none
DNS-Server-Service: Event ID: 7691 RRS feed

  • Вопрос

  • Доброго дня!

    История, есть лес corp.domain.com
    В лесу есть два коневых домена dom1 и dom2 все крутится на 2012R2 в разнесенных сайтах.
    Понадобилось добавить еще один dom3, решили на свою голову попробовать 2016 ...
    В итоге DNS server не может создать свою паритицию в АД

    Event ID 4512

    The DNS server was unable to create the built-in directory partition DomainDnsZones.dom3.local. The error was 9906.

    Захожу на сервер и пытаюсь руками запустить:
    create default application directory partitions

    а он мне в ответ ругань что мол сервер который держит FSMO не может быть reached.

    и две ошибки

    Event ID: 7691

    DNS service started with less privileges as KDC is unavailable at the moment. It is advisable to restart the service, otherwise some records from AD zones may not be accessible to the DNS service.

    Event ID: 4015

    The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is "00002199: SvcErr: DSID-032013FA, problem 5002 (UNAVAILABLE), data 8585". The event data contains the error.

    Ужас! Что делать то теперь ?

    Ошибки почему о не гуглятся =(

     

    18 ноября 2016 г. 19:38

Ответы

  • Тогда ещё один совет: не надо переставлять пятый раз, надо разобраться, почему не работает и починить. Потому что у вас явно воспроизводится одна и та же ошибка.

    Программу действий я изложил: добиваетесь регистрации имён домена и контроллера в DNS, настраиваете разрешение имён между новым доменом и остальным лесом в обе стороны и выполняете (или проверяете автоматически прошедшую, только вот между сайтами она весьма нечато происходит) репликацию. Если где-то что-то на одном из шагов не работает - анализируйте сами или пишите сюда. После того, как заработает - измените область репликации (и тип, если нужно) зоны домена на тот, который вы желаете.

    ForestDNSZones должна была в норме прийти в следующем интервале репликации (в первом до КД дошёл только факт того, что на нём должен быть такой раздел) Между сайтами интервал автоматической репликации по умолчанию - 3 часа, так что уже должно было дойти.

    PS Репликацию можно продёргивать вручную через AD Sites and Services (это проще) или с помощью repadmin (это сложнее). Регистрация контроллера домена в DNS вручную выполнялась в предыдущих версиях командами ipconfig /registerdns (запись для хоста, типа A) и nltest /dsregdns (записи для обнаружения КД, в основном - типа SRV)

    PPS Если всё заработало - напишите, пожалуйста.


    Слава России!

    • Помечено в качестве ответа LazyPepper 21 ноября 2016 г. 8:23
    • Снята пометка об ответе LazyPepper 21 ноября 2016 г. 8:23
    • Помечено в качестве ответа LazyPepper 21 ноября 2016 г. 8:23
    21 ноября 2016 г. 7:02
  • Тогда ещё один совет: не надо переставлять пятый раз, надо разобраться, почему не работает и починить. Потому что у вас явно воспроизводится одна и та же ошибка.

    Программу действий я изложил: добиваетесь регистрации имён домена и контроллера в DNS, настраиваете разрешение имён между новым доменом и остальным лесом в обе стороны и выполняете (или проверяете автоматически прошедшую, только вот между сайтами она весьма нечато происходит) репликацию. Если где-то что-то на одном из шагов не работает - анализируйте сами или пишите сюда. После того, как заработает - измените область репликации (и тип, если нужно) зоны домена на тот, который вы желаете.

    ForestDNSZones должна была в норме прийти в следующем интервале репликации (в первом до КД дошёл только факт того, что на нём должен быть такой раздел) Между сайтами интервал автоматической репликации по умолчанию - 3 часа, так что уже должно было дойти.

    PS Репликацию можно продёргивать вручную через AD Sites and Services (это проще) или с помощью repadmin (это сложнее). Регистрация контроллера домена в DNS вручную выполнялась в предыдущих версиях командами ipconfig /registerdns (запись для хоста, типа A) и nltest /dsregdns (записи для обнаружения КД, в основном - типа SRV)

    PPS Если всё заработало - напишите, пожалуйста.


    Слава России!



    Спасибо за наводку, попробовал сделать  так:
    На сервере FSMO Domain Naming Master, в DNS создал Conditional Forwarders dom3.local и лег спать =)
    К утру все реплицировалось и я без проблем перевел зону в область репликации  All DNS servers in this forest. Но я так и не понял, то ли все таки есть какое то время и это явно не 15 минут а-ля межсайтовая репликация (какой то еще таймаут существует) то ли Conditional Forwarders решил вопрос.

