Устранение неполадок с идентификатором события DNS 4013 (DNS-серверу не удалось загрузить зоны DNS, интегрированные с AD)
В этой статье устранено событие с идентификатором 4013, зарегистрированное в журнале событий DNS контроллеров домена, на которых размещена роль DNS-сервера после запуска Windows.
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2001093
Симптомы
На компьютере под управлением Windows, на котором размещены контроллеры домена Active Directory, роли DNS-сервера перестают отвечать на запросы в течение 15–25 минут. Эта проблема возникает после отображения сообщения Подготовка сетевых подключений и перед отображением запроса на вход в Windows (CTRL+ALT+DEL).
Следующий идентификатор события DNS 4013 регистрируется в журнале событий DNS контроллеров домена, на которых размещена роль DNS-сервера после запуска Windows:
Event Type: Warning Event Source: DNS Event Category: None Event ID: 4013 Date: Date Time: Time User: N/A Computer: ComputerName Description: The DNS server was unable to open the Active Directory. This DNS server is configured to use directory service information and can not operate without access to the directory. The DNS server will wait for the directory to start. If the DNS server is started but the appropriate event has not been logged, then the DNS server is still waiting for the directory to start. For more information, see Help and Support Center at https://go.microsoft.com/fwlink/events.asp. Data: 0000: <%status code%>
В этой записи журнала значения <%Status code%> могут не регистрироваться. Кроме того, они включают, но не ограничиваются следующими значениями:
Hex Байт Десятичное число Символические Строка ошибки 000025f5 f5 25 00 00 9717 DNS_ERROR_DS_UNAVAILABLE Служба каталогов недоступна 0000232d 2d 23 00 00 9005 DNS_ERROR_RCODE_REFUSED Операция DNS отклонена. 0000232a 2a 23 00 00 9002 DNS_ERROR_RCODE_SERVER_FAILURE Сбой DNS-сервера.
Примеры сценариев клиентов
Несколько контроллеров домена на сайте Active Directory, которые одновременно перезагружаются.
- Домен с двумя контроллерами домена развертывается в одном центре обработки данных.
- Роль DNS-сервера устанавливается на обоих контроллерах домена, и на ней размещаются копии _msdcs, интегрированные с AD.<корневой домен> леса и доменные зоны Active Directory.
- DC1 настроен на использование DC2 для предпочитаемого DNS, а сам — для альтернативной DNS.
- DC2 настроен на использование DC1 для предпочитаемого DNS, а сам — для альтернативной DNS.
- Все контроллеры домена имеют источники бесперебойного питания (ИП) и резервные копии электрических генераторов.
- В центре обработки данных часто возникают перебои в подаче электроэнергии от 2 до 10 часов. Устройства UPS поддерживают работу контроллеров домена до тех пор, пока генераторы не поставляют питание, но они не могут запускать систему кондиционирования воздуха. Защита от температуры, встроенная в компьютеры класса сервера, отключает контроллеры домена, когда внутренняя температура достигает пределов производителя.
- После восстановления питания контроллеры домена зависают на 20 минут. Эта проблема возникает после отображения параметра Подготовка сетевых подключений и перед отображением запроса на вход.
- Событие DNS с идентификатором 4013 регистрируется в журнале событий DNS.
Открытие консоль управления DNS (DNSMGMT. MSC) завершается сбоем и создает следующее сообщение об ошибке:
Не удалось связаться с именем> компьютера сервера<. Ошибка: сервер недоступен. Вы хотите добавить его в любом случае?
Открытие оснастки Пользователи и компьютеры Active Directory (DSA. MSC) создает следующее сообщение об ошибке:
Не удалось найти сведения об именовании
Отдельные контроллеры домена на сайте Active Directory
Один контроллер домена развертывается на сайте.
Роль DNS-сервера установлена, и на ней размещаются копии _msdcs, интегрированные с AD.<корневой домен> леса и доменные зоны Active Directory.
Контроллер домена указывает на себя для предпочитаемого DNS.
Контроллер домена не имеет указанного альтернативного DNS-сервера или указывает на контроллер домена по каналу глобальной сети (WAN).
