none
Домен WS 2003. Ошибки при загрузке контроллера домена. RRS feed

  • Общие обсуждения

  • Добрый день.

     

    Есть домен (контроллер домена на 2003, дочерний домен, режим работы 2003 native).

    При включение контроллера домена возникает следующая ситуация:

    Примерно 5 минут горит окно "Подготовка сетевых подключений". После загрузки в журнале событий много ошибок.

    Сначала - LSASRV 40960

    Code Snippet
    Система безопасности обнаружила ошибку проверки подлинности сервера LDAP/L174-MASTER. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.(0xc000005e)".

     

     

    потом та же ошибка 40960 но с формулировкой

    Code Snippet

    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/l174-master.cbs-uz.local. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

    (0xc000005e)"

     

     

    . Далее ошибка W32Time 17

    Code Snippet
    NTP-клиент поставщика времени: произошла ошибка при поиске в DNS настроенного вручную узла 'time.windows.com,0x1'. NTP-клиент вновь повторит поиск в DNS через 15 мин. Ошибка: Неизвестная служба. Эта служба отсутствует в указанном пространстве имен. (0x8007277C)

     

     

    и опять LSASRV 40960 

    Code Snippet
    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/L174-MASTER. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.(0xc000005e)"..

     

     

    В логах видно, что служба DNS-сервер стартует очень поздно. Причем стартует без ошибок.Зоны интегрированы в AD. Зона дочернего домена делигирована его контроллреу. В качестве DNS сервера указан сам контроллер (192.168.174.7). dcdiag говорит то все нормально.

    Насколько я понимаю, все ошибки возникают из-за того, что DNS-сервер так долго запускается.

    Пожалуйста, подскажите, в чем может быть причина.

     

    Заранее спасибо.

    22 декабря 2008 г. 9:11

Все ответы

  • http://support.microsoft.com/kb/823712/

    "Это происходит после перезагрузки компьютера, роль которого была повышена до роли контроллера домена. При этом служба времени Windows (W32Time) пытается выполнить проверку подлинности до запуска службы каталогов. Появление данных сообщений не является признаком сбоев в работе компьютера."

    22 декабря 2008 г. 9:34
  •  Koffko написано:

    Добрый день.

     

    Есть домен (контроллер домена на 2003, дочерний домен, режим работы 2003 native).

    При включение контроллера домена возникает следующая ситуация:

    Примерно 5 минут горит окно "Подготовка сетевых подключений". После загрузки в журнале событий много ошибок.

    Сначала - LSASRV 40960

    Code Snippet
    Система безопасности обнаружила ошибку проверки подлинности сервера LDAP/L174-MASTER. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.(0xc000005e)".

     

     

    потом та же ошибка 40960 но с формулировкой

    Code Snippet

    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/l174-master.cbs-uz.local. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

    (0xc000005e)"

     

     

    . Далее ошибка W32Time 17

    Code Snippet
    NTP-клиент поставщика времени: произошла ошибка при поиске в DNS настроенного вручную узла 'time.windows.com,0x1'. NTP-клиент вновь повторит поиск в DNS через 15 мин. Ошибка: Неизвестная служба. Эта служба отсутствует в указанном пространстве имен. (0x8007277C)

     

     

    и опять LSASRV 40960 

    Code Snippet
    Система безопасности обнаружила ошибку проверки подлинности сервера ldap/L174-MASTER. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.(0xc000005e)"..

     

     

    В логах видно, что служба DNS-сервер стартует очень поздно. Причем стартует без ошибок.Зоны интегрированы в AD. Зона дочернего домена делигирована его контроллреу. В качестве DNS сервера указан сам контроллер (192.168.174.7). dcdiag говорит то все нормально.

    Насколько я понимаю, все ошибки возникают из-за того, что DNS-сервер так долго запускается.

    Пожалуйста, подскажите, в чем может быть причина.

     

    Заранее спасибо.



    Firewall/Антивирус на сервере установлены ?

    На http://eventid.net ошибки смотрели ?
    22 декабря 2008 г. 9:34
  •  

    Роль не повышал. Проблемма в том, что каждый раз после перезагрузки отваливается часть служб еще (Веб-публикации например). После ручного рестарта их, все нормально.
    22 декабря 2008 г. 9:43
  • Брандмауэр выключен. Антивирус - NOD32 2.7 for file servers.

    eventid.net смотрел. долго и упорно. увы особой ясности не добавило.

