none
DNS зона прямого просмотра, циклическая ошибка 4521 RRS feed

  • Вопрос

  • Задумывалась миграция домена с 2000->2008r2. 
    Обновления леса,домена и групповых политик прошли без ошибок.
    При повышении новых серверов до контроллер доменов (КД) ошибок не было. FSMO роли не передал пока. После их рестарта в консоли DNS зарегистрировались ошибки код:4521 и уведомление код:800.
    На новых КД прямая зона просмотра присутствует, но без записей и консоль DNS выдает ошибку:

    DNS сервер обнаружил ошибку при попытке загрузить зону. Возможно данные не доступны из AD или повреждены.

    В свойствах этих зон на новых КД: 
    Вкладка: Начальной записи зоны (SOA) / эти данные не доступны. 
    Вкладка: Серверы имен / пуста - при добавлении в нее текущего сервра выдает ошибку "данный сервер не является полномочным для этой зоны", при добавлении IP старых DNS все ок.

    Я так понял что из за отсутствия начальной записи он сам и другие КД не могут разрешить его.  

    Обратная зона просмотра на новые КД реплецировалась, все записи присутствуют.

    На старых КД прямая и обратная зоны исправны можно просмотреть все записи и информацию о начальных записях (SOA) в зонах. Все записи в служебных под доменах (_msdsc и т.д.) на новые КД присутствуют.

    Результат работы dcdiag /test:dns /dnsall на новом КД выдает вот это:

    Запуск проверки: DNS 
              
             Проверки DNS выполняются без зависания. Подождите несколько минут... 
             See DNS test in enterprise tests section for results
             ......................... ADDC01 - пройдена проверка DNS 
       
       Выполнение проверок разделов на: Schema 
          Проверка пропущена по запросу пользователя: CheckSDRefDom 
          Проверка пропущена по запросу пользователя: CrossRefValidation 
       
       Выполнение проверок разделов на: Configuration 
          Проверка пропущена по запросу пользователя: CheckSDRefDom 
          Проверка пропущена по запросу пользователя: CrossRefValidation 
       
       Выполнение проверок разделов на: Power 
          Проверка пропущена по запросу пользователя: CheckSDRefDom 
          Проверка пропущена по запросу пользователя: CrossRefValidation 
       
       Выполнение проверок предприятия на: Power.ru 
          Запуск проверки: DNS 
             Результаты проверки контроллеров домена: 
                
                Контроллер домена: ADDC01.Power.ru 
                Домен: Power.ru 
                 
                      
                   TEST: Authentication (Auth)
                      Тест проверки подлинности: завершен успешно
                      
                   TEST: Basic (Basc)
                      ОС 
                      Microsoft Windows Server 2008 R2 Standard  (Service Pack level: 0.0) 
                      поддерживается. 
                      NETLOGON служба запущена. 
                      kdc служба запущена. 
                      DNSCACHE служба запущена. 
                      DNS служба запущена. 
                      DC является DNS-сервером 
                      Сведения о сетевых адаптерах: 
                      Адаптер 
                      [00000007] Адаптер магистральной сети виртуальной машины (Майкрософт): 
                       
                         MAC address is 00:15:5D:00:3C:1A
                         IP-адрес является статическим 
                         IP address: 192.168.0.2
                         DNS-серверы: 
                            192.168.0.35 (DCMAIN) [Valid]
                            Внимание!
                            192.168.0.3 (ADDC02) [Invalid]
                            Внимание! У адаптера 
                            [00000007] Адаптер магистральной сети виртуальной машины (Майкрософт) 
                            неверный DNS-сервер: 192.168.0.3 (ADDC02) 
                      The A host record(s) for this DC was found
                      The SOA record for the Active Directory zone was found
                      The Active Directory zone on this DC/DNS server was found primary
                      Root zone on this DC/DNS server was not found
                      