    З.Ы.
    "Между сайтами интервал автоматической репликации по умолчанию  - 3 часа" у меня 15 минут стоит, вероятно когда то выставил и забыл про это. А может быть так, что новый Домен по умолчанию ждал три часа и когда все случилось до него дошли мои настройки по поводу 15 минут ?
    • Помечено в качестве ответа LazyPepper 21 ноября 2016 г. 8:23
    • Изменено LazyPepper 21 ноября 2016 г. 9:12
    21 ноября 2016 г. 8:22

Все ответы

  • такое ощущение, что у автора с терминологией не все в порядке... это только у меня? ;)

    если речь идет о домене с двумя контроллерами в разных сайтах и попыткой добавить третий - это одна история, а если реально речь о добавлении нового домена в лес доменов - это совсем другая... 

    автор, в какую сторону думать?

    кстати, в одной из ошибок написано про нехватку прав...

    а в первой вообще фигурирует dom3.local


    • Изменено RAMzez_ 19 ноября 2016 г. 10:01 добавил строку...
    19 ноября 2016 г. 9:58
  • такое ощущение, что у автора с терминологией не все в порядке... это только у меня? ;)

    если речь идет о домене с двумя контроллерами в разных сайтах и попыткой добавить третий - это одна история, а если реально речь о добавлении нового домена в лес доменов - это совсем другая... 

    автор, в какую сторону думать?

    кстати, в одной из ошибок написано про нехватку прав...

    а в первой вообще фигурирует dom3.local


    Давайте начнем с терминологии:

    И так, я различаю такие понятия как Лес -> Домен -> Контроллер домена.
    Известно, что лес может быть один, доменов много и причем они могут быть корневыми и дочерними, а вот контроллеров домена может быть очень много и находится они могут на разных сайтах.

    Так вот, ситуация которую я описывал касается добавления нового корневого домена (дерева если угодно "tree domain" ) в существующий лес. В котором как я уже говорил есть уже два домена (где там контроллеры в описании .... хм) на разных сайтах т.е. в разных сетях. В задаче не было ни слова о добавлении нового контроллера домена в существующий домен.

    Теперь по ошибкам:
    DNS service started with less privileges
    Вы правда думаете что я не смог перевести это ?

    У меня вопрос, с которым я сюда и обратился "Какого хрена ?!" и 12 часов я пытался ответить на этот вопрос, когда уже сдался и написал сюда ...
    • Изменено LazyPepper 19 ноября 2016 г. 12:44
    19 ноября 2016 г. 12:29
  • в таком случае пользуйтесь правами enterprise administrator для подключения нового домена в лес. :)

    ... ;)

    19 ноября 2016 г. 13:14
  • в таком случае пользуйтесь правами enterprise administrator для подключения нового домена в лес. :)

    ... ;)


    Спасибо кэп =)
    Еще идеи есть ?
    19 ноября 2016 г. 14:15
  • Есть.

    Для начала, чтобы зона домена была работоспособна - сделать область её репликации "все контроллеры в домене" (надеюсь, из Win2016 этот вариант не выпилили).

    А после этого неплохо было бы узнать, как поживает в этом лесу обладатель роли FSMO Domain Naming Master.


    Слава России!

    19 ноября 2016 г. 18:25
  • Есть.

    Для начала, чтобы зона домена была работоспособна - сделать область её репликации "все контроллеры в домене" (надеюсь, из Win2016 этот вариант не выпилили).

    А после этого неплохо было бы узнать, как поживает в этом лесу обладатель роли FSMO Domain Naming Master.


    Слава России!


    Что запустить, куда посмотреть ?
    20 ноября 2016 г. 10:18
  • Конечно с правами интерпрайза

    • Изменено LazyPepper 20 ноября 2016 г. 11:00
    20 ноября 2016 г. 10:40
  • Хотя все на самом деле видится, пингается, сервисы запущенны и предприятие работает.

    20 ноября 2016 г. 12:22
  • Это у вас изначально была такая область репликации - All DNS Servers in this forest (на первом скриншоте)?

    Тогда есть подозрение, что зона домена изначально была создана на каком-то другом контроллере домена, а на этот должна была прийти по репликации - но не пришла. В таком случае, поищите зону домена на других контроллерах, если она там есть - установите этот(эти) контроллер(ы) в качестве сервера DNS в подключении, а локальный сервер временно исключите. После чего - дождаться или вручную выполнить регистрацию контроллера домена в этой зоне (включая и запись типа A, и записи типа SRV). Затем ждите репликацию и смотрите её ошибки (в прежних версиях для этого служила команда repadmin /showrepl).

    В противном случае область репликации зоны нужно сменить на To all Domain controllers in this domain, а если это невозможно - временно изменить тип зоны на стандартную первичную и разрешить в ней небезопасные динамические обновления. После чего - дождаться или вручную выполнить регистрацию контроллера домена в этой зоне (включая и запись типа A, и записи типа SRV). Затем с помощью условной пересылки или любым другим способом добиться того, что имена из этого домена разрешаются в других доменах леса и наоборот. А затем - ждать, когда пройдёт репликация и разбираться с доступностью Domain Naming Master.

