Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   После восстановления AD нет доступа к DNS. (http://forum.oszone.net/showthread.php?t=196693)

pumba 15-01-2011 12:54 1589201

После восстановления AD нет доступа к DNS.
 
Зравствуйте.

Такая ситуация:

1. Упал DC - вырубилось питание при загрузке. После этого BSOD... Система: Win 2008 R2 Std. Контроллер единственный в сети на нем же единственный DNS.

2. Имеется полный бэкап системы, но System State из него почему-то не восстанавливается (пишет: отсутствует XML средства записи). Поэтому загрузился в режим восстановления службы каталогов и восстановил целиком папку C:\Windows\NTDS.

3. Сделал esentutl /p C:\Windows\NTDS\ntds.dit .

4. Перезагрузился в нормальном режиме, но начал глючить DNS:

- При попытке подключиться через MMC-консоль к DNS-серверу на контролере домена с правами администратора домена выдает следующее сообщение:
"Не удалось подключиться к серверу SPS. Произошла следующая ошибка:В доступе было отказано."

- В логах:
_____________________________________
Ошибка DNS появляется каждые 10 минут:

Имя журнала: DNS Server
Источник: Microsoft-Windows-DNS-Server-Service
Код события: 4000
Категория задачи: Отсутствует
Уровень:Ошибка
Компьютер:SPS.npfselena.ru
Описание:
DNS-серверу не удалось открыть Active Directory. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. Данными о событии является код ошибки.
_____________________________________
И ошибка Active Directory, появляется каждую минуту:

Имя журнала: Active Directory Web Services
Источник: ADWS
Код события: 1202
Категория задачи:События экземпляра веб-служб Active Directory
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: SPS.npfselena.ru
Описание:
На данном компьютере теперь расположен указанный экземпляр Active Directory, но веб-службам Active Directory не удалось обработать его запросы. Веб-службы Active Directory будут периодически пытаться повторить эту операцию.

Экземпляр Active Directory: NTDS
LDAP-порт экземпляра Active Directory: 389
SSL-порт экземпляра Active Directory: 636
_____________________________________

- Сервис DNS-сервер запущен (перезапускал, перегружался и т.п.)

- "Active Directory - пользователи и компьютеры" -> npfselena.ru\System\MicrosoftDNS права есть.
______________________________________
dnscmd /info

Ошибка при запросе сведений
состояние = 5 (0x00000005)

Команда не выполнена: ERROR_ACCESS_DENIED 5 0x5
______________________________________

ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : SPS
Основной DNS-суффикс . . . . . . : npfselena.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : npfselena.ru

Ethernet adapter Подключение по локальной сети 3:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Подключение по локальной сети - Виртуальн
ая сеть
Физический адрес. . . . . . . . . : 00-0F-EA-52-64-96
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.2
NetBios через TCP/IP. . . . . . . . : Включен
______________________________________

dcdiag /test:DNS /q
Узел 5a9d2eec-4c16-45ab-ae68-2da510fb4cd1._msdcs.npfselena.ru не
удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте
параметры брандмауэра.
......................... SPS - не пройдена проверка Connectivity
......................... SPS - не пройдена проверка DNS
Результаты проверки контроллеров домена:

Контроллер домена: SPS.npfselena.ru
Домен: npfselena.ru


TEST: Basic (Basc)
Ошибка: Невозможно подключение LDAP
Ошибка: все DNS-серверы недействительны
Не найдены записи узла (A или AAAA) для данного DC

Отчет по результатам проверки DNS:

Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: npfselena.ru
SPS PASS FAIL n/a n/a n/a n/a n/a

......................... npfselena.ru - не пройдена проверка DNS
______________________________________


Подскажите пожалуйста, что можно сделать?

exo 15-01-2011 22:09 1589508

Цитата:

Цитата pumba
После этого BSOD... »

какой? может чекдиска было бы достаточно...
Цитата:

Цитата pumba
Не найдены записи узла (A или AAAA) для данного DC »

записи то есть?

pumba 16-01-2011 12:09 1589764

Цитата:

какой? может чекдиска было бы достаточно...
Какой конкретно BSOD был не помню, что-то о том что Active Directory не может загрузиться т.к. база AD повреждена. Перед тем как применять esentutl /p, пробовал чекдиск и последнюю удачную конфигурацию, не помогло...