                   TEST: Forwarders/Root hints (Forw)
                      Recursion is enabled
                      Forwarders are not configured on this DNS server
                      Root hint Information: 
                         Name: a.root-servers.net. IP: 198.41.0.4 [Invalid (unreachable)]
                         Name: b.root-servers.net. IP: 192.228.79.201 [Invalid (unreachable)]
                         Name: c.root-servers.net. IP: 192.33.4.12 [Invalid (unreachable)]
                         Name: d.root-servers.net. IP: 199.7.91.13 [Invalid (unreachable)]
                         Name: e.root-servers.net. IP: 192.203.230.10 [Invalid (unreachable)]
                         Name: f.root-servers.net. IP: 192.5.5.241 [Invalid (unreachable)]
                         Name: g.root-servers.net. IP: 192.112.36.4 [Invalid (unreachable)]
                         Name: h.root-servers.net. IP: 198.97.190.53 [Invalid (unreachable)]
                         Name: i.root-servers.net. IP: 192.36.148.17 [Invalid (unreachable)]
                         Name: j.root-servers.net. IP: 192.58.128.30 [Invalid (unreachable)]
                         Name: k.root-servers.net. IP: 193.0.14.129 [Invalid (unreachable)]
                         Name: l.root-servers.net. IP: 199.7.83.42 [Invalid (unreachable)]
                         Name: m.root-servers.net. IP: 202.12.27.33 [Invalid (unreachable)]
                      Ошибка. Корневые ссылки и серверы пересылки не настроены или 
                      повреждены. Убедитесь, что хотя бы один из них работает. 
                      
                   TEST: Delegations (Del)
                      No delegations were found in this zone on this DNS server
                      
                   TEST: Dynamic update (Dyn)
                      Test record dcdiag-test-record added successfully in zone Power.ru
                      Test record dcdiag-test-record deleted successfully in zone Power.ru
                      
                   TEST: Records registration (RReg)
                      Сетевой адаптер 
                      [00000007] Адаптер магистральной сети виртуальной машины (Майкрософт): 
                       
                         Matching CNAME record found at DNS server 192.168.0.35:
                         eeb940b7-9229-49a8-8f5b-b51fa37f6e13._msdcs.Power.ru
    
                         Matching A record found at DNS server 192.168.0.35:
                         ADDC01.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _ldap._tcp.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _ldap._tcp.efa5c785-4918-430f-801b-9ecc7307d06c.domains._msdcs.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _kerberos._tcp.dc._msdcs.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _ldap._tcp.dc._msdcs.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _kerberos._tcp.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _kerberos._udp.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _kpasswd._tcp.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _ldap._tcp.Vedeneeva-site._sites.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _kerberos._tcp.Vedeneeva-site._sites.dc._msdcs.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _ldap._tcp.Vedeneeva-site._sites.dc._msdcs.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _kerberos._tcp.Vedeneeva-site._sites.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _ldap._tcp.gc._msdcs.Power.ru
    
                         Matching A record found at DNS server 192.168.0.35:
                         gc._msdcs.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _gc._tcp.Vedeneeva-site._sites.Power.ru
    
                         Matching  SRV record found at DNS server 192.168.0.35:
                         _ldap._tcp.Vedeneeva-site._sites.gc._msdcs.Power.ru
    
                         Внимание! 
                         Отсутствует запись CNAME на DNS-сервере 192.168.0.3: 
                         eeb940b7-9229-49a8-8f5b-b51fa37f6e13._msdcs.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Внимание! 
                         Отсутствует запись A на DNS-сервере 192.168.0.3:
                         ADDC01.Power.ru
                         [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _ldap._tcp.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _ldap._tcp.efa5c785-4918-430f-801b-9ecc7307d06c.domains._msdcs.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _kerberos._tcp.dc._msdcs.Power.ru
                         [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _ldap._tcp.dc._msdcs.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _kerberos._tcp.Power.ru
                         [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _kerberos._udp.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _kpasswd._tcp.Power.ru
                         [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _ldap._tcp.Vedeneeva-site._sites.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _kerberos._tcp.Vedeneeva-site._sites.dc._msdcs.Power.ru
                         [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _ldap._tcp.Vedeneeva-site._sites.dc._msdcs.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _kerberos._tcp.Vedeneeva-site._sites.Power.ru
                         [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _ldap._tcp.gc._msdcs.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Внимание! 
                         Отсутствует запись A на DNS-сервере 192.168.0.3:
                         gc._msdcs.Power.ru
                         [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _gc._tcp.Vedeneeva-site._sites.Power.ru
                         [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                         
                         Ошибка: 
                         Отсутствует запись SRV на DNS-сервере 192.168.0.3:
                         _ldap._tcp.Vedeneeva-site._sites.gc._msdcs.Power.ru
                         [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                         
                   Ошибка. Не удается найти регистрации записей для всех сетевых 
                   адаптеров 
                      
                   TEST: External name resolution (Ext)
                      Internet name www.microsoft.com was resolved successfully
             
             Отчет о результатах проверки DNS-серверов, используемых приведенными 
             выше контроллерами домена: 
              
                DNS-сервер: 192.112.36.4 (g.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.112.36.4               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 192.168.0.3 (ADDC02) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   Name resolution is not functional. _ldap._tcp.Power.ru. failed on the DNS server 192.168.0.3
                   [Error details: 9002 (Type: Win32 - Description: Ошибка DNS-сервера.)]
                   
