none
Не работает второй ДНС в сети RRS feed

  • Вопрос

  • Приветствую.Есть реплика между двумя DC ,там же подняты и ДНС сервера.Реплика идет нормально.(последняя репликация сегодня-утро)но вот,если
    оставить один ДНС(в моем случае 10.70.1.229) то комп не видит имена в сети,неважно локальные это серваки или же интернет.
    Сам сервак,где поднят днс сервер всех видит,внутри и снаружи.Также имеет актуальные записи(в Forward zone) , тоесть синхронизируется с первым (рабочим ДНС).
    В евентах нашел ошибку 4013.

    The DNS server is waiting for Active Directory Domain Services (AD DS) to signal that the initial synchronization of the directory has been completed. The DNS server service cannot start until the initial synchronization is complete because critical DNS data might not yet be replicated onto this domain controller. If events in the AD DS event log indicate that there is a problem with DNS name resolution, consider adding the IP address of another DNS server for this domain to the DNS server list in the Internet Protocol properties of this computer. This event will be logged every two minutes until AD DS has signaled that the initial synchronization has successfully completed.
    29 декабря 2015 г. 7:41

Все ответы

  • Ошибка в журнале может быть вызвана задержкой репликации AD при загрузке и в дальнейшем можеет быть неактуальной. Проверьте актуальную работу DNS. Сначала - в консоли сервера DNS (там в свойствах сервера есть нужная вкладка), затем - с клиента.

    С клиента работа сервера DNS проверяется командой

    nslookup проверяемое.имя IP_DNS_сервера

    А что касается репликации - то её тоже надо проверить: посмотрите выдачу команды repadmin /showrepl * с любого КД - она всё покажет. Если видите там что-то непонятное - выкладывайте сюда.


    Слава России!

    29 декабря 2015 г. 8:12
  • Здравствуйте,

    1. Уточните пожалуйста, проблемный сервер - это физический или виртуальный сервер?

    2.Также ознакомьтесь со статьей "Troubleshoot DNS Event ID 4013: The DNS server was unable to load AD integrated DNS zones" в некоторых случаях помогает фикс в реестре.

    Some Microsoft and external content have recommended setting the registry value Repl Perform Initial Synchronizations to 0 in order to bypass initial synchronization requirements in Active Directory. The specific registry subkey and the values for that setting are as follows:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    Value name:  Repl Perform Initial Synchronizations
    Value type:  REG_DWORD
    Value data: 0

    3. Ознакомьтесь со статьей на стороннем ресурсе "Active Directory Replication Issue “The DNS server is waiting for Active Directory Domain Services (AD DS) to signal that the initial synchronization of the directory has been completed”"

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 29 декабря 2015 г. 8:30 добавлено
    29 декабря 2015 г. 8:17
    Модератор
  • Есть реплика между двумя DC ,там же подняты и ДНС сервера.Реплика идет нормально.(последняя репликация сегодня-утро)но вот,если
    оставить один ДНС(в моем случае 10.70.1.229) то комп не видит имена в сети,неважно локальные это серваки или же интернет.
    Сам сервак,где поднят днс сервер всех видит,внутри и снаружи.Также имеет актуальные записи(в Forward zone) , тоесть синхронизируется с первым (рабочим ДНС).
    В евентах нашел ошибку 4013.

    Что означает "комп не видит имена"? Точно опишите, что вы делаете и какой результат получаете. О каком "компе" идет речь? О каком-то конкретном ПК или вообще о всех ПК в сети?

    Покажите ipconfig /all с обоих КД, а также с одной из проблемных станций.

    Ошибка, как указал коллега M.V.V, возникает на стадии загрузки КД, и ее следует игнорировать.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    29 декабря 2015 г. 8:37
  • если оставить проблемный днс сервер в настройках сетевого подключения на компе.То по имени он ничего пинговать не будет.Ни яндекс ни какой нибудь локальный комп.То есть как будто днс сервера и нету у меня в сети.

    Проблемный сервер это физический сервер
    Другой DC(с рабочим ДНС)- это виртуальный сервер

    Реплика проходит нормально.

    29 декабря 2015 г. 10:34
  • Странно, уточните пожалуйста по каким соображениям Вы решили использовать различные настройки днс-серверов на сетевых интерфейсах?

