none
linux(BIND+DHCP) vs (win2k(AD)+ ~winxp)ошибки в логах на хостах (DNSAPI Event ID: 11165) RRS feed

  • Вопрос

  • на межсетевом шлюзе в частности подняты и работают в связке DNS (bind) и DHCP, компы грузятся, получают IP и настройки подключения у DHCP и регистрируются в DNS. часть хостов грузятся как тонкие клиенты, то есть ч\з PXE (в DHCP прописано у кого какой загрузчик, кто с какого TFTP грузится). по этому виндовые DNS+DHCP ни в кой мере не допустимы. DHCP работает на несколько сетей, в каждой из сетей своя политика тонких клиентов и именование ("динамических" хостов), поэтому виндовый DNS не приемлим. - это к тому чтоб не было криков в сторону "на кой такой сарай".

    по делу:
    имеются в одной из сетей виндовые PDC (win2k3) 192.168.0.1 и DC (win2k3) 192.168.0.2
    тот самый межсетевой шлюз, одной головой (192.168.0.8).
    на всех хостах, что в домене в систменом журнале событий имеется некая запись:
    Event Type: Warning
    Event Source: DnsApi
    Event Category: None
    Event ID: 11165
    Date: 3/07/2011
    Time: 4:11:21 AM
    User: N/A
    Computer: buhg01
    Description:
    The system failed to register host (A) resource records (RRs) for network adapter
    with settings:

    Adapter Name : {9Cf5g0AD-eeee-4daef-AD60A0731EF9}
    Host Name : buhg01
    Primary Domain Suffix : netw.local
    DNS server list :
    192.168.0.1, 192.168.0.2 -<--(то же не понятно откуда взялись днс контроллеров домена, если dhcp компам выдал, то что DNS у них 192.168.0.8, что в статусе и прописано, ipconfig /all выдаёт DNS только 192.168.0.8)
    Sent update to server : <?>
    IP Address(es) :
    193.249.1.88 -<--(хз что за зверь, откуда хост его взял)

    отсюда вопрос, что ещё в AD нужно поменять, что б в форточных хостах использовался НУЖНЫЙ DNS ?
    19 июля 2011 г. 17:12

Ответы

  • собственно конкретных ответом я не услышал, отвечу сам(с) что где когда )

     

    192.168.0.1, 192.168.0.2 взялись из политик домена(накернил) теперь днс у всех компов исключительно из DHCP

    данный еррор был вследствии того, что винда зачем то (из боевых соображения проку с этого действия ни какого) регистрирует сетевое подключение (а именно сетевуху) в ДНС (о_О) Зачем? в восьмерке, девятке наверное флэшки и сидюки будут регистрироваться в днс, а потом кандёры и предохранители, провода и мышки, так что бы было =)

    ладно, снял галку регистрации, теперь очередной выкидыш

    Тип события: Предупреждение
    Источник события: LSASRV
    Категория события: SPNEGO (согласователь)
    Код события: 40961
    Дата: 27.07.2011
    Время: 18:54:08
    Пользователь: Н/Д
    Компьютер: ASU3
    Описание:
    Системе безопасности не удалось установить безопасное подключение к серверу DNS/ns.*демен*.local. Отсутствуют доступные протоколы проверки подлинности.

     ns.*демен*.local. - хост являющий собой DNS сервер (bind)

    какая служба может провоцировать данный запрос (на всех рабочих станциях) ? чем отключчить, политиками\вырубить службу ?

    • Помечено в качестве ответа tkpiuk 7 августа 2011 г. 9:30
    27 июля 2011 г. 13:44

Все ответы

  • Маленький комментарий по поводу первой части поста, чтобы не формировались необоснованные стереотипы. Всё, что вы описали можно настроить и на Windows Server 2003, параметры 066, 067 и динамически обновляемый DNS.
    Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. (c)

    20 июля 2011 г. 5:24
  • Собственно, список возможных причин ошибки изложен вот здесь http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows+Operating+System&ProdVer=5.2&EvtID=11165&EvtSrc=DnsApi 

    Касательно IP-адреса - шерстите сеть и настройки всех DHCP-серверов и областей. Из воздуха такое не берется. Кстати - этот адрес не имеет отношения к сети, например, провайдера?