                DNS-сервер: 192.203.230.10 (e.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.203.230.10               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 192.228.79.201 (b.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.228.79.201               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 192.33.4.12 (c.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.33.4.12               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 192.36.148.17 (i.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.36.148.17               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 192.5.5.241 (f.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.5.5.241               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 192.58.128.30 (j.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.58.128.30               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 193.0.14.129 (k.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 193.0.14.129               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 198.41.0.4 (a.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 198.41.0.4               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 198.97.190.53 (h.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 198.97.190.53               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 199.7.83.42 (l.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 199.7.83.42               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 199.7.91.13 (d.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 199.7.91.13               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 202.12.27.33 (m.root-servers.net.) 
                   1 - проверка на данном DNS-сервере не пройдена 
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 202.12.27.33               [Error details: 1460 (Type: Win32 - Description: Возврат из операции произошел из-за превышения времени ожидания.)]
                   
                DNS-сервер: 192.168.0.35 (DCMAIN) 
                   Все проверки для данного DNS-сервера пройдены 
                   Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
                   
             Отчет по результатам проверки DNS: 
             
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Домен: Power.ru 
                   ADDC01                       PASS WARN FAIL PASS PASS FAIL PASS 
             
             ......................... Power.ru - не пройдена проверка DNS 
          Проверка пропущена по запросу пользователя: LocatorCheck 
          Проверка пропущена по запросу пользователя: Intersite 

    результат команды на новом КД repadmin /showreps

    Vedeneeva-site\ADDC01
    
    Параметры DSA: IS_GC 
    
    Параметры сайта: (none)
    
    DSA - GUID объекта: eeb940b7-9229-49a8-8f5b-b51fa37f6e13
    
    DSA - код вызова: 27673303-1923-4c6a-9498-ae2b4786331b
    
    
    
    ==== ВХОДЯЩИЕ СОСЕДИ   ======================================
    
    
    
    DC=iskra-energy,DC=ru
    
        Vedeneeva-site\DC2 через  RPC
    
            DSA - GUID объекта: 32f18384-f2e2-4848-ae99-4e33badb4dc0
    
            Последняя попытка @ 2017-08-22 09:52:06 успешна.
    
        Vedeneeva-site\DCMAIN через  RPC
    
            DSA - GUID объекта: 9b124646-29d7-413a-9d6c-1d19f05c5828
    
            Последняя попытка @ 2017-08-22 09:56:23 успешна.
    
        Vedeneeva-site\ADDC02 через  RPC
    
            DSA - GUID объекта: 29bc71e7-f38f-47f8-a23b-cd47badae280
    
            Последняя попытка @ 2017-08-22 09:56:46 успешна.
    
    
    
    CN=Configuration,DC=iskra-energy,DC=ru
    
        Vedeneeva-site\ADDC02 через  RPC
    
            DSA - GUID объекта: 29bc71e7-f38f-47f8-a23b-cd47badae280
    
            Последняя попытка @ 2017-08-22 09:47:34 успешна.
    
        Vedeneeva-site\DC2 через  RPC
    
            DSA - GUID объекта: 32f18384-f2e2-4848-ae99-4e33badb4dc0
    
            Последняя попытка @ 2017-08-22 09:48:23 успешна.
    
        Vedeneeva-site\DCMAIN через  RPC
    
            DSA - GUID объекта: 9b124646-29d7-413a-9d6c-1d19f05c5828
    
            Последняя попытка @ 2017-08-22 09:49:43 успешна.
    
    
    
    CN=Schema,CN=Configuration,DC=iskra-energy,DC=ru
    
        Vedeneeva-site\ADDC02 через  RPC
    
            DSA - GUID объекта: 29bc71e7-f38f-47f8-a23b-cd47badae280
    
            Последняя попытка @ 2017-08-22 09:47:34 успешна.
    
