Помогите решить ошибку event id 4013
 

доброе время уважаемые, помогите решить проблему, есть два сервера с АД,и ДНС, но иногда один из серверов зависает, при просмотре событий пишет про event id 4013, просьба помочь.
сервер на 2008

поиском пользовались?

пользовался, но не разобрался

что именно непонятно?

mvohid, вряд ли сервер зависает именно из-за этой ошибки. Обычно она возникает при загрузке сервера, когда служба DNS стартует раньше служб AD. При условии что контроллер домена один или, если их несколько, не правильно указаны настройки DNS у сетевой карты.

http://support.microsoft.com/kb/2001093/ru

запускается нормально без ошибок, ошибка возникает в разное время, зависает думаю что именно по этой причине 4013, при зависании не зайти и ничего не поделать с сервером, некоторое время, клиенты не могут не подключиться и все сервисы зависают, после включения в событиях ошибка 4013. контролер домена не один, сетевая карточка настроена так: предпочитаемый ip другого сервера, альтернативный сам сервер. другой сервер настроен также, предпочитаемый другой сервер, сам как альтернативный.

при перезапуске АД, в сообщениях ДНС появляется ошибка 4013

какие роли ещё на сервере? антивирусы?
IPCONFIG /ALL с обоих серверов.

после перезагрузки - это нормально. во время работы - нет.

Роли: AD,DNS,File,DHCP, антивирус нод32 смарт
1 -ый сервер на котором ошибки
C:\>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : SERVER02
Primary Dns Suffix . . . . . . . : domen.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domen.local

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82575EB Gigabit Network Connection
Physical Address. . . . . . . . . : 00-15-17-A1-C8-B3
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.5(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 192.168.1.10
192.168.1.5
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter Local Area Connection* 8:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : isatap.{08FE907E-19E6-4DC3-A9A1-EF3EFB00CC35}
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Local Area Connection* 9:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 02-00-54-55-4E-02
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes



2-ой сервер
C:\>ipconfig -all

Windows IP Configuration

Host Name . . . . . . . . . . . . : server05
Primary Dns Suffix . . . . . . . : domen.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domen.local

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Marvell Yukon 88E8050 PCI-E ASF Gigabit E
thernet Controller
Physical Address. . . . . . . . . : 00-04-23-C7-6F-3B
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.10(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 192.168.1.5
192.168.1.10
127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{5FDFD549-F295-46FA-BCEE-E3ECF730FF49}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E1
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E1
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

C:\>

временно отключите НОД

временно это на сколько? ошибка может возникать раз в неделю либо в две недели, иногда 2 раз в день, не могу понять от чего это и в какой момент. данный момент отключил, и снова перезагрузил АД, это ошибка снова возникает

Момент. Два варианта:
1. Сервер "завис". Ни на что не реагирует. Вы его перегружаете через "ресет".
2. Сервер "завис". Но через n-ное время "отвис" обратно.
Какой из этих вариантов ближе к истине? Если второй, то не возможен ли вариант что сервер автоматически перезапускается сам? Либо служба ДНС перезапускается?

да, хотелось бы узнать подробнее, что происходит. Откройте сессию RDP на сервере, во время зависания попробуйте с него зайти на любую шару используя имя localhos

1.перезагружаю через ресет, так как бывает очень нужным, а ждать сколько я не знаю, через сколько он становиться нормальным снова.
2. через n-ое время я так думаю что он снова начинает нормально функционировать, так как это ошибка иногда возникает ночью когда сервер никому не нужен, не могу понять когда и почему и в какое время возникает ошибка

Дамп памяти и автоматическая перезагрузка?

mvohid, посмотрите есть ли файлы %SystemRoot%\MEMORY.DMP?

А вообще что за железо?

нет не перезагружается, без перезагрузки приходит в себя,
перезагружаю я сам когда он нужен, пользователям.

нет файлов %SystemRoot%\MEMORY.DMP.

железо:
Материнская плата Intel Original S5520HCR
Процессор NTEL Xeon E5620 2.4ГГц
RAM 6Gb

очень похоже, когда NAP не дружит с антиврусом и блокирует сервер...

mvohid, а этот сервер, случайно не RODC?

это сервер не RODC.

