Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   После перезагрузки сервера не запускается AD и DNS (http://forum.oszone.net/showthread.php?t=117529)

VladDV 18-09-2008 05:09 902166
После перезагрузки сервера не запускается AD и DNS
 
Привет всем! Помогите разобраться с проблемой. Есть контроллер домена на Win2003Srv SP2 R2. На нем все мастера операций. Там же установлен DNS. Контроллер работает нормально. Но после перезагрузки он долго загружается. После загрузки при попытке любую открыть оснастку AD (например, Users and Computers) выдает ошибку "the specified domain either does not exist or could not be contacted". При открытии оснастки DNS выдает красный крест. В журнале ошибок есть сообщения о том, что DNS не смог найти контроллер домена, а потому не может работать правильно. Также есть сообщения, что в сети не найдено контролеров доменов. Служба DNS запущена. Перезапуск этой службы, а также служб, Server и NetLogon не помогает (по крайней мере с первого раза). Если долго "играться" с перезапуском этих служб и перезагрузкой сервера, то в конце концов он загружается и все начинает работать.

DCDiag дает следующее (в момент, когда AD не работает):

Код:

Domain Controller Diagnosis

Performing initial setup:
  The directory service on dc2 has not finished initializing.

    In order for the directory service to consider itself synchronized, it must

  attempt an initial synchronization with at least one replica of this

  server's writeable domain.  It must also obtain Rid information from the Rid

  FSMO holder.

    The directory service has not signalled the event which lets other services

  know that it is ready to accept requests. Services such as the Key

  Distribution Center, Intersite Messaging Service, and NetLogon will not

  consider this system as an eligible domain controller.
  The directory service on DC2 has not finished initializing.

    In order for the directory service to consider itself synchronized, it must

  attempt an initial synchronization with at least one replica of this

  server's writeable domain.  It must also obtain Rid information from the Rid

  FSMO holder.

    The directory service has not signalled the event which lets other services

  know that it is ready to accept requests. Services such as the Key

  Distribution Center, Intersite Messaging Service, and NetLogon will not

  consider this system as an eligible domain controller.
  Done gathering initial info.

Doing initial required tests
 
  Testing server: Office\DC2
      Starting test: Connectivity
        The host 2cd3c341-e5a7-4c97-b85a-9beefc40736d._msdcs.mydomain.ru could not be resolved to an
        IP address.  Check the DNS server, DHCP, server name, etc
        Although the Guid DNS name

        (2cd3c341-e5a7-4c97-b85a-9beefc40736d._msdcs.mydomain.ru) couldn't be

        resolved, the server name (dc2.mydomain.ru) resolved to the IP address

        (10.10.1.3) and was pingable.  Check that the IP address is registered

        correctly with the DNS server.
        ......................... DC2 failed test Connectivity

Doing primary tests
 
  Testing server: Office\DC2
      Skipping all tests, because server DC2 is
      not responding to directory service requests
 
  Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
        ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... ForestDnsZones passed test CheckSDRefDom
 
  Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
        ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... DomainDnsZones passed test CheckSDRefDom
 
  Running partition tests on : Schema
      Starting test: CrossRefValidation
        ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... Schema passed test CheckSDRefDom
 
  Running partition tests on : Configuration
      Starting test: CrossRefValidation
        ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... Configuration passed test CheckSDRefDom
 
  Running partition tests on : mydomain
      Starting test: CrossRefValidation
        ......................... mydomain passed test CrossRefValidation
      Starting test: CheckSDRefDom
        ......................... mydomain passed test CheckSDRefDom
 
  Running enterprise tests on : mydomain.ru
      Starting test: Intersite
        ......................... mydomain.ru passed test Intersite
      Starting test: FsmoCheck
        Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
        A Global Catalog Server could not be located - All GC's are down.
        Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
        A Primary Domain Controller could not be located.
        The server holding the PDC role is down.
        Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
        A Time Server could not be located.
        The server holding the PDC role is down.
        Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
        A Good Time Server could not be located.
        Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
        A KDC could not be located - All the KDCs are down.
        ......................... mydomain.ru failed test FsmoCheck
NetDiag дает следующее:

Код:

...................................