        Vedeneeva-site\DC2 через  RPC
    
            DSA - GUID объекта: 32f18384-f2e2-4848-ae99-4e33badb4dc0
    
            Последняя попытка @ 2017-08-22 09:47:34 успешна.
    
        Vedeneeva-site\DCMAIN через  RPC
    
            DSA - GUID объекта: 9b124646-29d7-413a-9d6c-1d19f05c5828
    
            Последняя попытка @ 2017-08-22 09:47:34 успешна.
    
    

    Опыта мало поэтому прошу совета, как решить эту проблему? Много чего перечитал наткнулся на с евентид.нет , но как я понял  проблема со всеми зонами или только с корневой. 


    22 августа 2017 г. 5:48

Ответы

  • Ну, можно для порядка посмотреть значение атрибута objectCategory этого объекта. Хотя если оно пусто, это ничем не поможет - менять его всё равно нельзя.

    По-видимому, вам имеет смысл удалить эту зону из AD и создать её там заново. Для этого надо

    • выбрать DC на котором эта зона загружена (т.е. под Win2K);
    • убедиться, что на всех членах и контроллерах домена он есть в списке серверов DNS;
    • (лучше - первым, но сойдёт и вторым);
    • остановить службы сервера DNS на всех DC, кроме выбранного;
    • преобразовать зону в стандартную первичную (кажется, консоль DNS в Win2K это позволяет - проверьте, если нет, то надо будет действовать по-другому);
    • в преобразованной зоне проверить наличие и создать, если надо записи, совпадающие с именем домена (SOA, NS - в свойствах зоны);
    • дождаться, когда удаление будет среплицированно на остальные DC;
    • преобразовать стандартную первичную зону в интегрированную в консоли DNS;
    • дождаться когда созданная зона будет среплицирована на остальные DC;
    • запустить на них службы сервера DNS.


    Слава России!


    • Изменено M.V.V. _ 28 августа 2017 г. 12:02
    • Помечено в качестве ответа Ilia Pioneer 31 августа 2017 г. 3:49
    28 августа 2017 г. 12:00

Все ответы

  • На новых серверах в консоли DNS посмотрите, как настроена область репликации для всех зон. Для совместимости с Win2K область репликации должна быть "Все контроллеры домена в этом домене". Другие два варианта - "Все серверы DNS..."  - в Win2K ещё не были не реализованы.


    Слава России!

    22 августа 2017 г. 11:02
  • В новой консоли DNS отмечен:

    Для всех контроллеров домена в этом домене (для совместимости с windows 2000).


    • Изменено Ilia Pioneer 22 августа 2017 г. 12:20
    22 августа 2017 г. 12:19
  • Следующее, что бы я сделал - перезапустил бы службы сервера DNS на новых КД: возможно, там какие-то нестыковки с синхронизацией содержимого AD: содержимое той части раздела домена, в которой хранятся зоны, было реплицировано после первого запуска службы, а служба этого не увидела.

    Заодно можете с помощью ADSIEdit посмотреть, есть ли у вас на этих сереврах это содержимое: оно хранится в разделе домена (он же - "раздел по умолчанию") в контейнере CN=System/CN=MicrosoftDNS. Но раз repadmin пишет, что репликация раздела домена прошла нормально, так что я почти уверен, что оно там есть. Но - лишь почти.


    Слава России!

    22 августа 2017 г. 12:34
  • Службу DNS перезапускали результата нет, зона прямого просмотра не открывается ошибки остались. Просмотрели  контейнер CN=MicrosoftDNS на новых КД записи присутствуют. 

    Заметил новые ошибки спустя 10 минут после перезапуска службы DNS  регистрируются по код 4512:

    DNS сервер не может создать встроенный раздел каталога Domain/ForestDNSZone 

    • Изменено Ilia Pioneer 23 августа 2017 г. 4:44
    23 августа 2017 г. 4:30
  • Странно всё это - что записи есть, а зону DNS-сервер загрузить не может. Скопируйте сюда событие 4521 целиком: лучше всего его скопировать через Event Viewer в текстовом виде в буфер обмена и вставить сюда. Там в тексте есть код ошибки - может, он что подскажет...

    А ошибки 4512 - это ожидаемо: сервер DNS в Win2K3 и выше при запуске проверяет наличие и при необходимости пытается создать разделы приложений по умолчанию для зон DNS (которые сейчас всё равно будут пустыми). Но т.к. у вас роль Naming Master FSMO находится пока что на Win2K, которая ничего про разделы приложений не знает, то создать не получается.


