Привет всем! Помогите разобраться с проблемой. Есть контроллер домена на Win2003Srv SP2 R2. На нем все мастера операций. Там же установлен DNS. Контроллер работает нормально. Но после перезагрузки он долго загружается. После загрузки при попытке любую открыть оснастку AD (например, Users and Computers) выдает ошибку "the specified domain either does not exist or could not be contacted". При открытии оснастки DNS выдает красный крест. В журнале ошибок есть сообщения о том, что DNS не смог найти контроллер домена, а потому не может работать правильно. Также есть сообщения, что в сети не найдено контролеров доменов. Служба DNS запущена. Перезапуск этой службы, а также служб, Server и NetLogon не помогает (по крайней мере с первого раза). Если долго "играться" с перезапуском этих служб и перезагрузкой сервера, то в конце концов он загружается и все начинает работать.

DCDiag дает следующее (в момент, когда AD не работает):



Domain Controller Diagnosis

Performing initial setup:
The directory service on dc2 has not finished initializing.

In order for the directory service to consider itself synchronized, it must

attempt an initial synchronization with at least one replica of this

server's writeable domain. It must also obtain Rid information from the Rid

FSMO holder.

The directory service has not signalled the event which lets other services

know that it is ready to accept requests. Services such as the Key

Distribution Center, Intersite Messaging Service, and NetLogon will not

consider this system as an eligible domain controller.
The directory service on DC2 has not finished initializing.

In order for the directory service to consider itself synchronized, it must

attempt an initial synchronization with at least one replica of this

server's writeable domain. It must also obtain Rid information from the Rid

FSMO holder.

The directory service has not signalled the event which lets other services

know that it is ready to accept requests. Services such as the Key

Distribution Center, Intersite Messaging Service, and NetLogon will not

consider this system as an eligible domain controller.
Done gathering initial info.

Doing initial required tests

Testing server: Office\DC2
Starting test: Connectivity
The host 2cd3c341-e5a7-4c97-b85a-9beefc40736d._msdcs.mydomain.ru could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(2cd3c341-e5a7-4c97-b85a-9beefc40736d._msdcs.mydomain.ru) couldn't be

resolved, the server name (dc2.mydomain.ru) resolved to the IP address

(10.10.1.3) and was pingable. Check that the IP address is registered

correctly with the DNS server.
......................... DC2 failed test Connectivity

Doing primary tests

Testing server: Office\DC2
Skipping all tests, because server DC2 is
not responding to directory service requests

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : mydomain
Starting test: CrossRefValidation
......................... mydomain passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... mydomain passed test CheckSDRefDom

Running enterprise tests on : mydomain.ru
Starting test: Intersite
......................... mydomain.ru passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
A KDC could not be located - All the KDCs are down.
......................... mydomain.ru failed test FsmoCheck




NetDiag дает следующее:



...................................

Computer Name: DC2
DNS Host Name: dc2.mydomain.ru
System info : Windows 2000 Server (Build 3790)
Processor : x86 Family 6 Model 15 Stepping 8, GenuineIntel
List of installed hotfixes :
KB921503
KB924667-v2
KB926122
KB927891
KB933360
KB933729
KB935839
KB935840
KB936021
KB936357
KB936782
KB938127
KB939653
Q147222


Netcard queries test . . . . . . . : Passed



Per interface results:

Adapter : Local Area Connection

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : dc2
IP Address . . . . . . . . : 10.10.1.3
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 10.10.1.3


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{36BF4CD9-2ABB-47CE-ACB2-DF412C2B44BC}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Failed

[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Failed
[WARNING] Cannot find a primary authoritative DNS server for the name
'dc2.mydomain.ru.'. [ERROR_TIMEOUT]
The name 'dc2.mydomain.ru.' may not be registered in DNS.
[WARNING] The DNS entries for this DC cannot be verified right now on DNS server 10.10.1.3, ERROR_TIMEOUT.
[FATAL] No DNS servers have the DNS records for this DC registered.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{36BF4CD9-2ABB-47CE-ACB2-DF412C2B44BC}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{36BF4CD9-2ABB-47CE-ACB2-DF412C2B44BC}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Failed
[FATAL] Cannot find DC in domain 'mydomain'. [ERROR_NO_SUCH_DOMAIN]


DC list test . . . . . . . . . . . : Failed
'mydomain': Cannot find DC to get DC list from [test skipped].


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Skipped
'mydomain': Cannot find DC to get DC list from [test skipped].


LDAP test. . . . . . . . . . . . . : Failed
Cannot find DC to run LDAP tests on. The error occurred was: The specified domain either does not exist or could not be contacted.


[WARNING] Cannot find DC in domain 'mydomain'. [ERROR_NO_SUCH_DOMAIN]


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

VladDV,
С номерами ошибок в журналах - на eventid.net для начала. И лучше бы дали ipconfig /all с сервера. Похоже, проблема в DNS

monkkey,
На EventID (и на Google) уже был. Ничего внятного не нашел. Ошибки DNS 4000 и 4013 сообщают о том, что связанная с AD зона не может загрузиться, т.к. все контроллеры домена недоступны. Ошибка 40960 говорит, что не найдено серверов для входа. Ну и есть еще ошибка 5781:


Event Type: Warning
Event Source: NETLOGON
Event Category: None
Event ID: 5781
Date: 19.09.2008
Time: 9:25:44
User: N/A
Computer: DC2
Description:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'mydomain.ru.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).