    P.S. причем на одном с ipv6, а на другом нет.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 29 декабря 2015 г. 10:45 добавлено
    29 декабря 2015 г. 10:42
    Модератор
  • 232 - рабочий днс
    229 - не рабочий днс

    29 декабря 2015 г. 10:42
  • Реплика проходит нормально.
    Т.е. нет ошибок и нет предупреждений?

    Best Regards, Andrei ...
    MCP

    29 декабря 2015 г. 10:49
    Модератор
  • На первом сервере в качестве DNS сам этот сервер указан дважды - как 127.0.0.1 и как ::1. Уберите этот адрес IPv6, он не нужен.

    Еще раз: пожалуйста, покажите ipconfig /all с рабочей станции. Только, ради бога, не надо вставлять скриншоты. Текст прекрасно копируется из командной строки через буфер обмена.

    Ваша попытка разрешения IP-адреса в имя ни о чем не говорит. Это соответствие задается в обратной зоне, про которую вы ни словом не обмолвились и которой, вполне возможно, у вас просто нет. В любом случае, она неважна, если вы пытаетесь разрешить имя в адрес.

    Выберите имя компьютера, который действительно включен в AD и зарегистрирован в DNS. Выполните ра рабочей станции (то же, с которой покажете ipconfig) следующую последовательность команд и покажите результат:

    nslookup

    server 10.70.1.232

    ИМЯ-КОМПЬЮТЕРА

    server 10.70.1.229

    ИМЯ-КОМПЬЮТЕРА

    Проделайте то же самое на проблемном контроллере домена.

    Кстати, ваши зоны DNS точно интегрированы в AD?


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    29 декабря 2015 г. 11:27
  • C:\Users\kravchuk>IPconfig/all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : KRAVCHUK-PC
       Основной DNS-суффикс  . . . . . . : Domain.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : domain.local

    Ethernet adapter Ethernet:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Qualcomm Atheros AR8161 PCI-E Gigab
    ernet Controller (NDIS 6.30)
       Физический адрес. . . . . . . . . : 90-2B-34-94-E3-65
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 10.70.11.11(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 28 декабря 2015 г. 8:48:26
       Срок аренды истекает. . . . . . . . . . : 30 декабря 2015 г. 8:51:49
       Основной шлюз. . . . . . . . . : 10.70.11.253
       DHCP-сервер. . . . . . . . . . . : 10.70.11.254
       DNS-серверы. . . . . . . . . . . : 10.70.1.232
                                           10.70.1.229
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{1F6A165B-3D18-48E6-B4DE-8B83E90762F9}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    NSLOOKUP  доменная рабочая станция

    C:\Users\kravchuk>nslookup 10.70.1.232 kravchuk-pc
    ╤хЁтхЁ:  UnKnown
    Address:  ::1

    *** UnKnown не удалось найти 10.70.1.232: No response from server

    C:\Users\kravchuk>nslookup 10.70.1.229 kravchuk-pc
    ╤хЁтхЁ:  UnKnown
    Address:  ::1

    *** UnKnown не удалось найти 10.70.1.229: No response from server



    Как узнать интегрированы ли зоны ДНС в АД?

    29 декабря 2015 г. 12:23

  • C:\Users\kravchuk>nslookup 10.70.1.232 kravchuk-pc
    ╤хЁтхЁ:  UnKnown
    Address:  ::1

    *** UnKnown не удалось найти 10.70.1.232: No response from server

    C:\Users\kravchuk>nslookup 10.70.1.229 kravchuk-pc
    ╤хЁтхЁ:  UnKnown
    Address:  ::1

    *** UnKnown не удалось найти 10.70.1.229: No response from server

    Вам следовало бы использовать утилиту nslookup, так:
    nslookup kravchuk-pc
    либо так:
    nslookup kravchuk-pc 10.70.1.232

    Также рекомендую ознакомиться с синтаксисом:
    nslookup /?