    Касательно списка DNS-серверов - сдается мне, что на DHCP со 193 сетью это настроено в параметре 006. На вашем DHCP, котрый должен раздавать параметр 006, какие DNS-сервера прописаны? Скриншотом, пожалуйста.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    22 июля 2011 г. 12:34
    Модератор
  • Уважаемый пользователь,

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    27 июля 2011 г. 4:23
    Модератор
  • собственно конкретных ответом я не услышал, отвечу сам(с) что где когда )

     

    192.168.0.1, 192.168.0.2 взялись из политик домена(накернил) теперь днс у всех компов исключительно из DHCP

    данный еррор был вследствии того, что винда зачем то (из боевых соображения проку с этого действия ни какого) регистрирует сетевое подключение (а именно сетевуху) в ДНС (о_О) Зачем? в восьмерке, девятке наверное флэшки и сидюки будут регистрироваться в днс, а потом кандёры и предохранители, провода и мышки, так что бы было =)

    ладно, снял галку регистрации, теперь очередной выкидыш

    Тип события: Предупреждение
    Источник события: LSASRV
    Категория события: SPNEGO (согласователь)
    Код события: 40961
    Дата: 27.07.2011
    Время: 18:54:08
    Пользователь: Н/Д
    Компьютер: ASU3
    Описание:
    Системе безопасности не удалось установить безопасное подключение к серверу DNS/ns.*демен*.local. Отсутствуют доступные протоколы проверки подлинности.

     ns.*демен*.local. - хост являющий собой DNS сервер (bind)

    какая служба может провоцировать данный запрос (на всех рабочих станциях) ? чем отключчить, политиками\вырубить службу ?

    • Помечено в качестве ответа tkpiuk 7 августа 2011 г. 9:30
    27 июля 2011 г. 13:44
  • А это, скорее всего, влияет невозможность клиентов создать PTR-запись.  Создайте на BIND-сервере обратную зону и проблема должна уйти. Генерирует эту ошибку, если не ошибаюсь, Kerberos, который лично я выключать бы не стал :) Но в целом, ее можно игнорировать, если все работает нормально
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    27 июля 2011 г. 14:34
    Модератор
  • AD не работает без DNS, поэтому у клиентов в качестве предпочтительных DNS серверов должен быть ip адрес сервера, содержащего зону AD, чаще всего - это контроллеры домена. Ваш nix сервер, на котором работает bind, как я понимаю таковым не является и не содержит SVR записей, отсюда и ошибка.

    Динамический DNS - это не каприз Microsoft или винды, а вполне нормальный стандарт http://tools.ietf.org/html/rfc2136. При загрузке клиент регистрирует в DNS запись A самостоятельно, что значительно облегчает работу администратора.

    Опять же динамическая регистрация возможна, только если сервер поддерживает такую возможность и клиенты могут быть соответствующим образом авторизованы. На DNS сервере в Windows Server такая авторизация происходит по учётной записи компьютера клиента и зона хранится при этом в самой AD.


    Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. (c)

    27 июля 2011 г. 14:43
  • Уважаемый пользователь,

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    2 августа 2011 г. 9:04
    Модератор
  • да, всё работает нормально, обратная зона в ДНС всегда была. PTR-запись создаётся по инициативе DHCP на этапе выдачи IP-адреса(ещё при загрузке компа при отработке сетевого загрузчика). у меня сомнения в отношении КЕРБЕРОС к обратной зоне
    3 августа 2011 г. 11:33
  • ДНС записи образуются по инициативе DHCP на этапе выдачи IP-адреса(ещё при загрузке компа при отработке сетевого загрузчика). В ДНС содержатся SVR записи (на этапе поднятия ДНС, БИНД вытянул из виндового ДНС все записи(так сказать синхронизировался) далее  первичным ДНС стал БИНД, виндовый ДНС погасился)

     

    При загрузке клиент регистрирует в DNS запись A самостоятельно, что значительно облегчает работу администратора. СИЕ выполняется ещё за долго до загрузки форточек.

    3 августа 2011 г. 11:37