C:\Users\administrator.domen>dcdiag

Directory Server Diagnosis

Performing initial setup:
Trying to find home server...
Home Server = SERVER02
* Identified AD Forest.
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERVER02
Starting test: Connectivity
......................... SERVER02 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER02
Starting test: Advertising
......................... SERVER02 passed test Advertising
Starting test: FrsEvent
......................... SERVER02 passed test FrsEvent
Starting test: DFSREvent
......................... SERVER02 passed test DFSREvent
Starting test: SysVolCheck
......................... SERVER02 passed test SysVolCheck
Starting test: KccEvent
......................... SERVER02 passed test KccEvent
Starting test: KnowsOfRoleHolders
......................... SERVER02 passed test KnowsOfRoleHolders
Starting test: MachineAccount
......................... SERVER02 passed test MachineAccount
Starting test: NCSecDesc
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=ForestDnsZones,DC=domen,DC=local
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=DomainDnsZones,DC=domen,DC=local
......................... SERVER02 failed test NCSecDesc
Starting test: NetLogons
......................... SERVER02 passed test NetLogons
Starting test: ObjectsReplicated
......................... SERVER02 passed test ObjectsReplicated
Starting test: Replications
......................... SERVER02 passed test Replications
Starting test: RidManager
......................... SERVER02 passed test RidManager
Starting test: Services
......................... SERVER02 passed test Services
Starting test: SystemLog
......................... SERVER02 passed test SystemLog
Starting test: VerifyReferences
......................... SERVER02 passed test VerifyReferences


Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation

Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation

Running partition tests on : Schema
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation

Running partition tests on : Configuration
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation

Running partition tests on : domen
Starting test: CheckSDRefDom
......................... domen passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... domen passed test CrossRefValidation

Running enterprise tests on : domen.local
Starting test: LocatorCheck
......................... domen.local passed test LocatorCheck
Starting test: Intersite
......................... domen.local passed test Intersite

C:\Users\administrator.domen>

mvohid, посмотрите http://social.technet.microsoft.com/...equired&ppud=4 не Ваш случай?

Имеется ввиду поднятие уровней леса и домена до 2008

уровень леса поднят у меня до 2008,
по поводу adprep /rodcprep, правильно ли будет если я основной сервер сделаю его RODC ?

вот результаты repadmin /showreps
C:\Users\administrator.domen>repadmin /showreps
Default-First-Site-Name\SERVER02
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 93def85f-04fe-4c5a-a1cb-1ee6a4412782
DSA invocationID: c5da453f-e8c3-4370-b32b-44598c5bf242

==== INBOUND NEIGHBORS ======================================

DC=domen,DC=local
Default-domen-Site-Name\SERVER05 via RPC
DSA object GUID: 885712f9-9d83-48d4-a81b-fb4d0065f012
Last attempt @ 2012-11-08 19:45:31 was successful.

CN=Configuration,DC=domen,DC=local
Default-First-Site-Name\SERVER05 via RPC
DSA object GUID: 885712f9-9d83-48d4-a81b-fb4d0065f012
Last attempt @ 2012-11-08 18:57:21 was successful.

CN=Schema,CN=Configuration,DC=domen,DC=local
Default-First-Site-Name\SERVER05 via RPC
DSA object GUID: 885712f9-9d83-48d4-a81b-fb4d0065f012
Last attempt @ 2012-11-08 18:57:21 was successful.

DC=DomainDnsZones,DC=domen,DC=local
Default-First-Site-Name\SERVER05 via RPC
DSA object GUID: 885712f9-9d83-48d4-a81b-fb4d0065f012
Last attempt @ 2012-11-08 18:57:21 was successful.

DC=ForestDnsZones,DC=domen,DC=local
Default-First-Site-Name\SERVER05 via RPC
DSA object GUID: 885712f9-9d83-48d4-a81b-fb4d0065f012
Last attempt @ 2012-11-08 18:57:21 was successful.

mvohid, пока не надо
Покажите вывод команды

C:\Users\administrator.domen>netdom query fsmo
Schema master SERVER02.domen.local
Domain naming master SERVER02.domen.local
PDC SERVER02.domen.local
RID pool manager SERVER02.domen.local
Infrastructure master SERVER02.domen.local
The command completed successfully.


C:\Users\administrator.domen>

adprep /rodcprep
После этого проведите репликацию и посмотрите появится ли ошибка NCSecDesc при выполнении dcdiag. Если все пройдет гладко, перегрузите SERVER02. Посмотрим появится ли 4013

adrep /rodcrep если не ошибаюсь то он мне основной сервер сделает для чтения, правильно ли это?

Нет. Не сделает.
http://technet.microsoft.com/ru-ru/l...(v=ws.10).aspx

при выполнении adrep /rodcrep выводиться ошибка, Adprep could not contact a replica for partition
нашел статью http://support.microsoft.com/kb/949257/ru
где сказано:
Эта проблема возникает, если команда Adprep/rodcprep пытается связаться с хозяином инфраструктуры для каждого раздела приложений в лесу. Команда выполняет это задание разрешений, необходимых для репликации контроллера домена только для чтения (RODC). Команда Adprep/rodcprep завершается ошибкой, если выполняется одно из следующих условий:

Раздел или разделы, на которые имеются ссылки в сообщении об ошибке больше не существует.
Хозяин инфраструктуры для указанный раздел или разделы принудительно понижена или находится в автономном режиме.


