none
DNS сервер: "На сервере произошла авария" RRS feed

  • Вопрос

  • Уже замечал раньше какую-то странную работу DNS, но только сейчас дошли руки разбираться.

    Есть 3 контроллера домена в основном сайте: 2003R2 и 2шт 2012R2.
    Изначально домен поднимался на 2000 Server, но это было когда-то давно, я не застал это время.

    Сейчас в оснастке DNS в домене нет зон FomainDnsZones и ForesDnsZones
    Хотя в ntdsutil находит контексты наименования, в том числе
    3 - DC=DomainDnsZones,DC=domain,DC=int
    4 - DC=ForestDnsZones,DC=domain,DС=int
    Тем не менее зона является AD интегрированной и корректно реплицируется на другие контроллеры. Однако нельзя создать новую интегрированную зону. Пишет "На сервере произошла авария". Проблема появляется, только если указать в области репликации "на все dns серверы в домене" или "на все dns серверы в лесу". Если указать "на все контроллеры домена в домене", то зона создается.

    Тоже самое происходит, если попытаться изменить область репликации зоны - не изменяется.

    В логах сервера новых сообщений с ошибками не появляется.

    Так происходит на любом контроллере домена. Пока вроде бы нет каких-то проблем, которые бы мешали жить, однако такая неразбериха мне не нравится.

    Изначально домен был на 2000 сервере. Со временем был обновлен до 2003. А сейчас планируется удалить последний 2003 из контроллеров и повысить версию. Однако я боюсь это делать пока я вижу какие-то ошибки в DNS, боюсь что это может плохо сказаться.

    С чем может быть связана такая ошибка? Что может означать сообщение "на сервере произошла авария"?


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise


    16 ноября 2015 г. 13:06

Ответы

  • В результате проблема оказалась не уникальной. Предлагалось удалить в конфигурации crossref объекты с Forest и Domain объектами, затем еще раз создать партиции через DNS оснастку. Потестил на тестовых контроллерах - успешно. Провел на рабочих контроллерах - тоже вроде все ок. Теперь зоны вроде как нормально интегрированы в AD.
    8 декабря 2015 г. 11:36

Все ответы

  • Скорее всего нарушены права на эти объекты. Пересоздайте их. http://www.dell.com/support/article/us/en/19/SLN290477/EN

    https://technet.microsoft.com/en-us/library/cc739505%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396


    Сазонов Илья

    https://isazonov.wordpress.com/

    16 ноября 2015 г. 13:39
    Модератор
  • Скорее всего нарушены права на эти объекты. Пересоздайте их. http://www.dell.com/support/article/us/en/19/SLN290477/EN

    https://technet.microsoft.com/en-us/library/cc739505%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396


    Сазонов Илья

    https://isazonov.wordpress.com/

    Я об этом не написал сразу, но я пробовал пересоздать. Во всех случаях появляется сообщение о том, что Указанный раздел каталога уже существует.

    В частности результат выполнение команды dnscmd: Сommand failed:  DNS_ERROR_DP_ALREADY_EXISTS     9902  (000026ae)


    MCITP: Server Administrator<br/> MCTS: Desktop Virtualization<br/> MCTS: Windows 7, Configuration <br/> Сетевое ад&#1084;инистрирование Huawei Enterprise

    17 ноября 2015 г. 7:08
  • Чтобы создать, надо сначала удалить.

    Сазонов Илья

    https://isazonov.wordpress.com/

    17 ноября 2015 г. 8:24
    Модератор
  • Они отсутствуют в оснастке DNS. Что именно предлагается удалять?

    MCITP: Server Administrator<br/> MCTS: Desktop Virtualization<br/> MCTS: Windows 7, Configuration <br/> Сетевое ад&#1084;инистрирование Huawei Enterprise

    17 ноября 2015 г. 8:30
  • Изучаю проблему дальше.

    По ссылке я так понимаю удаляют некие дубликаты, открывая через ADSI контекст наименования dc=DomainDNSZones,DC=domain,DC=com. Однако ни это ни ForestDnsZones не открываются в ADSI, сообщая что "Ошибка операции. Код ошибки 0x202b. Сервер возвратил ссылку. 0000202B: RefErr: DSID-03100781, data 0, 1 access points ref 1"

    Нашел информацию по этой ошибке http://blogs.msmvps.com/acefekay/2012/06/20/steps-taken-to-resolve-an-issue-with-corrupted-application-partitions-specifically-dns-partitions-and-their-crossref-erence-objects-in-the-ad-configuration-container/

    Однако тут советуют попытаться удалить объекты в CN=Partitions,CN=Configuration, а далее и во все удалить NS через ntdsutil.

