Возможная причина ошибка разрешения имен

Ошибка 14550 DfsSvc и netlogon 5781 на контроллере домена

Добрый день уважаемые читатели, в прошлый раз мы с вами решали ошибку: an error occurred while attempting to read the boot configuration data, на сервере, восстанавливая его нормальную загрузку. Сегодня переключим свое внимание на Active Directory, а именно рассмотрим как и из-за чего выскакивают ошибки: 14550 и netlogon 5781 на контроллере домена Windows Server 2012 R2. После переноса одного контроллера домена из одного сайта в другой.

Ошибка 14550 службы DfsSvc

Рассказываю историю. Было два сайта Active Directory, от одного избавились и перенесли контроллер домена в первый сайт, после чего второй сайт удалили. Был переезд и контроллер домена был выключен, дня три или четыре, после его включения на контроллере домена стали появляться вот такие ошибки.

Во первых проверьте сетевое соединение и разрешение другого домена вашим DNS сервером. Для примера у меня есть домен msk.contoso.com и просто contoso.com, бывают случаи, что в домене msk.contoso.com может не разрешаться домен contoso.com, ниже расскажу почему. Во первых откройте командную строку от имени администратора. И попробуйте пропинговать contoso.com, у вас естественно это будет другой домен с которым у вас не получилось инициализировать сведения о доверительных отношениях.

Выполняем команду ping и пробуем проверить доступ, у меня сразу выскочило, что при проверке не удалось обнаружить узел. Проверьте имя узла и повторите попытку. Попробовав пропинговать по ip адресу, я увидел, что он так же не доступен. По трассировке, маршрут то же уходил в неизвестность. Вот и выявилась проблема, это физическая доступность.

Что я сделал, это посмотрел таблицу маршрутизации и прописал статический маршрут, после чего пинги пошли.

Как только вы восстановили сетевое взаимодействие, у вас ошибка 14550 DfsSvc, должна пропасть. Если после перезагрузки она осталась, то сделайте вот такую вещь. Откройте редактор реестра Windows, для этого жмем Win+R и вводим regedit.

Переходим в ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dfs и изменяем там параметр DapandOnService.

Откройте его, в него нужно добавить значение NTDS

Еще так же нужно создать ключ реестра DWORD со значением DelayedAutoStart 1

Перезагружаемся и видим, что теперь в просмотре событий пропало сообщение: Службе пространства имен не удалось инициализировать сведения о доверительных отношениях между лесами на этом контроллере домена; она будет периодически повторять выполнение операции. Код возврата находится в данных.

Выполните команду Nltest /query если нашлись ошибки, пробуйте восстановить безопасный канал, ссылка чуть выше. Если это не помогло устранить ошибку 14550 DfsSvc, то проверьте нет ли ошибок с доверительными отношениями между лесами, посмотреть это можно командой

У вас могут быть проблемы с доступом с кодом 0xc00000be.

Как только вы устранили все проблемы с сетевым взаимодействием, то проверьте делается ли реплика, для этого вы можете запустить репликацию Active Directory вручную.

Проверьте, чтобы команда SyncAll была завершена без ошибок.

Ошибка netlogon 5781

И так после устранения ошибки 14550 DfsSvc у вас может появиться ошибка netlogon 5781, хотя и совместно они могут присутствовать. Полный текст звучит вот так:

Кто не в курсе NETLOGON это служба DNS.

В журналах событий для DNS вы можете обнаружить вот такое сообщение: Разрешение имен для имени истекло после отсутствия ответа от настроенных серверов DNS (Код события 1014 в DNS Client Events). Тут решением будет проверить разрешается ли с данного компьютера или контроллера домена нужное имя DNS (зона), и проверяйте сетевые настройки как выше и DNS сервера.

Так же отголосками netlogon 5781 могут отражать в ошибке с кодом 4515 DNS-Server-Service: Зона in-addr ранее была загружена из раздела каталога DomainDnsZones, но новая копия зоны найдена в разделе каталога ForestDnsZones. DNS-сервер не будет использовать новую копию зоны. Необходимо разрешить данный конфликт как можно скорее.

Если с сетевым подключением у вас все отлично, то попробуйте вот такой еще вариант. В начале нужно проверить с помощью специальной утилиты репликацию DFS, так как именно этот механизм работает в Active Directory. Делается это командой dcdiag.

  • /a > это в рамках домена
  • /e > в рамках предприятия
  • Можете как раз тут отследить ошибки репликации папки SysVOL.

    Так же советую попробовать на контроллере домена, где выскакивает ошибка netlogon 5781, вот такую вещь, а именно удалить файлы:

    Сохраняем их копию и будем удалять исходные, после чего они пересоздадуться. Во первых открываем командную строку от имени администратора, далее вводим команду

    ipconfig /registerdns (регистрируем запись компьютера в DNS, на всякий случай)

    net stop netlogon (останавливаем службу)

    Копируем файлы netlogon.dns и netlogon.dnb в надежное место, после чего удаляем их из C:\Windows\System32\config

    Запускаем службу командой net start netlogon и перезагружаемся.

    Проверяем наличие ошибки netlogon 5781, она должна пропасть.

    Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2

    Всем привет сегодня разберем как решается ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2. Симптомы у данного сообщения, не обрабатываются групповые политики и не правильно могут разрешаться имена.

    Вот как более детально выглядит ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.

    Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена

    Проверка разрешения имен

    Первым делом нужно проверить может ли наш сервер правильно разрешать внутренние доменные имена. Для этого воспользуемся утилитой nslookup. Выберите любое доменное имя сервера или лучше контроллера домена. Открываем командную строку и пишем

    dc1 это мой контроллер домена. Как видите у меня локальные DNS имена разрешал, внешний DNS сервер, так как на сервере стоит два сетевых интерфейса и один со внешним ip адресом.

    причину мы выяснили, из за чего выскакивает ошибка.

    Приоритетность контроллеров домена

    Давайте теперь посмотрим, какой из контроллеров домена является для вашего сервера самым авторитетным, ранее я уже рассказывал как определить какой domain controller вас авторизовал, но нам нужен авторитет в вашем домене и возможность обращение к нему по LDAP. Делается это командой

    Я вижу что у меня это dc2, его ip адрес мне и понадобится.

    Так же нужно проверить доступность DC по протоколу RPC, с помощью команды

    доступность DC по протоколу RPC

    В данном случае проблем я не обнаружил. Пилим дальше.

    Настройка DNS на внешнем сетевом интерфейсе

    Так как мы выяснили ip адрес контроллера домена, что нас авторизовывал, его мы и пропишем в качестве DNS сервера на внешнем сетевом интерфейсе. В свойствах ipv4 прописываем его как основной DNS сервер. Напомню, что для разрешения внешних имен у вас должна быть настроена рекурсия на ДНС сервере.

    настройка dns сервера

    Теперь снова выполним команду nslookup и видим, что теперь внутренние имена разрешаются внутренним DNS сервером.

    Выполним теперь обновление групповой политики с помощью данной команды

    Видим, что все обновилось корректно и проблема при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2 ушла.

    Из скрина выше видно что прилетели 24 политики. На этом все.

    pyatilistnik.org

    Устранение неполадок подключения к Advanced Threat Protection в Защитнике Windows

    В этой статье

    Область применения:

    • Windows 10 Корпоративная
    • Windows 10 для образовательных учреждений
    • Windows 10 Pro
    • Windows 10 Pro для образовательных учреждений
    • Advanced Threat Protection в Защитнике Windows (ATP в Защитнике Windows)
    • WindowsServer2012R2
    • WindowsServer2016

    При возникновении проблем может потребоваться выполнить процесс устранения неполадок подключения к ATP в Защитнике Windows. На этой странице приведены подробные инструкции по устранению неполадок подключения, которые могут возникнуть при развертывании с помощью одного из средств развертывания, а также распространенных ошибок, возникающих в конечных точках.

    Если процесс подключения конечных точек завершен, но спустя час конечные точки отсутствуют в представлении Компьютеры, это может указывать на проблему, связанную с подключением конечных точек или соединением.

    Устранение неполадок подключения при развертывании с использованием групповой политики

    Развертывание с использованием групповой политики осуществляется путем запуска сценария подключения в конечных точках. На консоли управления групповыми политиками отсутствует информация об успешности развертывания.

    Если процесс подключения конечных точек завершен, но спустя час конечные точки отсутствуют в представлении Компьютеры, можно проверить результат выполнения сценария в конечных точках. Дополнительные сведения см. в разделе Устранение неполадок подключения при развертывании с помощью сценария в конечной точке.

    Если сценарий выполнен успешно, см. список возможных дополнительных ошибок в разделе Устранение неполадок подключения в конечной точке.

    Устранение неполадок подключения при развертывании с помощью System Center Configuration Manager

    При подключении конечных точек с помощью следующих версий System Center Configuration Manager:

  • System Center 2012 Configuration Manager
  • System Center 2012 R2 Configuration Manager
  • System Center Configuration Manager (current branch) версии 1511
  • System Center Configuration Manager (current branch) версии 1602
  • Развертывание с помощью вышеперечисленных версий System Center Configuration Manager осуществляется путем запуска сценария подключения в конечных точках. Отслеживать развертывание можно в консоли диспетчера настройки.

    Если выполнить развертывание не удается, проверьте результат выполнения сценария в конечных точках.

    Если подключение выполнено успешно, но спустя час конечные точки не отображаются в представлении Компьютеры, см. список возможных дополнительных ошибок в разделе Устранение неполадок подключения в конечной точке.

    Устранение неполадок подключения при развертывании с помощью сценария в конечной точке

    Проверьте результат выполнения сценария в конечной точке:

    Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу Ввод.

    Выберите Журналы Windows > Приложение.

    Выполните поиск события в источнике событий WDATPOnboarding.

    Если выполнить сценарий не удается и в результате поиска события обнаруживается ошибка, для устранения проблемы можно проверить код события в представленной ниже таблице.

    Следующие события относятся только к сценарию подключения.

    docs.microsoft.com

    Возможная причина ошибка разрешения имен

    Общие обсуждения

    Добрый день. Примерно раз в неделю выскакивает ошибка:

    Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно. Источник GroupPolicy, код 1054.

    Практически сразу за ней :

    Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине:
    Сервер RPC недоступен. Источник NETLOGON, код 5719

    На сервере крутится SQL 2008, сервер терминалов и сервер 1С v8.

    Сразу после ошибки, на сервер теминалов не возможно зайти. Подключение клиентов 1С, так же не возможно. По данным ошибка нашел ответ от майкрософт — обновить систему. Поставил все обновления, проблема осталась. Решается временно перезагрузкой сервера. Других ошибок в системе нет.

    • Изменено ivldenis1 5 июня 2014 г. 11:10
    • Изменен тип Petko Krushev Microsoft contingent staff, Moderator 16 июня 2014 г. 8:53
    • Все ответы

      ipconfig /all с компьютера приведите, пожалуйста.

      И уточните, какой IP-адрес у КД и что используется в качестве шлюза в Интернет (если он есть).

      Сетевые контроллеры объединены в Adaptive load balancing. ip у контроллера домена 169.254.0.4 (диапазон локальных адресов не я создавал, но думаю не в этом дело). Шлюз — Cisco 881-pci-k9. Все устройства заведены в неуправляемые коммутаторы cisco.

      Настройка протокола IP для Windows

      Имя компьютера . . . . . . . . . : 1C
      Основной DNS-суффикс . . . . . . : DOMAIN.METIZ.RU
      Тип узла. . . . . . . . . . . . . : Гибридный
      IP-маршрутизация включена . . . . : Нет
      WINS-прокси включен . . . . . . . : Нет
      Порядок просмотра суффиксов DNS . : DOMAIN.METIZ.RU

      Ethernet adapter Подключение по локальной сети 5:

      DNS-суффикс подключения . . . . . :
      Описание. . . . . . . . . . . . . : TEAM : Team #0
      Физический адрес. . . . . . . . . : 60-A4-4C-24-85-D3
      DHCP включен. . . . . . . . . . . : Нет
      Автонастройка включена. . . . . . : Да
      IPv4-адрес. . . . . . . . . . . . : 169.254.0.5(Основной)
      Маска подсети . . . . . . . . . . : 255.255.0.0
      Основной шлюз. . . . . . . . . : 169.254.0.3
      DNS-серверы. . . . . . . . . . . : 169.254.0.4
      NetBios через TCP/IP. . . . . . . . : Включен

      Состояние среды. . . . . . . . : Среда передачи недоступна.
      DNS-суффикс подключения . . . . . :
      Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
      Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
      DHCP включен. . . . . . . . . . . : Нет
      Автонастройка включена. . . . . . : Да

      Туннельный адаптер Teredo Tunneling Pseudo-Interface:

      Состояние среды. . . . . . . . : Среда передачи недоступна.
      DNS-суффикс подключения . . . . . :
      Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
      Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
      DHCP включен. . . . . . . . . . . : Нет
      Автонастройка включена. . . . . . : Да

      Похожая проблема была несколько лет назад но на server 2008r2. Тогда решилась только переустановкой ОС. Сеичас проблема повторилась на другом сервере с ОС 2012R2. Сервер рядовой (не контроллер), развернут сервер терминалов и SQL. Буквально как с месяц сервер, примерно с периодичностью раз в неделю, стал вылетать из домена. Т.е. прекращается авторизация доменных пользователей — Отказ в Доступе. Локально авторизовывает без проблем. Журнал начинает фиксировать в начале такое предупреждение:

      Произошла ошибка TCP/IP при попытке установить исходящее подключение, так как выбранная локальная конечная точка недавно использовалась для подключения к той же удаленной конечной точке. Эта ошибка обычно возникает тогда, когда исходящее подключение открывается и закрывается с высокой частотой, в результате чего все доступные локальные порты используются и протокол TCP/IP должен повторно использовать локальный порт для исходящего подключения. Для уменьшения риска повреждения данных стандарт TCP/IP требует, чтобы существовал минимальный промежуток времени между последовательными подключениями из определенной начальной точки к определенной конечной точке.

      Предупреждение событие 4231

      Не удалось выполнить запрос на выделение не являющегося реальным номера порта из глобального пространства TCP-портов, так как все подобные порты уже используются.

      Далее с разницей в 11 минут, еще три раза 4227.

      дальше,скорее всего вытекающие ошибки:

      Ошибка при обработке групповой политики. Windows пыталась получить новые параметры групповой политики для этого пользователя или компьютера. На вкладке «Подробности» можно найти код и описание ошибки. Windows автоматически повторит попытку выполнения этой операции при следующем цикле обновления. Присоединенные к домену компьютеры должны успешно проходить процесс разрешения имени и иметь подключение к контроллеру домена для обнаружения новых объектов групповой политики и их параметров. Когда обработка групповой политики будет выполнена успешно, это событие будет записано в журнал.

      Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.

      Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине:
      Сервер RPC недоступен.
      Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

      Дополнительные сведения
      Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена

      Проблема решается только перезагрузкой системы. Где то через неделю все повторяется с таких же событий, далее такие же ошибки. Все в таком порядке. На пользователей, что уже были подключены к терминалу, ни проблема не влияет, пока не выйдут из сеанса. Уж больно не хочется опять переустанавливать сервер. Может было у кого то же самое?

      social.technet.microsoft.com