    Best Regards, Andrei ...
    MCP

    29 декабря 2015 г. 12:28
    Модератор
  • Проблемный ДНС сервер

    C:\Users\administrator.domain>nslookup 10.70.1.229 kravchuk-pc
    Server:  UnKnown
    Address:  10.70.11.11

    DNS request timed out.
        timeout was 2 seconds.
    *** Request to UnKnown timed-out

    C:\Users\administrator.domain>nslookup 10.70.1.232 kravchuk-pc
    Server:  UnKnown
    Address:  10.70.11.11

    DNS request timed out.
        timeout was 2 seconds.
    *** Request to UnKnown timed-out

    29 декабря 2015 г. 12:30
  • skalkin, зачем вы искажаете команды, которые я попросил вас выполнить? Вы вводите их в неверном формате и получаете полную чушь на выходе. Пожалуйста, введите их в командной строке В ТОЧНОСТИ КАК УКАЗАНО:

    nslookup
    server 10.70.1.232
    kravchuk-pc
    server 10.70.1.229
    kravchuk-pc

    Сделайте это на проблемном КД и на станции kravchuk-pc. Скопируйте сюда результаты.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    29 декабря 2015 г. 13:00
  • nslookup
    server 10.70.1.232
    kravchuk-pc
    server 10.70.1.229
    kravchuk-pc

    Не проще так?
    nslookup kravchuk-pc 10.70.1.232
    nslookup kravchuk-pc 10.70.1.229


    Best Regards, Andrei ...
    MCP

    29 декабря 2015 г. 13:45
    Модератор

  • Не проще так?
    nslookup kravchuk-pc 10.70.1.232
    nslookup kravchuk-pc 10.70.1.229
    С таким ТС? Поверьте моему опыту, не проще. ;)

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    30 декабря 2015 г. 5:08
  • День добрый.Вы меня прям заинтриговали...С каким таким ТС? =) А то мало ли может я и не знаю....)

    30 декабря 2015 г. 5:45
  • День добрый.Вы меня прям заинтриговали...С каким таким ТС? =) 

    С ТС, уже дважды проигнорировавшим мой запрос показать результаты выполнения элементарнейших команд, которые нужно просто скопировать с веб-страницы и вставить в окно командной строки.

    У меня складывается подозрение, что вам попросту неинтересно решение вашей проблемы. Ну, дело ваше...


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    30 декабря 2015 г. 5:51
  • Возможно затупил.Бывает.Все же.благодарю за помощь.
    30 декабря 2015 г. 6:39
  • Приветствую.Проблема осталась.Привожу записи с проблемного КД и с рабочей станции

     c раб.станции

    C:\Users\kravchuk>nslookup
    ╤хЁтхЁ яю єьюыўрэш■:  UnKnown
    Address:  10.70.1.232

    > server 10.70.1.232
    ╤хЁтхЁ яю єьюыўрэш■:  [10.70.1.232]
    Address:  10.70.1.232

    > kravchuk-pc
    ╤хЁтхЁ:  [10.70.1.232]
    Address:  10.70.1.232

    ╚ь :     kravchuk-pc.domain.local
    Address:  10.70.11.11

    > server 10.70.1.229
    ╤хЁтхЁ яю єьюыўрэш■:  [10.70.1.229]
    Address:  10.70.1.229

    > kravchuk-pc
    ╤хЁтхЁ:  [10.70.1.229]
    Address:  10.70.1.229

    DNS request timed out.
        timeout was 2 seconds.
    *** [10.70.1.229] не удалось найти kravchuk-pc: No response from server

    с проблемного КД

    C:\Users\administrator.domain>nslookup
    Default Server:  UnKnown
    Address:  10.70.1.229

    > server 10.70.1.232
    Default Server:  [10.70.1.232]
    Address:  10.70.1.232

    > kravchuk-pc
    Server:  [10.70.1.232]
    Address:  10.70.1.232

    Name:    kravchuk-pc.domain.local
    Address:  10.70.11.11

    > server 10.70.1.229
    Default Server:  [10.70.1.229]
    Address:  10.70.1.229

    > kravchuk-pc
    Server:  [10.70.1.229]
    Address:  10.70.1.229

    *** [10.70.1.229] can't find kravchuk-pc: No response from server

    27 января 2016 г. 6:35
  • 1. Покажите состояние репликации на проблемном КД:

    repadmin /show repl

    из командной строки в режиме администратора.

    2. Попробуйте открыть зону domain.local в консоли DNS - открывается?


    Слава России!

    27 января 2016 г. 8:55
  • C:\Users\administrator.domain>repadmin/showrepl

    Repadmin: running command /showrepl against full DC localhost
    Default-First-Site-Name\DCT
    DSA Options: IS_GC
    Site Options: (none)
    DSA object GUID: 862a413c-2097-4650-9397-302098cfff4a
    DSA invocationID: f6554b3c-13ac-4648-aace-50f5cc0bf150

    ==== INBOUND NEIGHBORS ======================================

    DC=domain,DC=local
        Default-First-Site-Name\DC1 via RPC
            DSA object GUID: 9f103d3e-2502-428f-af84-3873feef6bb3
            Last attempt @ 2016-01-27 12:41:08 was successful.