Цитата:

записи то есть?
Похоже что записей нет, такое впечатление, что вообще нет основной зоны. Вот что дает nslookup на имя ДК:

C:\Windows\system32>nslookup sps.npfselena.ru
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 192.168.1.2

*** UnKnown не удалось найти sps.npfselena.ru: Non-existent domain

exo 17-01-2011 08:43 1590372

Цитата:

Цитата pumba
Похоже что записей нет, »

так зайдите в ДНС и посмотрите записи. Если зоны нет - создавайте.

pumba 17-01-2011 09:23 1590390

Так в том то и проблема, что не могу попасть в DNS:
При попытке подключиться через MMC-консоль к DNS-серверу на контролере домена с правами администратора домена выдает следующее сообщение: "Не удалось подключиться к серверу SPS. Произошла следующая ошибка:В доступе было отказано."

exo 17-01-2011 10:08 1590413

смотрите логи, номер ошибки и потом в http://www.microsoft.com/technet/sup.../ee_basic.aspx

pumba 17-01-2011 10:47 1590449

Ошибки в логах перечислены в первом посте. На MS есть статья http://support.microsoft.com/kb/316685 , почистил по их совету логи, параметр реестра у меня уже стоял правильный, вобщем не помогло.

Сейчас поднял второй DNS сервер, нацелил на него DC, зоны создались, dcdiag ошибок не выдает:
Цитата:

C:\Windows\system32>dcdiag /q

C:\Windows\system32>
Но компы не видят домена, при попытке залогиниться пишет: Не удалось установить доверительные отношения с доменом.

Сейчас попробую пользовательский комп передобавить в домен... Вот SharePoint и 1С сервера страшно трогать, хочется основной DNS всетаки починить...

t1nkoff 17-01-2011 10:48 1590451

Через ADSI Edit возможно подключиться?
Точка подключения у вас будет: dc=DomainDNSZones,dc=npfselena,dc=ru

pumba 17-01-2011 11:23 1590486

Цитата:

Цитата t1nkoff
Через ADSI Edit возможно подключиться?
Точка подключения у вас будет: dc=DomainDNSZones,dc=npfselena,dc=ru »

Пустило, вот что выдает:


Теперь непонятно, чего тут сделать можно?

Telepuzik 17-01-2011 11:48 1590510

pumba,
Щелкните правой по "CN=MicrosoftDNS" выбирете Свойства и покажите скрин с закладки "Безопасность".

t1nkoff 17-01-2011 11:56 1590523

Проверьте настройки безопасности для раздела.
По идее у системы, должны быть полные права.

pumba 17-01-2011 12:12 1590538

CN=MicrosoftDNS - Безопасность:



Цитата:

Цитата t1nkoff
Проверьте настройки безопасности для раздела.
По идее у системы, должны быть полные права. »

DnsAdmins - полный доступ
Администраторы домена - полный доступ
Система- полный доступ

t1nkoff 17-01-2011 12:38 1590564

А остальные оснастки (Пользователи и комп например) нормально работают?
Что пишет анализатор соответсвия рекомендациям в диспетчере сервера?

pumba 17-01-2011 13:18 1590603

Цитата:

Цитата t1nkoff
А остальные оснастки (Пользователи и комп например) нормально работают?
Что пишет анализатор соответсвия рекомендациям в диспетчере сервера? »

Да, Пользователи и комп - работает, Сайты и службы, DHCP, DFS тоже работают, только DNS не открывается.

Анализатор соответствия пишет много ошибок, скорее всего всё из-за того же DNS.
Скриншот:

Текст одного из сообщений:
Код:

Название:
Анализатор AD DS BPA должен иметь возможность сбора данных о имя леса на контроллер домена SPS

Серьезность:
Ошибка

Дата:
17.01.2011 13:10:44

Категория:
Настройка

Проблема:
Анализатору соответствия рекомендациям доменных служб Active Directory (AD DS BPA) не удается собрать данные о имя леса на контроллер домена SPS.

Воздействие:
Анализатору AD DS BPA не удастся проверить данные конфигурации имя леса.

Разрешение:
Устраните неполадки с контроллер домена SPS, чтобы определить главную причину проблемы.

Дополнительные сведения об этой рекомендации и подробные процедуры: http://go.microsoft.com/fwlink/?LinkId=142188


t1nkoff 17-01-2011 14:18 1590663

Честно говоря затрудняюсь что-то ещё вразумительного придумать.
Можно попробовать через dnscmd открыть зону и перенести её в другой раздел. Если конечно даст открыть зону.

pumba 17-01-2011 14:44 1590688

Цитата:

Цитата t1nkoff
Честно говоря затрудняюсь что-то ещё вразумительного придумать.
Можно попробовать через dnscmd открыть зону и перенести её в другой раздел. Если конечно даст открыть зону. »

dnscmd /info

Ошибка при запросе сведений
состояние = 5 (0x00000005)

Команда не выполнена: ERROR_ACCESS_DENIED 5 0x5

Я поднял еще один DNS и нацелил на него DC, вроде-бы что-то прописалось:



Но почему-то не резолвится имя npfselena (без ".ru") и на компах при попытке залогиниться пишет: Не удалось установить доверительные отношения с доменом.

Информацию о зоне видно только через ADSI Edit, нельзя ли ее как-то перенести на новый DNS сервер?


Время: 08:41.

Время: 08:41.
© OSzone.net 2001-