    Слава России!


    • Изменено M.V.V. _ 23 августа 2017 г. 11:15
    23 августа 2017 г. 11:14
  • Событие 4521:

    DNS-сервер обнаружил ошибку 9605 при загрузке зоны iskra-energy.ru из Active Directory. DNS-сервер предпримет попытку загрузить данную зону снова во время следующего тайм-аут-цикла. Ошибка может быть вызвана высокой загрузкой Active Directory и может являться переходным состоянием.

    Как я понял якобы нету полномочной (SOA) записи. Пробовал создать данную запись через dnscmd на что получил ошибку о не возможности работы с этой зоной. Также пробовал протестировать DNS при помощи dnslint, при разрешении имен с 2000 КД все КД доступны и разрешаются, а через 2008 естественно нет и в отчете говорится что данный сервер не является полномочным DNS сервером. 

    23 августа 2017 г. 15:05
  • Да, код 9605 означает именно отсутствие SOA.

    Придётся, наверное, проверить вручную. В ADSIEdit найдите в упомянутом выше контейнере CN=MicrosoftDNS контейнер зоны (DC=имя.домена, по идее он у вас должен быть один, кроме, возможно DC=RootDNSServers). В нём ищите (в правой панели) объект типа dnsNode с именем DC=@ (это - все записи с именем, совпадающим с именем домена), и смотрите его атрибут dnsRecord: это - многозначный атрибут, который содержит двоичные данные всех записей с указанным именем. Первые два байта каждого значения игнорируйте (это длина данных после некоего фиксированного заголовка в 24 байта) и смотрите на третий байт - это тип записи: вам нужно значение в котором третий байт равен 0x06 (DNS_TYPE_SOA). Если у вас такого значения в атрибуте dnsRecord нет - то это значит, что записи SOA у вас в зоне на этом контроллере домена действительно нет и сервер DNS ругается не зря. В таком случае смотрите, что делается у вас на всех существующих контроллерах, которые под Win2K. Если и там на каждом КД такой записи нет, то это значит, что сервер DNS в Win2K8 стал более разборчивым и стал проверять то, что в Win2K не проверялось.  Если она там где-то есть, то это - проблема с репликацией, и даже если её удастся обойти (см. ниже), про неё не стоит совсем забывать: лучше как можно быстрее вывести из эксплуатации КД, где видны проблемы с репликацией с другими КД под Win2K по команде repadmin /showrepl (если нигде не видны - тогда те, где записи SOA нет).

    В любом случае, наверное, имеет смысл для начала отредактировать запись SOA в свойствах зоны на том контроллере, где это можно (а лучше - где она есть) - увеличьте серийный номер , к примеру - и подождать репликацию. Если не поможет - надо будет разбираться дальше. Как именно разбираться - зависит от того, что вы там обнаружите.


    Слава России!




    • Изменено M.V.V. _ 23 августа 2017 г. 20:14
    23 августа 2017 г. 20:06
  • Посмотрел объект DC=@, данный объект не имеет класса и отсутствуют какие либо атрибуты. Данная ситуация замечена на все КД с зоной прямого просмотра как на 2000 так и на 2008, в других зонах (обратной и корневой) у записи DC=@ присутствуют тип объекта (dnsNode) и все атрибуты соответственно.

    24 августа 2017 г. 7:14
  • Посмотрел объект DC=@, данный объект не имеет класса и отсутствуют какие либо атрибуты. Данная ситуация замечена на все КД с зоной прямого просмотра как на 2000 так и на 2008, в других зонах (обратной и корневой) у записи DC=@ присутствуют тип объекта (dnsNode) и все атрибуты соответственно.


    Странно это. Уж что-что, а тип у объекта должен быть. Посмотрите разрешения на этот объект в ADSIEdit. А также в ADSIEdit при просмотре объекта включите показ атрибутов, у которых нет значений.

    Слава России!


    • Изменено M.V.V. _ 24 августа 2017 г. 10:49
    24 августа 2017 г. 10:46
  • Странно это. Уж что-что, а тип у объекта должен быть. Посмотрите разрешения на этот объект в ADSIEdit. А также в ADSIEdit при просмотре объекта включите показ атрибутов, у которых нет значений.


    Слава России!


