none
Служба каталогов исчерпала пул относительных идентификаторов RRS feed

  • Вопрос

  • Здравствуйте!

    Подскажите, пожалуйста, при создании  Пользователя, Группы  в AD через оснастку AD-пользователи и компьютеры выдает ошибку "служба каталогов исчерпала пул относительных идентификаторов" 

    Предыдущим админом была произведена миграция с windows server 2003 на windows server 2008 R2. 

    Стоит только один Контроллер Домена. Один файловый сервер. 

    Исходный контроллер домена называется не SERVER как описано в ошибке, а иначе. 

    В логах пишет:

    Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного  контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в доменные службы Active Directory с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях будет не согласована между контроллерами  домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам. 

    Исходный контроллер домена: 
     SERVER  
    Ошибочное имя узла DNS: 


    Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше.  Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1: 

    Раздел реестра: 


    Действие пользователя: 

     1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB. 

     2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в  сети, введя команду "net view \\<имя исходного DC>" или   "ping <имя исходного DC>". 

     3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для  служб DNS и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на  http://www.microsoft.com/dns 

      dcdiag /test:dns 

     4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду: 

      dcdiag /test:dns 

     5) Для дальнейшего анализа ошибок DNS ознакомьтесь со статьей базы знаний 824449: 
       http://support.microsoft.com/?kbid=824449 

    Дополнительные данные 
    Значение ошибки: 
     11004 Запрошенное имя верно, но данные запрошенного типа не найдены. 

                 

    При запуске команды netdom verify fsmo показывает, что роли FSMO принадлежат Глобальному Каталогу.  


    6 июля 2018 г. 13:39

Ответы

  • ...
       Сервер проверки: Default-First-Site-Name\TEH-DC-1
          Запуск проверки: Connectivity
             Узел 8bea593e-f140-456c-9365-7472358d01d3._msdcs.teh.local не удается
             разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
             Получена ошибка при проверке подключения LDAP и RPC. Проверьте
             параметры брандмауэра.
             ......................... TEH-DC-1 - не пройдена проверка Connectivity



    Судя по выдаче dcdiag (в той части, которую я убрал), у вас текущий контроллер домена - владелец всех ролей FSMO - а не неведомый "глобальный каталог". А проблема у вас - с DNS.

    Для начала проверьте (командой ipconfig /all) что у вас в свойствах сетевых подключений не указаны посторонние серверы (что-то кроме IP этого контроллера домена или 127.0.0.1). Если указаны, уберите все лишнее, повторите тест dcdiag, и посмотрите, как прошел тест Connectivity.

    Если настройка DNS правильная, то выполните вручную регистрацию записей DNS для контроллера домена (команды ipconfig /registerdns и nltest /dsregdns)  и повторите тест.

    Если и это не поможет, нужно протестировать DNS: dcdiag /test:DNS


    Слава России!

    • Предложено в качестве ответа Vector BCOModerator 14 июля 2018 г. 6:39
    • Помечено в качестве ответа Vector BCOModerator 23 июля 2018 г. 7:34
    9 июля 2018 г. 10:23

Все ответы

  • FSMO принадлежат Глобальному Каталогу - глобальный каталог, одна из "фич" ад которая может присутвовать на любом количестве контроллеров, например может присутвовать на 2 или 3 но одна и таже FSMO не может присутвовать на 2х котроллерах \\ в некоторых случаях речь идет про уникальность в домене, в некоторость про уникальность в лесу, но не суть

    Рекомендации по диагностике вы уже опубликовали в вопросе. Смотрите DCDIAG и решайте проблемы по одной, выглядит так что либо при миграции неподчистили хвосты за старым контроллером, либо два из одного. Убедитесь что все FSMO пренадлежат вашему существующему КД, в частности ваша ошибка связана с ролью Rid master


    The opinion expressed by me is not an official position of Microsoft


    6 июля 2018 г. 14:30
    Модератор
  • 1. Запускаете команду netdom query fsmo и смотрите, кто владеет ролью RID master.

    Если никто или "мертвый" контроллер домена - захватываете (seize) роль RID Master на живом контроллере.

    Если живой КД - разбираетесь с репликацией (не знаете как - пишите сюда, приложив выдачу netdom query fsmo и dcdiag с владельца роли RID Master).


    Слава России!

    6 июля 2018 г. 20:03
  • Все роли принадлежат Глобальному Каталогу, а не Контроллеру домена.  

    Возможно не подчистили хвосты. Если дело в этом, то как это исправить? 

  • Как определить "мертвый" или нет? 

    Как я ранее писал все роли FMSO принадлежат глобальному каталогу, а не контроллеру домена. 


  • Вы что-то путаете. Глобальный каталог - это контроллер домена, выполняющий дополнительные функции (кстати, в лесу их может быть несколько). Что вы называете глобальным каталогом? И вообще, покажите вывод netdom query fsmo,

    Слава России!



  • C:\Users\Администратор.TEH>netdom query fsmo
    Хозяин схемы                TEH-DC-1.teh.local
    Хозяин именования доменов   TEH-DC-1.teh.local
    PDC                         TEH-DC-1.teh.local
    Диспетчер пула RID          TEH-DC-1.teh.local
    Хозяин инфраструктуры       TEH-DC-1.teh.local
    Команда выполнена успешно.