    Computer Name: DC2
    DNS Host Name: dc2.mydomain.ru
    System info : Windows 2000 Server (Build 3790)
    Processor : x86 Family 6 Model 15 Stepping 8, GenuineIntel
    List of installed hotfixes :
        KB921503
        KB924667-v2
        KB926122
        KB927891
        KB933360
        KB933729
        KB935839
        KB935840
        KB936021
        KB936357
        KB936782
        KB938127
        KB939653
        Q147222


Netcard queries test . . . . . . . : Passed



Per interface results:

    Adapter : Local Area Connection

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : dc2
        IP Address . . . . . . . . : 10.10.1.3
        Subnet Mask. . . . . . . . : 255.255.0.0
        Default Gateway. . . . . . :
        Dns Servers. . . . . . . . : 10.10.1.3


        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Skipped
            [WARNING] No gateways defined for this adapter.

        NetBT name test. . . . . . : Passed
        [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

        WINS service test. . . . . : Skipped
            There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
        NetBT_Tcpip_{36BF4CD9-2ABB-47CE-ACB2-DF412C2B44BC}
    1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Failed

    [FATAL] NO GATEWAYS ARE REACHABLE.
    You have no connectivity to other network segments.
    If you configured the IP protocol manually then
    you need to add at least one valid gateway.


NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Failed
          [WARNING] Cannot find a primary authoritative DNS server for the name
            'dc2.mydomain.ru.'. [ERROR_TIMEOUT]
            The name 'dc2.mydomain.ru.' may not be registered in DNS.
      [WARNING] The DNS entries for this DC cannot be verified right now on DNS server 10.10.1.3, ERROR_TIMEOUT.
    [FATAL] No DNS servers have the DNS records for this DC registered.


Redir and Browser test . . . . . . : Passed
    List of NetBt transports currently bound to the Redir
        NetBT_Tcpip_{36BF4CD9-2ABB-47CE-ACB2-DF412C2B44BC}
    The redir is bound to 1 NetBt transport.

    List of NetBt transports currently bound to the browser
        NetBT_Tcpip_{36BF4CD9-2ABB-47CE-ACB2-DF412C2B44BC}
    The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Failed
        [FATAL] Cannot find DC in domain 'mydomain'. [ERROR_NO_SUCH_DOMAIN]


DC list test . . . . . . . . . . . : Failed
        'mydomain': Cannot find DC to get DC list from [test skipped].


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Skipped
        'mydomain': Cannot find DC to get DC list from [test skipped].


LDAP test. . . . . . . . . . . . . : Failed
    Cannot find DC to run LDAP tests on. The error occurred was: The specified domain either does not exist or could not be contacted.

 
        [WARNING] Cannot find DC in domain 'mydomain'. [ERROR_NO_SUCH_DOMAIN]


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
    No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

    Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

monkkey 18-09-2008 16:32 902577
VladDV,
С номерами ошибок в журналах - на eventid.net для начала. И лучше бы дали ipconfig /all с сервера. Похоже, проблема в DNS

VladDV 19-09-2008 02:49 903002
monkkey,
На EventID (и на Google) уже был. Ничего внятного не нашел. Ошибки DNS 4000 и 4013 сообщают о том, что связанная с AD зона не может загрузиться, т.к. все контроллеры домена недоступны. Ошибка 40960 говорит, что не найдено серверов для входа. Ну и есть еще ошибка 5781:

Код:
Event Type:        Warning
Event Source:        NETLOGON
Event Category:        None
Event ID:        5781
Date:                19.09.2008
Time:                9:25:44
User:                N/A
Computer:        DC2
Description:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'mydomain.ru.' failed.  These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition). 

Possible causes of failure include: 
- TCP/IP properties of the network connections of this computer contain wrong IP address(es) of the preferred and alternate DNS servers
- Specified preferred and alternate DNS servers are not running
- DNS server(s) primary for the records to be registered is not running
- Preferred or alternate DNS servers are configured with wrong root hints
- Parent DNS zone contains incorrect delegation to the child zone authoritative for the DNS records that failed registration 

USER ACTION 
Fix possible misconfiguration(s) specified above and initiate registration or deletion of the DNS records by running 'nltest.exe /dsregdns' from the command prompt or by restarting Net Logon service. Nltest.exe is available in the Microsoft Windows Server Resource Kit CD.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: b4 05 00 00              ?...
но скорее всего это из-за того, что DNS не загрузился. А вот данные ipconfig /all:

Код:


