный сервер DC/DNS теряет безопасный канал с самим собой или основным контроллером домена.
Это также может произойти в среде с одним контроллером домена, где этот сервер DC/DNS содержит все роли FSMO и указывает на себя в качестве основного DNS-сервера.

Я до сих пор не знаю, почему это произошло в моем случае, но вот шаги, которые помогли мне решить эту проблему

Остановите службу KDC (центр распространения ключей Kerberos) в сервисной консоли на контроллере домена, которая не работает.


Запустите командную строку с повышенными привилегиями (от имени администратора) и введите следующую команду

(замените dc.domain.local на полное доменное имя вашего контроллера домена, а DOMAIN\domain_admin на ваш домен и учетную запись администратора)



Вам будет предложено ввести пароль. Введите пароль администратора домена, который вы используете для этой учетной записи.

Аватар для mojopojo

Сегодня утром после перезагрузки сервера в нерабочее время (отключение электроэнергии — контроллер домена с одним доменом подключен к очень хорошему ИБП, и перезагрузка, похоже, прошла без нареканий) наша служба DNS-сервера не запустилась. Сетевой администратор удалил, а затем переустановил роль DNS.

Теперь DNS-запросы с доменных ПК и через WiFI VLAN могут разрешать DNS-запросы с использованием DNS домена. Теперь каждый может войти в домен, и у всех есть доступ в Интернет. Ping для полного доменного имени сервера (DC) приводит к правильному IP-адресу локальной сети.

Просмотр событий по-прежнему показывает: DNS-сервер, идентификатор события 4000, подключение к Active Directory

Имя журнала: DNS-сервер
Источник: Microsoft-Windows-DNS-Serv er-Service
Дата: 03.10.2014, 9:34:42
Идентификатор события: 4000 < br />Категория задачи: Нет
Уровень: Ошибка
Ключевые слова: (65536)
Пользователь: SYSTEM
Компьютер: Server1.ourdomain.local

Описание:
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен на получение и использование информации из каталога для этой зоны и не может загрузить зону без нее. Убедитесь, что Active Directory работает правильно, и перезагрузите зону. Данные события — это код ошибки.


4000
0
2
0
0
0x80000000000100 00 ds>

9619 RecordID>
>

DNS-сервер
Server1.ourdomai n.local computer>



2D230000


Журналы средства просмотра событий для Active Directory перечисляют множество экземпляров с идентификатором события 1202


Имя журнала: Веб-службы Active Directory
Источник: ADWS
Дата: 03.10.2014, 9:22:49
Идентификатор события: 1202
Категория задачи: События экземпляра ADWS
Уровень: Ошибка
Ключевые слова: Классический
Пользователь: Н/Д
Компьютер: Server1.ourdomainsa.local
Описание:
На этом компьютере теперь размещается указанный экземпляр каталога, но веб-службы Active Directory не могут его обслуживать. Веб-службы Active Directory будут периодически повторять эту операцию.


1202 ventID>
2
3
0x80000000000000 >

1498 RecordID>
Веб-службы Active Directory
Server1 .ourdomai n.local computer>



NTDS
389
636

Попытка открыть роль DNS из консоли диспетчера серверов приводит к сообщению об ошибке:

"Не удалось связаться с сервером SERVER1.
Ошибка:
Отказано в доступе.

Вы все равно хотите его добавить?"

Нажатие "Да" приводит к следующей ошибке:

"Не удалось связаться с сервером SERVER1.ourdomain.local.
Ошибка:
Отказано в доступе.

Хотите добавить?"

Затем откроется Диспетчер DNS, но перечисленные DNS-серверы будут отмечены красными значками ошибок, и все, что доступно из контекстных меню каждого из них, — это остановить и запустить службу.

ПРОБЛЕМЫ, РЕЗУЛЬТАТИВНЫЕ В РЕЗУЛЬТАТЕ В ЛВС: подключение пользователей к файловому серверу с использованием полного доменного имени ( \\server1\ ) теперь запрашивается для проверки подлинности имени пользователя/пароля и всех учетных данных FAIL - даже администратора домена по умолчанию.

Сохранять результаты, если пользователи подключаются к файловому серверу по IP-адресу ( \\192.168.xxx.xxx\ ), запрашивают учетные данные домена и сообщают, что у них нет разрешения на доступ.

Подключение к NAS по полному доменному имени приводит к установлению соединения, но все запросы учетных данных домена завершаются с ошибкой.

Очевидно, это связано с тем, что служба DNS-сервера и Active Directory вообще не обмениваются данными.

Кто-нибудь прошел через это или знает решение проблемы с идентификатором события 4000?

Никто в сети не может подключиться к какой-либо общей папке на сервере или NAS.
DNS-сервер не может подключиться к AD. Мы не можем получить доступ к DNS-серверу из контроллера домена, на котором он размещен.

Читайте также: