RODC регистрит событие DNS 4015 каждые три минуты с кодом ошибки 00002095
В этой статье описываются события ID 4015, которые возникают при запуске роли службы доменных имен (DNS) в контроллере домена Read-Only (RODC) и недоступна для контроллера домена (хостинг DNS).
Оригинальная версия продукта: Windows Server 2012 R2 Исходный номер КБ: 969488
Симптомы
Если мы запускаем роль службы доменных имен (DNS) для контроллера домена Read-Only (RODC) и недоступный контроллер домена (хостинг DNS), мы видим следующее событие, которое регистрируется в RODC.
Имя журнала: DNS Server Источник: Microsoft-Windows-DNS-Server-Service Дата: время даты ID события: 4015 Категория задач: Нет Уровень: ошибка Ключевые слова: Классический Пользователь: N/A Компьютер: имя компьютера_ Описание: Сервер DNS столкнулся с критической ошибкой в Active Directory. Проверьте правильное функционирование Active Directory. Расширенные сведения об отлаговке ошибок (которые могут быть пустыми) — «00002095: SvcErr: DSID-03210A6A, проблема 5012 (DIR_ERROR), данные 16». Данные события содержат ошибку.
Причина
Когда контроллер только для чтения домена (RODC) находит записываюемый DNS-сервер для выполнения ReplicateSingleObject (RSO), он выполняет функцию DSGETDC со следующим набором флагов:
После возвращения dc из вызова DSGETDC он использует результат для поиска записи NS в DNS. Если вызов DSGETDC не удается или не удается найти запись NS dc, возвращенную из DSGETDC, ошибка 4105 будет зарегистрирована.
Возможные причины ошибки 4105:
Нет записаемого dc не доступен, или никто не возвращается из вызова DSGETDC
Вызов DSGETDC был успешным, но возвращенная dc не установлена роль DNS Server или не регистрирует запись NS в DNS.
Для проверки того, какой DC возвращается из вызова DSGETDC, можно использовать следующую команду.
Где DOMAIN.COM ваше доменное имя.
Решение
Чтобы устранить вышеуказанную причину, убедитесь, что writable DC доступен из RODC, чтобы роль DNS Server была установлена на этом DC и чтобы запись NS была зарегистрирована в DNS для writable DC.
Дополнительные сведения
Дополнительные сведения о функции DSGETDC см. в статье TechNet:
Заявление об отказе от ответственности
Корпорация Майкрософт и/или ее поставщики не делают никаких представлений или гарантий относительно пригодности, надежности или точности сведений, содержащихся в документах и связанных графиках, опубликованных на этом сайте (материалы) для любых целей. Эти материалы могут включать технические неточности или опечатки и могут быть пересмотрены в любое время без уведомления.
В максимальной степени, разрешенной применимым законодательством, Корпорация Майкрософт и(или) ее поставщики дисклеймировали и исключали все представления, гарантии и условия, будь то экспресс, подразумеваемые или нормативные, включая, но не ограничиваемые представлениями, гарантиями или условиями названия, неущемлением, удовлетворительным состоянием или качеством, торговой доступностью и пригодностью для конкретной цели, в отношении материалов.
Всего записей: 517 | Зарегистр. 11-09-2003 | Отправлено:10:49 21-12-2005
Yuriy2006
Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Железо: Проц: Celeron 2000, память 256 метров, видюха Geforce 4 mx-440 комп стоит дома, по этому команды dcdiag /a netdiag смогу запустить только вечером. Завтра отпишусь.
Добавлено: Опишу как всё ставил: Уставноил win2003 sp1 поставил дрова на железо. На компе две сетевые карты, одна будет смотреть в инет вторая для локальное сети. На перовй настроил IP. 192.168.1.1 маска 255.255.255.0 предпочитаемый ДНС 192.168.1.1, на второй сетевухе смотрящей в Inet: 80.89.129.x шлюз. 80.89.128.3 предпочитаемый dns 80.89.128.4 и маску вписал. Затем запустил мастер dcpromo, сказал уставновить Active Directory, следовал инструкциям мастера. После перезагрузки вот такая вот ошибка в отчётах. А адреса предопочитаемых dns в свойствах обоих подключений сменились на 127.0.0.1 Может я что не так сделал?
Всего записей: 29 | Зарегистр. 21-12-2005 | Отправлено:13:54 21-12-2005
angelweb
Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да смотрел говорят снеси DNS и поставь его заново потом перезагрузись, а есть ли более простой путь?
Всего записей: 29 | Зарегистр. 21-12-2005 | Отправлено:15:03 21-12-2005
ipmanyak
Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ipmanyak Да так и есть DNS сервер по дефолту 127.0.0.1 он установился после того как прошёл мастер установуки Active Directory. Нужно выставить 192.168.1.1?