    посмотрели снова более основательно, по вашей рекомендации "включение показа атрибутов без значений" ни к чему не привело. Разрешения на данный объект присутствуют группа "DNSadmin" имеет полные права. Что касается типа объекта у записи DC=@ в консоли в столбцах консоли "имя" и "различающееся имя" значения присутствуют, а "Класс" тут пусто хотя в корневой и обратной зоне все нормально.
    • Изменено Ilia Pioneer 28 августа 2017 г. 6:42
    28 августа 2017 г. 4:05
  • Ну, можно для порядка посмотреть значение атрибута objectCategory этого объекта. Хотя если оно пусто, это ничем не поможет - менять его всё равно нельзя.

    По-видимому, вам имеет смысл удалить эту зону из AD и создать её там заново. Для этого надо

    • выбрать DC на котором эта зона загружена (т.е. под Win2K);
    • убедиться, что на всех членах и контроллерах домена он есть в списке серверов DNS;
    • (лучше - первым, но сойдёт и вторым);
    • остановить службы сервера DNS на всех DC, кроме выбранного;
    • преобразовать зону в стандартную первичную (кажется, консоль DNS в Win2K это позволяет - проверьте, если нет, то надо будет действовать по-другому);
    • в преобразованной зоне проверить наличие и создать, если надо записи, совпадающие с именем домена (SOA, NS - в свойствах зоны);
    • дождаться, когда удаление будет среплицированно на остальные DC;
    • преобразовать стандартную первичную зону в интегрированную в консоли DNS;
    • дождаться когда созданная зона будет среплицирована на остальные DC;
    • запустить на них службы сервера DNS.


    Слава России!


    • Изменено M.V.V. _ 28 августа 2017 г. 12:02
    • Помечено в качестве ответа Ilia Pioneer 31 августа 2017 г. 3:49
    28 августа 2017 г. 12:00
  • Благодарю, данный способ помог, после этого у объект "DC=@"  появился класс и все значения. Зона корректно среплицировалась на все КД.
    31 августа 2017 г. 3:52
  • Ветка старая, но все же хотел бы поделиться, как возникла у меня точно такая же проблема и как решил:

    Сервера:

    DC2000 - старый контроллер

    DC2016 - новый контроллер

    Есть еще несколько контроллеров, но они не относятся к делу

    предыстория:

    перенес все роли FSMO на DC2016. Для проверки, все ли перенес, временно выключил DC2000. Ввиду того, что у нас есть завязки на имя домена (test.domain.ru), начались проблемы, т.к. имя домена резолвилось периодически в IP адрес старого контроллера. Я зашел в ДНС и A на запись (same as parent folder), соответствовавшей ip адресу старого ДНС сервера, в security запретил все, думая, что эта запись перестанет резолвиться. При резолве FQDN домена (nslookup test.domain.ru) IP адрес старого контроллера продолжил присутствовать, поэму я его просто удалил эту А запись старого доменника (которой я менял разрешения). Все нормализовалось на какое-то время

    Симптомы:

    через пару дней новый контроллер (а точнее ДНС на том же сервере) перестал резолвить прямые записи в этом домене. 

    при попытке открыть папку доменной зоны в консоле ДНС получал ошибку как ТС в этом треде. 

    В логах виндовых периодическая  запись:

    Log Name:      DNS Server
    Source:        Microsoft-Windows-DNS-Server-Service
    Date:          08.07.2018 2:10:44
    Event ID:      4521
    Task Category: None
    Level:         Warning
    Keywords:      (16)
    User:          SYSTEM
    Computer:      DC2016
    Description:
    The DNS server encountered error 9605 attempting to load zone test.domain.ru from Active Directory. The DNS server will attempt to load this zone again on the next timeout cycle. This can be caused by high Active Directory load and may be a transient condition.

    Решение:

    запустил обратно DC2000, но проблема осталась.

    Проверил синхронизацию - нетпроблем

    Обшарил интернет, только удаление зоны, что меня настораживало в боевой среде + на остальных ДНС серверах подобной проблемы почему-то не было, зона открывалась, резолвились все имена на ура. 

    Вспомнил, что менял разрешения на указанной записи. Убрал запреты, установленные ранее, перезапустил сервис ДНС на DC2016, зона стала вновь доступна. 

    Т.е. суть в том, что при такой проблеме есть смысл проверить разрешения безопасности на А записях относящихся к проблемному домену.