    CN=Configuration,DC=domain,DC=local
        Default-First-Site-Name\DC1 via RPC
            DSA object GUID: 9f103d3e-2502-428f-af84-3873feef6bb3
            Last attempt @ 2016-01-27 11:49:13 was successful.

    CN=Schema,CN=Configuration,DC=domain,DC=local
        Default-First-Site-Name\DC1 via RPC
            DSA object GUID: 9f103d3e-2502-428f-af84-3873feef6bb3
            Last attempt @ 2016-01-27 11:49:13 was successful.

    DC=DomainDnsZones,DC=domain,DC=local
        Default-First-Site-Name\DC1 via RPC
            DSA object GUID: 9f103d3e-2502-428f-af84-3873feef6bb3
            Last attempt @ 2016-01-27 12:38:58 was successful.

    DC=ForestDnsZones,DC=domain,DC=local
        Default-First-Site-Name\DC1 via RPC
            DSA object GUID: 9f103d3e-2502-428f-af84-3873feef6bb3
            Last attempt @ 2016-01-27 11:49:14 was successful.

    из консоли открывается зона domain.local

    27 января 2016 г. 9:43
  • Ну, тогда сравните содержимое этой зоны на обоих контроллерах домена. В частности, проверьте наличие kravchuk-pc.


    Слава России!

    27 января 2016 г. 9:51
  • Есть такая запись,актуальная причем.сейчас смотрел открты ли 53 порт.получил отчет : сбой подключения

    на рабочий днс пытался также телнетом.Чего то не дождался, долго думает...но ошибки не выдал

    27 января 2016 г. 9:59
  • на рабочий днс пытался также телнетом.

    Это бессмысленное действие. Клиентский протокол DNS работает поверх UDP, а telnet - поверх TCP. Коннекта не будет просто по определению.

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    27 января 2016 г. 10:12
  • стоит Winserver 2012 datacenter просит активацию.Может с этим быть свзяанна проблема с работой днс?
    • Изменено skalkin 27 января 2016 г. 10:13
    27 января 2016 г. 10:12
  • Это бессмысленное действие. Клиентский протокол DNS работает поверх UDP, а telnet - поверх TCP. Коннекта не будет просто по определению.

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    Не совсем так уж и бессмысленное: откройте для себя существование virtual cirquit (виртуальная цепь) в протоколе DNS (53/tcp). Конечно, обычно она используется только для передачи зон, а обычные запросы и ответы DNS идут по протоколу без установления соединения (53/udp), но ничто не мешает использовать её и для обычных запросов (в nslookup для этого есть ключ -vc). Сервер DNS в Windows server такие запросы поддерживает, как ему и положено. То есть идея пробовать подключаться к серверу DNS на порт 53 telnet'ом - она не бессмысленная.

    Слава России!

    27 января 2016 г. 10:35
  • стоит Winserver 2012 datacenter просит активацию.Может с этим быть свзяанна проблема с работой днс?

    Не гадайте, а проверяйте. Зону посмотрели?

    Посмотрите ещё, на каких адресах прослушивается порт 53:

    netstat -nao | find ":53 "


    Слава России!

    27 января 2016 г. 10:39
  • откройте для себя существование virtual cirquit (виртуальная цепь) в протоколе DNS (53/tcp).
    Спасибо, я в курсе. Но, во-первых, никакие клиентские службы Винды не используют TCP для этой цели, и, во-вторых, порт 53/tcp на сервере может быть банально закрыт по соображениям безопасности. Или, наоборот, UDP закрыт, а TCP открыт. И что это нам даст в итоге, кроме лишнего информационного шума?

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    28 января 2016 г. 6:50
  • Мне это намекнуло на необходимость проверки, слушает ли сервер DNS порт 53 (первый шаг, см. выше), и открыты ли эти порты в брандмауэре (это будет второй шаг): дело в том, что при любых сколь-нибудь стандартных настройках (а от автора вопроса хитрых настроек ожидать не стоит IMHO) и сервер прослушивает оба порта, и брандмауэр Windows открывает их сразу оба.


    Слава России!

    28 января 2016 г. 9:23