Possible causes of failure include:
- TCP/IP properties of the network connections of this computer contain wrong IP address(es) of the preferred and alternate DNS servers
- Specified preferred and alternate DNS servers are not running
- DNS server(s) primary for the records to be registered is not running
- Preferred or alternate DNS servers are configured with wrong root hints
- Parent DNS zone contains incorrect delegation to the child zone authoritative for the DNS records that failed registration

USER ACTION
Fix possible misconfiguration(s) specified above and initiate registration or deletion of the DNS records by running 'nltest.exe /dsregdns' from the command prompt or by restarting Net Logon service. Nltest.exe is available in the Microsoft Windows Server Resource Kit CD.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: b4 05 00 00 ?...



но скорее всего это из-за того, что DNS не загрузился. А вот данные ipconfig /all:




Windows IP Configuration



Host Name . . . . . . . . . . . . : dc2

Primary Dns Suffix . . . . . . . : mydomain.ru

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : mydomain.ru



Ethernet adapter Local Area Connection:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter

Physical Address. . . . . . . . . : 00-0C-29-F3-3B-DA

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 10.10.1.2

Subnet Mask . . . . . . . . . . . : 255.255.0.0

Default Gateway . . . . . . . . . :

DNS Servers . . . . . . . . . . . : 10.10.1.2

Похоже, проблема в DNS »
Кстати, интересно - в случае DNS, интегрированного в AD, кто из них должен запускаться первым?.. Они вроде взаимозависимы получаются... Хорошо если КД/DNS два, а если нет?.. По ходу там вся загрузка на таймаутах строится, видимо какой-то компонент замешкался и пошла рассинхронизация всего процесса загрузки.

amel27,
у меня тоже такая мысль возникла. Иначе как объяснить, что беспорядочная перезагрузка служб NetLogon, Server и DNS в конце концов приводит к запуску AD и DNS, и все начинает работать хорошо.

Как временное решение поднял на отдельном сервере службу DNS и создал там единственную запись А для моего контроллера. А на DC2 прописал новый DNS как вторичный. После перезагрузки все заработало. Но все таки хотелось бы узнать причину, почему не работает конфигурация AD+DNS на одном сервере?

VladDV, а попробуйте прописать первичным DNS - 127.0.0.1. ЧТо то у меня подозрение, что глючат драйвера на сетевую, и, как следствие, не работает сетевая, что приводит к ошибкам.
Но все таки хотелось бы узнать причину, почему не работает конфигурация AD+DNS на одном сервере? »
У меня работает без сбоев, конфигурация на сервере примерно такая же: нет шлюза по умолчанию + AD/DNS на одной машине.

P.S. Вообще то домен не рекомендуется называть .ru, .com, если это, конечно, не внешнее имя. В DNS проводили изменения в связи с таким именем сервера?

Опаньки, чего я заметил:
NetDiag дает следующее: »
Host Name. . . . . . . . . : dc2
IP Address . . . . . . . . : 10.10.1.3
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 10.10.1.3 »
А ниже ваш же пост:
А вот данные ipconfig /all: »
Host Name . . . . . . . . . . . . : dc2 »
IP Address. . . . . . . . . . . . : 10.10.1.2
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 10.10.1.2 »
Почему IP адреса то ДРУГИЕ???

попробуйте прописать первичным DNS - 127.0.0.1 »

Попробовал - не помогло.

Вообще то домен не рекомендуется называть .ru, .com, если это, конечно, не внешнее имя »
На самом деле вместо имени mydomain есть реальное имя домена, зарегистрированное в Интернете. Т.ч. имя правильное.

Опаньки, чего я заметил:
Цитата VladDV:
NetDiag дает следующее: »
Цитата VladDV:
Host Name. . . . . . . . . : dc2
IP Address . . . . . . . . : 10.10.1.3
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 10.10.1.3 » »

Вот здесь я извиняюсь. Вышла ошибка в лог-файле. Дело в том, что я портировал свой DC в виртуальную машину утилитой WMConverter, чтобы не проводить эксперименты на боевой машине. Получилась точная копия моего контроллера. Но поскольку при портировании сбрасываюся сетевые настройки, я их снова задал. И вот здесь допустил ошибку, вместо 10.10.1.2 задал 10.10.1.3. Потом я это исправил. Результат тот же. Кроме того, на реальной машине наблюдается та же ошибка, а там адрес правильный - 10.10.1.2.

VladDV, то есть ошибка появляется как в виртуалке, так и в живой системе? Т.е. дрова на сетевую отпадают...
P.S. Может обсудим через ICQ? А результат выложим сюда? Мои данные в профиле.