    Однако на тестовой структуре (там правда нет таких проблем, как на рабочей) объекты из CN=Partitions,CN=Configuration не удаляются. Сообщая, кстати туже ошибку что и при попытке зайти на этот контекст через ADSI в рабочем домене (0x202b Сервер возвратил ссылку).

    Удалять NS через ntdsutil у меня тоже нет желания. В тестовой среде это привело к неработоспособности, удалив из DNS зону.

    В общем что делать дальше я пока не понимаю.

    18 ноября 2015 г. 13:19
  • Вы установили, что у вас частично порушена база AD. Если в тестовой среде у вас не удалось провести восстановление как описано в той статье, то варианта два:

    1. Открыть кейс в официальной тех.поддержке. Но это уровень PSS. И это дорого относительно, если нет действующего конктракта.

    2. Мигрировать в новый лес. Плюс этого варианта еще в том, что совсем не ясно, что еще могло быть разрушено кроме разделов DNS, а миграция в новый лес исключит такие проблемы.

    Третий вариант - продолжать попытки восстановления. Если вы удалили разделы с помощью ntdsutil, то их надо сразу создать новые я полагаю. К тому же после этого возмодно потребуется провести процедуру принудительного распространения на другие домен контроллеры.


    Сазонов Илья

    https://isazonov.wordpress.com/


    18 ноября 2015 г. 14:10
    Модератор
  • Понял, что проблема не так проста как хотелось бы. С другой стороны пока вроде бы никаких серьезных проблем замечено не было но и нарваться на них в самый не подходящий момент не хочется.

    Думаю тогда стоит попробовать перенести копию контроллера тестовую среду и начать уже измываться над ней. Нет ли мест, где можно было бы почитать про эти разделы более подробно? Везде касаются их только вскользь.

    18 ноября 2015 г. 20:17
  • Это обычные разделы приложений в смысле теории. Даже лучше сказать это обычные объекты LDAP.

    За подробностями наверное только в глубины библиотеки MSDN.

    Поищите еще по ключевым словам lingering и orphaned

    Например

    https://support.microsoft.com/en-us/kb/910205

    http://blogs.technet.com/b/glennl/archive/2007/07/26/clean-that-active-directory-forest-of-lingering-objects.aspx


    Сазонов Илья

    https://isazonov.wordpress.com/

    19 ноября 2015 г. 12:52
    Модератор
  • В результате проблема оказалась не уникальной. Предлагалось удалить в конфигурации crossref объекты с Forest и Domain объектами, затем еще раз создать партиции через DNS оснастку. Потестил на тестовых контроллерах - успешно. Провел на рабочих контроллерах - тоже вроде все ок. Теперь зоны вроде как нормально интегрированы в AD.
    8 декабря 2015 г. 11:36
  • Достался в наследство домен с 2004 года на windows server 2003, перевел домен на windows server 2008R2, в DNS не было зоны _msdcs.domain.lo (создал вручную, создалась) и зон DomainDnsZones и ForestDnsZones.
    При выполнении действий по восстановлению зон  DomainDnsZones и ForestDnsZones через Powershell и консоль  DNS выдавало ошибки. Почитал Ваши отзывы, выполнил действия:
    1. Через оснастку Редактирование ADSI подключившись к Конфигурация,  в конфигурации CN=Partitions удалить crossref объекты с DomainDnsZones и ForestDnsZones
    2. Через powershell выполнить две команды: dnscmd /CreateBuildinDirectoryPartition /domain, dnscmd /CreateBuildinDirectoryPartition /forest
    После этого зоны DomainDnsZones и ForestDnsZones появились в дереве домена в DNS оснастке и стало возможным сменить область видимости зоны репликации с Для всех контроллеров в этом домене на Для всех DNS-серверов, работающих на контроллерах доменах в этом домене.
    Премного благодарен!!!
    • Изменено yarikstyle 19 апреля 2019 г. 11:46
    19 апреля 2019 г. 11:45