  • C:\Users\Администратор.TEH>netdom query fsmo
    Хозяин схемы                TEH-DC-1.teh.local
    Хозяин именования доменов   TEH-DC-1.teh.local
    PDC                         TEH-DC-1.teh.local
    Диспетчер пула RID          TEH-DC-1.teh.local
    Хозяин инфраструктуры       TEH-DC-1.teh.local
    Команда выполнена успешно.

    teh-dc-1 это ваш сервер или старый с которого мигрировали?

    если старый то проверьте жив ли он. Если старый но при этом его нет в живых - захватите роли через sieze и проверьте хвосты от старого в днс, сайтах и пр.



    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Я не так хорошо разбираюсь, и у меня нет возможности ошибиться.  Боюсь водить какие-то изменения.

    При выполнении dcdiag выдает следующее. Может это поможет Вам помочь мне разобрать данную ошибку. 

    C:\Users\Администратор.TEH>netdom query fsmo
    Хозяин схемы                TEH-DC-1.teh.local
    Хозяин именования доменов   TEH-DC-1.teh.local
    PDC                         TEH-DC-1.teh.local
    Диспетчер пула RID          TEH-DC-1.teh.local
    Хозяин инфраструктуры       TEH-DC-1.teh.local
    Команда выполнена успешно.


    C:\Users\Администратор.TEH>dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = TEH-DC-1
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\TEH-DC-1
          Запуск проверки: Connectivity
             Узел 8bea593e-f140-456c-9365-7472358d01d3._msdcs.teh.local не удается
             разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
             Получена ошибка при проверке подключения LDAP и RPC. Проверьте
             параметры брандмауэра.
             ......................... TEH-DC-1 - не пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\TEH-DC-1
          Пропуск всех проверок, поскольку сервер TEH-DC-1 не отвечает на запросы
          службы каталога.


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: teh
          Запуск проверки: CheckSDRefDom
             ......................... teh - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... teh - пройдена проверка CrossRefValidation

       Выполнение проверок предприятия на: teh.local
          Запуск проверки: LocatorCheck
             ......................... teh.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... teh.local - пройдена проверка Intersite



    • Изменено novice_11 9 июля 2018 г. 9:50
  • Я не так хорошо разбираюсь, и у меня нет возможности ошибиться.  Боюсь водить какие-то изменения.

    При выполнении dcdiag выдает следующее. Может это поможет Вам помочь мне разобрать данную ошибку. 

    C:\Users\Администратор.TEH>netdom query fsmo
    Хозяин схемы                TEH-DC-1.teh.local
    Хозяин именования доменов   TEH-DC-1.teh.local
    PDC                         TEH-DC-1.teh.local
    Диспетчер пула RID          TEH-DC-1.teh.local
    Хозяин инфраструктуры       TEH-DC-1.teh.local
    Команда выполнена успешно.


    C:\Users\Администратор.TEH>dcdiag

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = TEH-DC-1
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\TEH-DC-1
          Запуск проверки: Connectivity
             Узел 8bea593e-f140-456c-9365-7472358d01d3._msdcs.teh.local не удается
             разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
             Получена ошибка при проверке подключения LDAP и RPC. Проверьте
             параметры брандмауэра.
             ......................... TEH-DC-1 - не пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\TEH-DC-1
          Пропуск всех проверок, поскольку сервер TEH-DC-1 не отвечает на запросы
          службы каталога.


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: teh
          Запуск проверки: CheckSDRefDom
             ......................... teh - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... teh - пройдена проверка CrossRefValidation

       Выполнение проверок предприятия на: teh.local
          Запуск проверки: LocatorCheck
             ......................... teh.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... teh.local - пройдена проверка Intersite

    в ошибке и в обсуждении вам были даны рекомендации.

    вы не отвечаете на вопросы, а мы не знаем вашу структуру. Если у вас есть опасения, привлеките специалиста со стороны для решения проблемы и заодно наберетесь немного опыта.

    по ад у мс есть курс, настоятельно вам рекомендую вам его пройти так как явно есть проблемы с терминологией и пониманием того как это вообще работает.


    The opinion expressed by me is not an official position of Microsoft

    9 июля 2018 г. 10:04
    Модератор
  • ...
       Сервер проверки: Default-First-Site-Name\TEH-DC-1
          Запуск проверки: Connectivity
             Узел 8bea593e-f140-456c-9365-7472358d01d3._msdcs.teh.local не удается
             разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
             Получена ошибка при проверке подключения LDAP и RPC. Проверьте
             параметры брандмауэра.
             ......................... TEH-DC-1 - не пройдена проверка Connectivity



    Судя по выдаче dcdiag (в той части, которую я убрал), у вас текущий контроллер домена - владелец всех ролей FSMO - а не неведомый "глобальный каталог". А проблема у вас - с DNS.

    Для начала проверьте (командой ipconfig /all) что у вас в свойствах сетевых подключений не указаны посторонние серверы (что-то кроме IP этого контроллера домена или 127.0.0.1). Если указаны, уберите все лишнее, повторите тест dcdiag, и посмотрите, как прошел тест Connectivity.

    Если настройка DNS правильная, то выполните вручную регистрацию записей DNS для контроллера домена (команды ipconfig /registerdns и nltest /dsregdns)  и повторите тест.

    Если и это не поможет, нужно протестировать DNS: dcdiag /test:DNS


    Слава России!

    • Предложено в качестве ответа Vector BCOModerator 14 июля 2018 г. 6:39
    • Помечено в качестве ответа Vector BCOModerator 23 июля 2018 г. 7:34
    9 июля 2018 г. 10:23
  • Кроме IP данного сервера ничего не указано. 
    9 июля 2018 г. 11:02