    22 декабря 2008 г. 9:44
  •  Koffko написано:

    Брандмауэр выключен. Антивирус - NOD32 2.7 for file servers.

    eventid.net смотрел. долго и упорно. увы особой ясности не добавило.



    Попробуйте заменить сетевую карту/провод/порт на хабе и посмотрите на результаты.
    22 декабря 2008 г. 9:54
  • Повышал... при установке контроллера домена Smile

    В статье ведь чётко написано (не обращай внимания - если это только при перезагрузке)

    А вот по поводу того что другие сервисы не стартуют - а потом вручную нормально стартуют - надо смотреть логи....   Скорее всего - просто по таймауту загрузки , из-за того что они зависят (но не настроены зависимости) от других сервисов которые ещё не стартовали. Возможно у тебя просто слишком много сервисов стартуют одновременно. У меня так с Exchange было.

    может это поможет How to delay loading of specific services

     

    22 декабря 2008 г. 9:57
  • Кабель перетыкать пробовал (с сетью проблемм нет). Карту менять немножко проблемно сейчас.

     

    Просто смущает тот момент, что тупит именно служба DNS-сервер при загрузке. И самое странное, что без ошибок.

     

    Забыл добавить. Еще вываливаются при этом ошибки:

     

    NTDS Replication  2087

     

    Code Snippet

    Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.

    Исходный контроллер домена:

    server

    Ошибочное имя узла DNS:

    ._msdcs.cbs-uz.local

    Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:

    Раздел реестра:

    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

    Действие пользователя:

    1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.

    2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду "net view \\" или "ping ".

    3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns

    dcdiag /test:dns

    4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:

    dcdiag /test:dns

    5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:

    http://support.microsoft.com/?kbid=824449

    Дополнительные данные

    Значение ошибки:

    11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

     

     

    NTDS General 1126

     

    Code Snippet

    Active Directory не удается подключиться к глобальному каталогу.

    Дополнительные данные

    Значение ошибки:

    1355 Указанный домен не существует или к нему невозможно подключиться.

    Внутренний ID:

    3200cf3

    Действие пользователя:

    Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.

    Дополнительные сведения можно найти в центре справки и

     

     

    по логам видно, что это все происходит до старта DNS. После старта DNS примерно через 10 минут репликация уже нормально проходит
    22 декабря 2008 г. 10:07
  • Koffko

    А сервер у Вас какой ? (Процессор, память) ?

    Как давно началась проблема и какие последние действия выполнялись на сервере ?

    При отключении антивируса проблема остаётся ?
    22 декабря 2008 г. 10:10
  • Prymergy RX 300 S2 (Xeon 2,8 GGz, 2Gb)

    Проблемма началась довольно давно. Банально не было времени, плотно заняться. Сейчас наконец появилось время. Ктому же, стал замечать на некоторых клиентах оишбки при загрузке. Опять же на невозможность связаться с контроллером домена (хотя после загрузки все сетевые сервисы работают нормально).

    Антивирус отключал. Проблемма остается.

    Насчет последних действий... Пока еще ничего не предпринимал. Только смотрел. Гонял dcdiag и netdiag.

    22 декабря 2008 г. 10:23
  •  

    смотрел. про зависимости при загрузке. сначала думал об этом. просто не могу предугодать последствий. Поидее Netlogon надо ставить в зависимость от DNS. Не хочется угробить контроллер домена. Восстановить то востановлю, но вот в рабочее время эксперименты ставить не хочется. А внерабочее из дома есть вероятность, что не поднимется...

    Еще как вариант убрать например из зависимостей DNS-сервера IPSEC, RPC и AFD... Как вы считаете, к каким последствиям это может привести?

    22 декабря 2008 г. 10:27
  • По "классическому" пути ходили? Smile

     

    http://forums.microsoft.com/technet-ru/ShowPost.aspx?PostID=2031727&SiteID=40

     

    Убедитесь что ваш DC не ссылается сам на себя как на сервер DNS. И попробуйте "поиграть" с зависимостями служб, настроив порядок их запуска.

    23 декабря 2008 г. 7:13