Windows IP Configuration



  Host Name . . . . . . . . . . . . : dc2

  Primary Dns Suffix  . . . . . . . : mydomain.ru

  Node Type . . . . . . . . . . . . : Unknown

  IP Routing Enabled. . . . . . . . : No

  WINS Proxy Enabled. . . . . . . . : No

  DNS Suffix Search List. . . . . . : mydomain.ru



Ethernet adapter Local Area Connection:



  Connection-specific DNS Suffix  . :

  Description . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter

  Physical Address. . . . . . . . . : 00-0C-29-F3-3B-DA

  DHCP Enabled. . . . . . . . . . . : No

  IP Address. . . . . . . . . . . . : 10.10.1.2

  Subnet Mask . . . . . . . . . . . : 255.255.0.0

  Default Gateway . . . . . . . . . :

  DNS Servers . . . . . . . . . . . : 10.10.1.2

amel27 19-09-2008 07:37 903042
Цитата:
Цитата monkkey
Похоже, проблема в DNS »
Кстати, интересно - в случае DNS, интегрированного в AD, кто из них должен запускаться первым?.. Они вроде взаимозависимы получаются... Хорошо если КД/DNS два, а если нет?.. По ходу там вся загрузка на таймаутах строится, видимо какой-то компонент замешкался и пошла рассинхронизация всего процесса загрузки.

VladDV 19-09-2008 07:57 903046
amel27,
у меня тоже такая мысль возникла. Иначе как объяснить, что беспорядочная перезагрузка служб NetLogon, Server и DNS в конце концов приводит к запуску AD и DNS, и все начинает работать хорошо.

VladDV 22-09-2008 04:05 905300
Как временное решение поднял на отдельном сервере службу DNS и создал там единственную запись А для моего контроллера. А на DC2 прописал новый DNS как вторичный. После перезагрузки все заработало. Но все таки хотелось бы узнать причину, почему не работает конфигурация AD+DNS на одном сервере?

Delirium 22-09-2008 05:49 905310
VladDV, а попробуйте прописать первичным DNS - 127.0.0.1. ЧТо то у меня подозрение, что глючат драйвера на сетевую, и, как следствие, не работает сетевая, что приводит к ошибкам.
Цитата:
Цитата VladDV
Но все таки хотелось бы узнать причину, почему не работает конфигурация AD+DNS на одном сервере? »
У меня работает без сбоев, конфигурация на сервере примерно такая же: нет шлюза по умолчанию + AD/DNS на одной машине.

P.S. Вообще то домен не рекомендуется называть .ru, .com, если это, конечно, не внешнее имя. В DNS проводили изменения в связи с таким именем сервера?

Опаньки, чего я заметил:
Цитата:
Цитата VladDV
NetDiag дает следующее: »
Цитата:
Цитата VladDV
Host Name. . . . . . . . . : dc2
IP Address . . . . . . . . : 10.10.1.3
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 10.10.1.3 »
А ниже ваш же пост:
Цитата:
Цитата VladDV
А вот данные ipconfig /all: »
Цитата:
Цитата VladDV
Host Name . . . . . . . . . . . . : dc2 »
Цитата:
Цитата VladDV
IP Address. . . . . . . . . . . . : 10.10.1.2
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 10.10.1.2 »
Почему IP адреса то ДРУГИЕ???

VladDV 22-09-2008 06:31 905319
Цитата:
Цитата Delirium
попробуйте прописать первичным DNS - 127.0.0.1 »
Попробовал - не помогло.

Цитата:
Цитата Delirium
Вообще то домен не рекомендуется называть .ru, .com, если это, конечно, не внешнее имя »
На самом деле вместо имени mydomain есть реальное имя домена, зарегистрированное в Интернете. Т.ч. имя правильное.

Цитата:
Цитата Delirium
Опаньки, чего я заметил:
Цитата VladDV:
NetDiag дает следующее: »
Цитата VladDV:
Host Name. . . . . . . . . : dc2
IP Address . . . . . . . . : 10.10.1.3
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . : 10.10.1.3 » »
Вот здесь я извиняюсь. Вышла ошибка в лог-файле. Дело в том, что я портировал свой DC в виртуальную машину утилитой WMConverter, чтобы не проводить эксперименты на боевой машине. Получилась точная копия моего контроллера. Но поскольку при портировании сбрасываюся сетевые настройки, я их снова задал. И вот здесь допустил ошибку, вместо 10.10.1.2 задал 10.10.1.3. Потом я это исправил. Результат тот же. Кроме того, на реальной машине наблюдается та же ошибка, а там адрес правильный - 10.10.1.2.