Попробуйте nltest /dsgetdc:имя домена. Можете так же задать имя контроллера /server:dc_name
Попробуйте так же netdiag /fix /v посмотрите ошибки.
И задайте в реестре зависимость Netlogon от DNS, чтобы первая не стартовала без второй

Попробуйте nltest /dsgetdc:имя домена »

DsGetDcName failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

netdiag /fix /v ругается на то, что превышен интервал ожидания ответа от DNS.

И задайте в реестре зависимость Netlogon от DNS, чтобы первая не стартовала без второй »

Задавал - не помогло. Да и как DNS будет запускаться раньше AD? Ведь он интегрирован в нее.

Экспериментальным путем выявили, что все начинает работать, если для старта используется DNS с неинтегрированной зоной.

Проблемы AD на 99,9% состоят из проблем DNS. Удалите зону. Создайте заново интегрированную, и используйте netdiag /fix для перерегистрации записей контроллера. Включите динамическое обновление. DHCP есть? Или статику используете?

Oleg Krylov, на серверах использую статику. А удалять зону нужно как, вместе с регистрацией в AD или сначала сделать зону неинтегрированной, а потом удалить? Второй вариант я попробовал, не помогло.

Первый вариант тоже не помог.

События из логов приведите. Можете в PM бросить сами логи в evt\evtx
Удалять надо без переводов. Просто удалить ее из DNS. Можно снести службу, перезагрузиться, поднять заново, создать зону и перерегистрировать контроллеры.
Про DHCP вопрос был к нюансам динамических обновлений зоны при помощи DHCP.

Oleg Krylov, логи Вам отправил.

VladDV, что то нет логов. :( Повторите плиз на krylovoaATmailDOTru

Попробовал переставить DNS, как советовал Oleg Krylov, получилось то же самое, AD не грузится. Но заметил интересную вещь - после удаления DNS на DC2 я сделал ссылку на DNS, стоящий на другом сервере, где есть только запись А для DC2. В результате после перезагрузки DC2 AD загрузилась. Как это может быть? Ведь зона на втором DNS не интегрирована и не содержит никаких сведений о контроллерах в сети.

VladDV, логи получил, вечером отпишусь по поводу их анализа. Каким образом Вы удаляли зону и создавали ее? Опишите пошагово пожалуйста.
По поводу зависимостей служб - Netlogon и Directory Services разные вещи. И Netlogon, стартующий раньше DNS не есть гуд. Поэтому зависимость надо все-таки выставить. На контроллере в сетевом интерфейсе кто прописан в качестве DNS по умолчанию?

Oleg Krylov, я с VladDV по аське мучаю этот вопрос и вот к чему мы пришли:
1. Изначально проблема была на первом контроллере. Как только появилась проблема, VladDV поднял дополнительный контроллер, передал на него все роли. Сервер проработал какое то время и началась та же картина - отказ запуска AD при использовании встроенного DNS.
2. При поднятии дополнительного DNS на другой машине(не DC) и задания его использования - все работает. Пробовали удалять зоны, создавать новые чистые, удалять вообще службу DNS на сервере DC(все делается в виртуалке, поэтому можно тестировать) - результат тот же - при использовании интегрированного в AD DNS - контроллер в дауне.

Что мы делали(вкратце)
Hi! Make sure the dynamic updates are allowed for this zone.
Then from the server console
ipconfig /flushdns
net stop netlogon
net start netlogon
ipconfig /registerdns

or

netdiag /fix
Не помогло...

После выполнения команды nltest /dsregdns /server:DC2, команда netdiag /test:dns больше не дает того предупреждения, что контроллеры не зарегистрированы. И в netdiag тоже поменьше ошибок стало.
dnslint /ad /s 10.10.1.2 проходит хорошо.

В какой то момент вылезла ошибка http://support.microsoft.com/kb/870692, на нее не стали обращать внимания.

Это если вкратце.
P.S. С бубном прыгали, дождь вызывали, на линукс сменить грозились - все равно не работает :lol:

DNS переставлял следующим образом:

1) Удалил прямую зону, на вопрос о том, хочу ли я ее удалить из AD ответил положительно
2) Удалил обратные зоны
3) Через установку компонент удалил службу DNS. Проверил, из служб DNS Server исчез
4) Перезагрузил сервер
5) Через установку компонент установил службу DNS
6) Создал новую прямую зону (prymary, хранение в AD -> репликация на все DNS домена -> название зоны mydomain.ru -> разрешить только безопасные динамические обновления)
7) Создал новую обратную зону (prymary, хранение в AD -> репликация на все DNS домена -> Network ID 10.10 -> разрешить только безопасные динамические обновления)
8) Выполнил команду netdiag /fix
9) Проверил зоны - в них появились сведения о контроллере и домене.
10) Перезагрузил сервер.
11) Проверил DNS - не работает.
12) Проверил AD (оснастки слетели, пришлось через mmc открывать) - не работает. Ошибки те же.

На контроллере в сетевом интерфейсе кто прописан в качестве DNS по умолчанию? »

Я так понимаю, речь идет о предпочитаемом DNS сервере? Здесь стоит 10.10.1.2, т.е. сервер указывает сам на себя. Именно здесь я пробовал также поставить 127.0.0.1.

Поэтому зависимость надо все-таки выставить. »

Спасибо за совет. Выставлю.