хозяином инфраструктуры является сам сервер следуя из результатов команды netdom query fsmo, получается есть разделы на которые имеются ссылки которые не существуют. а какие разделы ? и как исправить не могу понять?

C:\Users\administrator.domen>netdom query fsmo
Schema master SERVER02.domen.local
Domain naming master SERVER02.domen.local
PDC SERVER02.domen.local
RID pool manager SERVER02.domen.local
Infrastructure master SERVER02.domen.local
The command completed successfully.

результаты adprep /rodcprep

C:\Users\administrator.domen\adprep32 /rodcprep
Adprep connected to the domain FSMO: SERVER02.domen.local.


==============================================================================
Adprep found partition DC=DomainDnsZones,DC=domen,DC=local, and is about to upda
te the permissions.


Adprep could not contact a replica for partition DC=DomainDnsZones,DC=domen,DC=l
ocal.

Adprep encountered an LDAP error.
Error code: 0x0. Server extended error code: 0x0, Server error message: (null).



Adprep failed the operation on partition DC=DomainDnsZones,DC=domen,DC=local. Sk
ipping to next partition.
==============================================================================


==============================================================================
Adprep found partition DC=ForestDnsZones,DC=domen,DC=local, and is about to upda
te the permissions.


Adprep could not contact a replica for partition DC=ForestDnsZones,DC=domen,DC=l
ocal.

Adprep encountered an LDAP error.
Error code: 0x0. Server extended error code: 0x0, Server error message: (null).



Adprep failed the operation on partition DC=ForestDnsZones,DC=domen,DC=local. Sk
ipping to next partition.
==============================================================================


Adprep detected the operation on partition DC=domen,DC=local has been performed.
Skipping to next partition.
==============================================================================


Adprep completed with errors. Not all partitions are updated. See the ADPrep.log
in the C:\Windows\debug\adprep\logs\20121109122754 directory for more informati
on.

To successfully update all partititions, the current logged on user needs to be
a member of Enterprise Admins group. If that is not the case, please correct th
e problem, and then restart Adprep.

http://support.microsoft.com/kb/967482/en-us
так что волноваться, в общем-то, не о чём.
покажите вывод
whoami /groups

Учетная запись под которой выполняете должна входить в группу "Администраторы предприятия"

выполняю по админом.
результаты whoami /groups

C:\Users\administrator.domen\adprep 2008R2>whoami /groups

GROUP INFORMATION
-----------------

Group Name Type SID
Attributes

============================================ ================ ==================
========================== =====================================================
==========
Everyone Well-known group S-1-1-0
Mandatory group, Enabled by default, Enabled group

BUILTIN\Administrators Alias S-1-5-32-544
Mandatory group, Enabled by default, Enabled group, G
roup owner
BUILTIN\Remote Desktop Users Alias S-1-5-32-555
Mandatory group, Enabled by default, Enabled group

BUILTIN\Users Alias S-1-5-32-545
Mandatory group, Enabled by default, Enabled group

BUILTIN\Pre-Windows 2000 Compatible Access Alias S-1-5-32-554
Mandatory group, Enabled by default, Enabled group

NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4
Mandatory group, Enabled by default, Enabled group

NT AUTHORITY\Authenticated Users Well-known group S-1-5-11
Mandatory group, Enabled by default, Enabled group

NT AUTHORITY\This Organization Well-known group S-1-5-15
Mandatory group, Enabled by default, Enabled group

LOCAL Well-known group S-1-2-0
Mandatory group, Enabled by default, Enabled group

domen\Group Policy Creator Owners Group S-1-5-21-146794427
9-327693325-4125921288-520 Mandatory group, Enabled by default, Enabled group

domen\Domain Admins Group S-1-5-21-146794427
9-327693325-4125921288-512 Mandatory group, Enabled by default, Enabled group

domen\Schema Admins Group S-1-5-21-146794427
9-327693325-4125921288-518 Mandatory group, Enabled by default, Enabled group

domen\Enterprise Admins Group S-1-5-21-146794427
9-327693325-4125921288-519 Mandatory group, Enabled by default, Enabled group

domen\Denied RODC Password Replication Group Alias S-1-5-21-146794427
9-327693325-4125921288-572 Mandatory group, Enabled by default, Enabled group

Mandatory Label\High Mandatory Level Unknown SID type S-1-16-12288
Mandatory group, Enabled by default, Enabled group, L
ocal Group

C:\Users\