none
Ошибка DNS 4013 RRS feed

  • Вопрос

  • Доброго дня, коллеги.

    Так и не нашел, однозначного ответа, как решить проблему с этой ошибкой.

    Предупреждение : 4013
    "DNS-сервер ожидает от доменных служб Active Directory (AD DS) сигнала о том, что первичная синхронизация каталога завершена. Службу DNS-сервера невозможно запустить до завершения первичной синхронизации, так как критические данные DNS могут быть еще не реплицированными на этот контроллер домена. Если журнал событий AD DS показывает, что имеются проблемы с разрешением DNS-имен в адреса, рассмотрите возможность добавления IP-адреса другого DNS-сервера для этого домена в список DNS-серверов в свойствах протокола IP этого компьютера. Такое событие будет записываться в журнал каждые две минуты, пока служба AD DS не сообщит об успешном завершении первичной синхронизации."

    Вообще, использую 2 DNS сервера и проблем не испытываю. Один ссылается на второй и наоборот.

    Но вот сегодня, выключили свет на 2 часа. Естественно, все сервера пришлось потушить.

    Когда появился свет, в первую очередь включил контроллер домена. И тут началось. 2 часа не могла иницализироваться служба ДНС и сыпала в лог эту ошибку.


    • Изменено clippart 21 ноября 2012 г. 5:49
    21 ноября 2012 г. 5:45

Ответы

  • Если сейчас DNS работает и с репликацией проблем нет, то в чём тогда вопрос? Почему долго шла начальная синхронизация AD? Ответ: потому что в сети не было работоспособных DNS. Если у Вас все DNS только на контроллерах домена - то ситуация нормальная для подобной структуры. Выход: делать в сети третий DNS, который будет вторичным DNS для зон AD и будет хранить эти зоны не в AD, а в файлах. Альтернативный выход: никогда не выключать ВСЕ контроллеры домена.

    Сергей Панченко

    • Помечено в качестве ответа Vinokurov Yuriy 26 ноября 2012 г. 13:03
    21 ноября 2012 г. 7:52
  • К сожалению, это - нормальное поведение: AD на хозяевах ролей FSMO в многосерверной конфигурации при недоступности остальных КД стартует долго из-за требования начальной синхронизации (http://support.microsoft.com/kb/305476). А начальная синхронизация оказывается невозможной из-за недоступости DNS.

    Начальную синхронизацию можно отключить в реестре ( http://support.microsoft.com/kb/2001093 ), но это помжет привести к повреждению AD в случае, если в сеть будет возвращен контроллер домена, бывший хозяином роли FSMO, которые у него были принудительно захвачены (seize).

    Насколько я понимаю (не проверял), помочь с разрешением ситуации может наличие КД, не являющегося хозяином ни одной роли FSMO, и являющийся сервером DNS - у него не должно быть таких задержек с запуском.


    Слава России!


    • Изменено M.V.V. _ 21 ноября 2012 г. 9:29
    • Помечено в качестве ответа Vinokurov Yuriy 26 ноября 2012 г. 13:03
    21 ноября 2012 г. 9:27

Все ответы

  • Но вот сегодня, выключили свет на 2 часа. Естественно, все сервера пришлось потушить.

    Как "тушили" сервера? Корректно или выключением питания? В какой последовательности тушили и в какой поднимали?

    Не совсем понятно, сколько у Вас контроллеров домена? Если больше одного, то проверьте, что в логах репликации, нет ли там ошибок.

    Если у Вас один КД, но два DNS, что стОит на сервере, где второй DNS?


    Сергей Панченко


    • Изменено Daemon-GTC 21 ноября 2012 г. 6:59
    21 ноября 2012 г. 6:57
  • Сервера все были выключены корректно.

    Сначала потушились виртуалки, затем потушились ноды кластера. Самым последним потушился DC.

    Контроллера домена 2 - физический и виртуальный.

    когда поднимал все, естественно в первую очередь подымал физический DC

    с репликацией проблем нету.

    21 ноября 2012 г. 7:08
  • Если сейчас DNS работает и с репликацией проблем нет, то в чём тогда вопрос? Почему долго шла начальная синхронизация AD? Ответ: потому что в сети не было работоспособных DNS. Если у Вас все DNS только на контроллерах домена - то ситуация нормальная для подобной структуры. Выход: делать в сети третий DNS, который будет вторичным DNS для зон AD и будет хранить эти зоны не в AD, а в файлах. Альтернативный выход: никогда не выключать ВСЕ контроллеры домена.

    Сергей Панченко

    • Помечено в качестве ответа Vinokurov Yuriy 26 ноября 2012 г. 13:03
    21 ноября 2012 г. 7:52
  • ))

    Как НЕ ВЫКЛЮЧАТЬ все DC, если тушат свет на 2 и БОЛЕЕ часов?

    Простой в работе 2 часа пока заведется DNS, уж извините.

    на 2003 в течение 30 минут уже все работало при такой же схеме.

    21 ноября 2012 г. 7:56
  • К сожалению, это - нормальное поведение: AD на хозяевах ролей FSMO в многосерверной конфигурации при недоступности остальных КД стартует долго из-за требования начальной синхронизации (http://support.microsoft.com/kb/305476). А начальная синхронизация оказывается невозможной из-за недоступости DNS.

    Начальную синхронизацию можно отключить в реестре ( http://support.microsoft.com/kb/2001093 ), но это помжет привести к повреждению AD в случае, если в сеть будет возвращен контроллер домена, бывший хозяином роли FSMO, которые у него были принудительно захвачены (seize).

    Насколько я понимаю (не проверял), помочь с разрешением ситуации может наличие КД, не являющегося хозяином ни одной роли FSMO, и являющийся сервером DNS - у него не должно быть таких задержек с запуском.


    Слава России!


    • Изменено M.V.V. _ 21 ноября 2012 г. 9:29
    • Помечено в качестве ответа Vinokurov Yuriy 26 ноября 2012 г. 13:03
    21 ноября 2012 г. 9:27
  • Начальную синхронизацию можно отключить в реестре ( http://support.microsoft.com/kb/2001093 ), но это может привести к повреждению AD...

    Я бы не советовал так делать никогда. Ибо можно оставить КД на острове, особенно, если стартуют сразу несколько КД.

    Говорю же, единственный реальный способ - сторонний вторичный DNS, хранящий зоны в файлах. В случае, когда были выключены ВСЕ контроллеры домена, нужно стартовать сначала его (он поднимет зоны windows-домена из своих файлов), а потом те КД, у которых в списке DNS первым есть этот сторонний сервер.


    Сергей Панченко

    21 ноября 2012 г. 9:42
  • Попробую затестировать на виртуалках данный способ
    21 ноября 2012 г. 13:47
  • А если при такой ошибке и репликация не проходит? Что делать? как лечить?


    Александр Гавриленков

    23 марта 2015 г. 13:22
  • Если ошибка сама собой через пару часов не исчезает - надо разбираться. Для начала, как всегда требуется стандартная диагностика КД командой dcdiag /q

    Слава России!

    23 марта 2015 г. 13:54