    В общем, программа примерно такая.


    Слава России!

    20 ноября 2016 г. 13:32
  • Изначально так было, хотел чтоб зоны была видна во всем лесу, переключил ... (выше)
    И если я хочу сменить на .. то ..

    Спасибо за советы, пробую ...

    А что значит "вручную выполнить регистрацию контроллера домена в этой зоне " ?
    Это как ?

    repadmin /showrepl

    Все прилетело кроме ForestDnsZones, может она реплицируется долго и я ее тупо не дожидаюсь ? (я уже 4 раза домен переставлял с вычисткой ntdsutil)


    • Изменено LazyPepper 20 ноября 2016 г. 19:49
    20 ноября 2016 г. 19:28
  • Тогда ещё один совет: не надо переставлять пятый раз, надо разобраться, почему не работает и починить. Потому что у вас явно воспроизводится одна и та же ошибка.

    Программу действий я изложил: добиваетесь регистрации имён домена и контроллера в DNS, настраиваете разрешение имён между новым доменом и остальным лесом в обе стороны и выполняете (или проверяете автоматически прошедшую, только вот между сайтами она весьма нечато происходит) репликацию. Если где-то что-то на одном из шагов не работает - анализируйте сами или пишите сюда. После того, как заработает - измените область репликации (и тип, если нужно) зоны домена на тот, который вы желаете.

    ForestDNSZones должна была в норме прийти в следующем интервале репликации (в первом до КД дошёл только факт того, что на нём должен быть такой раздел) Между сайтами интервал автоматической репликации по умолчанию - 3 часа, так что уже должно было дойти.

    PS Репликацию можно продёргивать вручную через AD Sites and Services (это проще) или с помощью repadmin (это сложнее). Регистрация контроллера домена в DNS вручную выполнялась в предыдущих версиях командами ipconfig /registerdns (запись для хоста, типа A) и nltest /dsregdns (записи для обнаружения КД, в основном - типа SRV)

    PPS Если всё заработало - напишите, пожалуйста.


    Слава России!

    • Помечено в качестве ответа LazyPepper 21 ноября 2016 г. 8:23
    • Снята пометка об ответе LazyPepper 21 ноября 2016 г. 8:23
    • Помечено в качестве ответа LazyPepper 21 ноября 2016 г. 8:23
    21 ноября 2016 г. 7:02
  • а можно увидеть результат выполнения NetDOM /query FSMO в каждом из доменов?
    21 ноября 2016 г. 7:15
  • Тогда ещё один совет: не надо переставлять пятый раз, надо разобраться, почему не работает и починить. Потому что у вас явно воспроизводится одна и та же ошибка.

    Программу действий я изложил: добиваетесь регистрации имён домена и контроллера в DNS, настраиваете разрешение имён между новым доменом и остальным лесом в обе стороны и выполняете (или проверяете автоматически прошедшую, только вот между сайтами она весьма нечато происходит) репликацию. Если где-то что-то на одном из шагов не работает - анализируйте сами или пишите сюда. После того, как заработает - измените область репликации (и тип, если нужно) зоны домена на тот, который вы желаете.

    ForestDNSZones должна была в норме прийти в следующем интервале репликации (в первом до КД дошёл только факт того, что на нём должен быть такой раздел) Между сайтами интервал автоматической репликации по умолчанию - 3 часа, так что уже должно было дойти.

    PS Репликацию можно продёргивать вручную через AD Sites and Services (это проще) или с помощью repadmin (это сложнее). Регистрация контроллера домена в DNS вручную выполнялась в предыдущих версиях командами ipconfig /registerdns (запись для хоста, типа A) и nltest /dsregdns (записи для обнаружения КД, в основном - типа SRV)

    PPS Если всё заработало - напишите, пожалуйста.


    Слава России!



    Спасибо за наводку, попробовал сделать  так:
    На сервере FSMO Domain Naming Master, в DNS создал Conditional Forwarders dom3.local и лег спать =)
    К утру все реплицировалось и я без проблем перевел зону в область репликации  All DNS servers in this forest. Но я так и не понял, то ли все таки есть какое то время и это явно не 15 минут а-ля межсайтовая репликация (какой то еще таймаут существует) то ли Conditional Forwarders решил вопрос.

    З.Ы.
    "Между сайтами интервал автоматической репликации по умолчанию  - 3 часа" у меня 15 минут стоит, вероятно когда то выставил и забыл про это. А может быть так, что новый Домен по умолчанию ждал три часа и когда все случилось до него дошли мои настройки по поводу 15 минут ?
    • Помечено в качестве ответа LazyPepper 21 ноября 2016 г. 8:23
    • Изменено LazyPepper 21 ноября 2016 г. 9:12
    21 ноября 2016 г. 8:22