LAN: Локальный IP адрес 192.168.1.1 Маска: 255.255.255.0 Пердпочитаемый DNS: 127.0.0.1
Inet: Внешний IP адрес 80.x.x.x Маска: Пердпочитаемый DNS: 127.0.0.1
Я так понял для того чтобы грамотно встал контроллер домена при двух сетевых картах и ДНС при этом чувствовал себя хорошо нужно: Пишу по шагам. 1) Сделать по умолчанию локальный интерфейс приоритетным 2) В настройках локального интерфейса прописать н.р. 192.168.1.1 и маску подсети ДНС вообще не указывать. 3) В настройках сетевой карточки смотрящей в инет по анологии с пунктом 2 вписать внешний IP, маску и шлюз. ДНС снова не указывать. 4) Запустить dcpromo и пускай он всё на автомате ставит, но вот тут у меня сомнения, может лучше сначала в ручную ДНС настроить посоветуйте? (Если в ручную, можно вас попросить ссылки дать дельные или может у кого есть свои записи, поделитесь?) 5) После автоматической установки в ДНС сделать форвардинг на внешний ДНС провайдера.
Так же подскажите что сейчас можно сделать чтобы с нуля не переустанавливать всё.
По поводу того что всё живёт на одном компе, это только по той причине что комп у меня дома и через него будет получать инет ещё один комп, я планирую поставить на свой комп контроллер домена, ISA, ну и антивирусник естественно.
Всего записей: 29 | Зарегистр. 21-12-2005 | Отправлено:08:45 22-12-2005
Elaniel
Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Так я и тренируюсь, естественно был бы это реальный сервер и железо бы стояло соответствующее. Но что сделаешь если домашний комп слабоват, но всё это я думаю он всё же потянет. Память, да согласен давно уже пора добавть. А как на счёт описанных мною шагов, всё правильно?
Всего записей: 29 | Зарегистр. 21-12-2005 | Отправлено:10:37 22-12-2005
не, лучше чтоб он сам настроил. После установки надо проверить, что на внутреннем интерфейсе в качестве DNS-сервера был указан 192.168.1.1 Для разрешения имён инета можно либо ДНС прописать на внешний интерфейс либо форвардинг сделать.
Всего записей: 628 | Зарегистр. 08-10-2002 | Отправлено:11:30 22-12-2005
dabserver
Ajay Kulshreshtha (Last update 12/1/2005): In my case, the root domain DNS zone did not have this server in the authoritative DNS servers list for this child domain. Besides adding that, I also added the root DNS zone here, as a secondary zone (DNS is AD-integrated in each domain). Now, the 4015 error is no more.
Isaac Koch (Last update 9/14/2005): In my case this was related to a missing FSMO role holder (domain controller). After I seized the role of the defunct server, the problem was solved.
Всего записей: 146 | Зарегистр. 26-08-2003 | Отправлено:17:36 28-12-2005
G14
Добрый фей
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dabserver 1. В моем случае зона корневого домена не содержала этого сервера в списке авторитативных для дочернего домена. Я добавил сервер в список авторитативных, и сделал на этом сервере секондари зону для корневой зоны. 2. В моем случае проблема была в том, что отсутствовал один из хранителей FSMO роли. После захвата роли все наладилось.
Как вариант, можно попробовать поставить в зависимости службе DNS сервера службу Net Logon, например. Это по идее должно притормозить старт DNS.
Добавлено: + я бы поставил политиками Comp. config\Adm. Templates\System\Logon\ Always wait for the network. =enabled
Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору у меня при старте выдает 4004
The DNS server was unable to complete directory service enumeration of zone _msdcs.onua.krog.ukrtel.net. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is «». The event data contains the error.
Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is «». The event data contains the error.
Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».
в АД никаких ошибок нету
домен создавал через мастер при первом запуске выбрал тока АД а днс он сам предложил поставить при установке днс не разрешал делать пересылку запросов так как мой днс сам занимаеца определением инетовских адресов и хостов
немогу еще понять почему на машинах подключеных в домен идут тормоза раньше когда сервер 2003 стоял не подключенный к инету напрямую на нем стоял АД + ДНС то сетка летала даже не приходилось выполнять никаких настроек на клиентах все на настройках по умолчанию было
У меня проблема в следующем, при прохождениии dcdiag в нем показывается следующая ошибка
Starting test: frsevent There are warning or error events withing the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
4015 ошибка microsoft windows dns server service dns server
Вопрос
Между офисами VPN на TMG.
В каждом офисе свое дерево леса. Соответственно свой DC.
Все нормально работает на 2008 r2.
Но поставлена задача перейти на 2012 сервер.
В головном офисе дополнительный контроллер на базе 2012 развернулся и встал на ура.
В других офисах при установке ошибок нет но после перезапуска получил след. проблему.
Каждые три минуты получаю кучу ошибок:
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: «» (может отсутствовать). Данные о событии содержат сведения об ошибке.
Перерыл кучу форумов.