Delirium 22-09-2008 06:40 905320
VladDV, то есть ошибка появляется как в виртуалке, так и в живой системе? Т.е. дрова на сетевую отпадают...
P.S. Может обсудим через ICQ? А результат выложим сюда? Мои данные в профиле.

Oleg Krylov 22-09-2008 09:43 905400
Попробуйте nltest /dsgetdc:имя домена. Можете так же задать имя контроллера /server:dc_name
Попробуйте так же netdiag /fix /v посмотрите ошибки.
И задайте в реестре зависимость Netlogon от DNS, чтобы первая не стартовала без второй

VladDV 22-09-2008 10:31 905442
Цитата:
Цитата Oleg Krylov
Попробуйте nltest /dsgetdc:имя домена »
DsGetDcName failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

netdiag /fix /v ругается на то, что превышен интервал ожидания ответа от DNS.

Цитата:
Цитата Oleg Krylov
И задайте в реестре зависимость Netlogon от DNS, чтобы первая не стартовала без второй »
Задавал - не помогло. Да и как DNS будет запускаться раньше AD? Ведь он интегрирован в нее.

Экспериментальным путем выявили, что все начинает работать, если для старта используется DNS с неинтегрированной зоной.

Oleg Krylov 22-09-2008 11:08 905487
Проблемы AD на 99,9% состоят из проблем DNS. Удалите зону. Создайте заново интегрированную, и используйте netdiag /fix для перерегистрации записей контроллера. Включите динамическое обновление. DHCP есть? Или статику используете?

VladDV 22-09-2008 13:47 905608
Oleg Krylov, на серверах использую статику. А удалять зону нужно как, вместе с регистрацией в AD или сначала сделать зону неинтегрированной, а потом удалить? Второй вариант я попробовал, не помогло.

Первый вариант тоже не помог.

Oleg Krylov 22-09-2008 14:13 905629
События из логов приведите. Можете в PM бросить сами логи в evt\evtx
Удалять надо без переводов. Просто удалить ее из DNS. Можно снести службу, перезагрузиться, поднять заново, создать зону и перерегистрировать контроллеры.
Про DHCP вопрос был к нюансам динамических обновлений зоны при помощи DHCP.

VladDV 22-09-2008 14:25 905642
Oleg Krylov, логи Вам отправил.

Oleg Krylov 22-09-2008 16:39 905773
VladDV, что то нет логов. :( Повторите плиз на krylovoaATmailDOTru

VladDV 23-09-2008 10:26 906377
Попробовал переставить DNS, как советовал Oleg Krylov, получилось то же самое, AD не грузится. Но заметил интересную вещь - после удаления DNS на DC2 я сделал ссылку на DNS, стоящий на другом сервере, где есть только запись А для DC2. В результате после перезагрузки DC2 AD загрузилась. Как это может быть? Ведь зона на втором DNS не интегрирована и не содержит никаких сведений о контроллерах в сети.

Oleg Krylov 24-09-2008 12:58 907494
VladDV, логи получил, вечером отпишусь по поводу их анализа. Каким образом Вы удаляли зону и создавали ее? Опишите пошагово пожалуйста.
По поводу зависимостей служб - Netlogon и Directory Services разные вещи. И Netlogon, стартующий раньше DNS не есть гуд. Поэтому зависимость надо все-таки выставить. На контроллере в сетевом интерфейсе кто прописан в качестве DNS по умолчанию?

Delirium 25-09-2008 02:00 908148
Oleg Krylov, я с VladDV по аське мучаю этот вопрос и вот к чему мы пришли:
1. Изначально проблема была на первом контроллере. Как только появилась проблема, VladDV поднял дополнительный контроллер, передал на него все роли. Сервер проработал какое то время и началась та же картина - отказ запуска AD при использовании встроенного DNS.
2. При поднятии дополнительного DNS на другой машине(не DC) и задания его использования - все работает. Пробовали удалять зоны, создавать новые чистые, удалять вообще службу DNS на сервере DC(все делается в виртуалке, поэтому можно тестировать) - результат тот же - при использовании интегрированного в AD DNS - контроллер в дауне.