ОТвета нет. Куда копать
На всех сетевых картах прописаны все DNS серверы и последним свой
Может быть проблема в IPV6 которая не маршрутизируется между офисами?
Ответы
Не было делегирования DNS из ROOT-zone и само, хотя галочка при установке стояла, не создалось.
Порядок расположения DNS серверов в настройках адаптера на мою проблему никак не влияет, хотя установив первым сервер localhost получил кучу гемора при репликации ибо установил до того как полностью прошла репликация схемы сайтов.
Ошибка не проявляется.
Репликация после принудительно репликации схемы разделов восстановлена.
Все ответы
Изначальная конфа, где все работало на 2008
вторичный контроллер домена сайта 2
вторичный контроллер домена сайта 3
первичный контроллер домена сайта2
первичный контроллер домена сайта 3
вторичный контроллер сайта1 (2012)
вторичный контроллер домена сайта 2 (2008)
вторичный контроллер домена сайта 3 (2008)
первичный контроллер домена сайта2 (2008)
вторичный контроллер сайта 2 (2012)
первичный контроллер домена сайта3 (2008)
вторичный контроллер сайта 3 (2012)
Проблемы возникают на 2012 сервере
Сразу еще информация
DNS интегрирован в лес
Пробовал и переключать режимы обновления безопасные / опасные и безопасные.
Пробовал разрешать передачи зон ДНС определенным серверам.
DNS интегрирован в лес
Пробовал и переключать режимы обновления безопасные / опасные и безопасные.
Пробовал разрешать передачи зон ДНС определенным серверам.
Особенности поведения и «ошибка 4015» много раз поднималась на форумах технет.
Установите первым DNS IP контроллера, вторым- соседа по площадке.
согласен что взаимо исключающие.
Форумы перерыл. проверил все что можно. Результат нулевой.
Попробовал поиграть с ip по вашей рекомендации.
DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: «» (может отсутствовать). Данные о событии содержат сведения об ошибке.
Active Directory? Ask me how.
ipv6 включено и настроено.
у меня подозрение что проблема из-за того что vpn между сайтами не передает ipv6
dcdiag дает только уже исправленую! ошибку репликации sysvol
Но в данном случае, ошибка однозначно не в доступе к DNS, а наоборот, DNS не может подключиться по ldap к AD. Поскольку под 2008R2 всё то же самое работает, можно предположить особенности конфигурации привязок и/или файрвола (собственного).
dcdiag дает только уже исправленую! ошибку репликации sysvol
Active Directory? Ask me how.
dcdiag дает только уже исправленую! ошибку репликации sysvol
Active Directory? Ask me how.
Ошибка устранилась сама собой после прохождения межсайтовой репликации.
И кроме того, позволю себе заметить, что будет необходимо еще и разрешить 51 TCP, чего не требуется при интеграции зоны.
Можно пруф? А то интересно стало, почему.
Ошибка устранилась сама собой после прохождения межсайтовой репликации.
Есть мысли: попробую осуществить.
1) ошибка dns в 2012 сервере возникает из за того, что протокол ipv6 не маршрутизируется через vpn.
попробую сделать две вещи
а) попытаюсь пробросить тоннель используя ipv6in4 используя статью social.technet.microsoft.com/Forums/forefront/en-US/89ac693e-c296-49fa-b5b4-20615312f8c5/good-guide-for-using-tmg-as-a-gateway-for-6to4-tunneling-over-sitetosite-vpn
б) уберу вторичный сервер домена находящийся на другом сайте
благо сайта три и можно поэкспериментировать.
1) ошибка dns в 2012 сервере возникает из за того, что протокол ipv6 не маршрутизируется через vpn.
>Может быть проблема в IPV6 которая не маршрутизируется между офисами?
Нет. Забудьте про это предположение. В чем ошибка, сообщается в ее тексте. И в моем первом посте.
Можно пруф? А то интересно стало, почему.
Э-э. пруф на что? Диагностику Best Practices Analyzer, выдаваемую при обнаружении собственного адреса DC с установленным DNS первым в списке DNS? Я смотрел на неё на собственных системах. Предполагаю, что можно без проблем повторить самостоятельно ;).
На тему «почему», имел ещё в начале 0-вых годов дискуссию с одним хорошим человеком (обычно ставил «собственный» адрес именно первым, и BPA тогда не было). Один из аргументов (его), поведение AD при смене статического IP контроллера домена, когда, в случае указания DNS-партнёров первыми, переходные процессы (правильная репликация) завершаются быстрее.
Другой момент можно видеть в логах процесса загрузки «одинокого» DC с интегрированными зонами, когда запускаемый DNS хочет получить информацию из AD, а AD хочет обратиться к работающему DNS. Оно, конечно, устаканивается, но с некоторой задержкой. Указание DNS-партнёра первым в списке убирает таймаут при попытке обращения к собственному, ещё не стартовавшему DNS.
Но мы несколько уклонились, прямого отношения к исходному вопросу это не имеет. 🙂