Что мы делали(вкратце)
Цитата:
Hi! Make sure the dynamic updates are allowed for this zone.
Then from the server console
ipconfig /flushdns
net stop netlogon
net start netlogon
ipconfig /registerdns

or

netdiag /fix
Не помогло...

Цитата:
После выполнения команды nltest /dsregdns /server:DC2, команда netdiag /test:dns больше не дает того предупреждения, что контроллеры не зарегистрированы. И в netdiag тоже поменьше ошибок стало.
dnslint /ad /s 10.10.1.2 проходит хорошо.
В какой то момент вылезла ошибка http://support.microsoft.com/kb/870692, на нее не стали обращать внимания.

Это если вкратце.
P.S. С бубном прыгали, дождь вызывали, на линукс сменить грозились - все равно не работает :lol:

VladDV 25-09-2008 03:16 908169
DNS переставлял следующим образом:

1) Удалил прямую зону, на вопрос о том, хочу ли я ее удалить из AD ответил положительно
2) Удалил обратные зоны
3) Через установку компонент удалил службу DNS. Проверил, из служб DNS Server исчез
4) Перезагрузил сервер
5) Через установку компонент установил службу DNS
6) Создал новую прямую зону (prymary, хранение в AD -> репликация на все DNS домена -> название зоны mydomain.ru -> разрешить только безопасные динамические обновления)
7) Создал новую обратную зону (prymary, хранение в AD -> репликация на все DNS домена -> Network ID 10.10 -> разрешить только безопасные динамические обновления)
8) Выполнил команду netdiag /fix
9) Проверил зоны - в них появились сведения о контроллере и домене.
10) Перезагрузил сервер.
11) Проверил DNS - не работает.
12) Проверил AD (оснастки слетели, пришлось через mmc открывать) - не работает. Ошибки те же.

Цитата:
Цитата Oleg Krylov
На контроллере в сетевом интерфейсе кто прописан в качестве DNS по умолчанию? »
Я так понимаю, речь идет о предпочитаемом DNS сервере? Здесь стоит 10.10.1.2, т.е. сервер указывает сам на себя. Именно здесь я пробовал также поставить 127.0.0.1.

Цитата:
Цитата Oleg Krylov
Поэтому зависимость надо все-таки выставить. »
Спасибо за совет. Выставлю.

Ferum01 25-09-2008 11:33 908338
Проще всего было загрузиться из последеней удачной загрузки или уж на крайний случай восстановиться из buckup если конечно он делался...

dmitryst 25-09-2008 14:16 908472
Я вот не понимаю, почему и на виртуальной машине та же ошибка. Может, с дистрибутивом что-то не так или изначально неправильно настраивается АД?

Цитата:
Цитата VladDV
название зоны mydomain.ru »
не понимаю. Почему нельзя взять безопасный вариант mydomain.local? Наверняка избавляемся от запросов к внешним ДНС, соответсвенно и от таймаутов ДНС-службы при запуске.

Delirium 26-09-2008 01:20 908894
dmitryst, можно поинтересоваться, что вы имеете в виду под:
Цитата:
Цитата dmitryst
или изначально неправильно настраивается АД? »
Цитата:
Цитата dmitryst
Почему нельзя взять безопасный вариант mydomain.local? Наверняка избавляемся от запросов к внешним ДНС, соответсвенно и от таймаутов ДНС-службы при запуске. »
Можно конечно, в реале домен не mydomain.ru, а нормальный адрес, с внешним именем, в общем, в реальности адрес верный.
Ferum01, последняя удачная бы тут не подошла, т.к. проблема существует давно.
Цитата:
Цитата Ferum01
на крайний случай восстановиться из buckup если конечно он делался »
Тоже нельзя по той же причине.

monkkey 26-09-2008 15:11 909280
Цитата:
Цитата VladDV
System info : Windows 2000 Server (Build 3790) »
Надеюсь, SP-4 установлен.

VladDV 29-09-2008 02:22 911340
Цитата:
Цитата monkkey
Цитата VladDV:
System info : Windows 2000 Server (Build 3790) »
Надеюсь, SP-4 установлен. »
monkkey, не знаю, почему утилита показывает Win2000, но стоит там Win2003StdSP2R2.

Davis2k3 29-06-2015 14:41 2523791
Привет!
Чем у вас всё закончилось?


Время: 03:39.

Время: 03:39.
© OSzone.net 2001-