Контроллер домена перезапущен из-за сбоя питания.
Во время перезапуска канал глобальной сети может оказаться неработоспособным.
При запуске контроллера домена он может зависать в течение 20 минут. Эта проблема возникает после отображения параметра Подготовка сетевых подключений и перед отображением запроса на вход.
Событие DNS с идентификатором 4013 регистрируется в журнале событий DNS.
Открытие консоль управления DNS (DNSMGMT. MSC) завершается сбоем и создает следующее сообщение об ошибке:
Не удалось связаться с именем> компьютера сервера<. Ошибка: сервер недоступен. Вы хотите добавить его в любом случае?
Открытие оснастки Пользователи и компьютеры Active Directory (DSA. MSC) создает следующее сообщение об ошибке:
Не удалось найти сведения об именовании.
Причина
Копия Active Directory в некоторых контроллерах домена содержит ссылки на другие контроллеры домена в лесу. Эти контроллеры домена пытаются реплицировать входящий трафик все локальные секции каталога во время запуска Windows в рамках начальной синхронизации или синхронизации инициализации.
При попытке загрузить последнее содержимое зоны DNS DNS серверы Microsoft DNS, на которых размещены интегрированные с AD копии зон DNS, задерживают запуск службы DNS в течение нескольких минут после запуска Windows. Задержка не произойдет, если Служба Active Directory завершила начальную синхронизацию во время запуска Windows. Между тем Active Directory отложена от входящего репликации секций каталогов. Репликация откладывается до тех пор, пока она не сможет разрешить GUID CNAME исходного контроллера домена в IP-адрес НА DNS-серверах, используемых конечным контроллером домена для разрешения имен. Длительность зависания при подготовке сетевых подключений зависит от количества локальных секций каталога, находящихся в копии Active Directory контроллера домена. Большинство контроллеров домена имеют по крайней мере следующие пять секций:
- Схемы
- configuration
- domain
- раздел приложения DNS на уровне леса
- раздел приложения DNS на уровне домена
Эти контроллеры домена могут столкнуться с задержкой запуска на 15–20 минут. Наличие дополнительных секций увеличивает задержку запуска.
Идентификатор события DNS 4013 в журнале событий DNS указывает на задержку запуска службы DNS. Это связано с тем, что входящая репликация секций Active Directory не выполнялась.
Несколько условий могут усугубить следующие проблемы:
- медленный запуск Windows
- ведение журнала события DNS 4013 на DNS-серверах, настроенных для размещения зон, интегрированных с AD, которые неявно находятся на компьютерах, выступающих в качестве контроллеров домена.
К этим условиям относятся:
- Настройка DNS-сервера, на котором размещены зоны DNS, интегрированные с AD. Его копия Active Directory содержит сведения о других контроллерах домена в лесу, указывающих на себя исключительно для разрешения DNS-имен.
- Настройка DNS-сервера, на котором размещены зоны DNS, интегрированные с AD. Его копия Active Directory содержит сведения о других контроллерах домена в лесу, указывающих DNS-серверы, которые либо не существуют, находятся в автономном режиме, недоступны в сети, либо на которых не размещаются необходимые зоны и записи, необходимые для репликации Active Directory во входящего трафика. Примеры включают запись GUID CNAME контроллера домена и соответствующую запись узла A или AAAA потенциальных исходных контроллеров домена.
- Загрузка контроллера домена и DNS-сервера, на котором размещены зоны DNS, интегрированные с AD. Его копия Active Directory содержит знания других контроллеров домена о том, что фактически является изолированной сетью, так как:
- Сетевой адаптер или сетевой стек на вызывающем или целевом компьютере отключен или не работает.
- Контроллер домена загружен в изолированной сети.
- Копия Active Directory локального контроллера домена содержит ссылки на устаревшие контроллеры домена, которые больше не существуют в сети.
- Копия Active Directory локального контроллера домена содержит ссылки на другие контроллеры домена, которые в настоящее время отключены.
- Проблема возникает в исходном контроллере домена, контроллере целевого домена, dns-инфраструктуре или сетевой инфраструктуре. Таким образом, копия Active Directory локального контроллера домена содержит ссылки на другие контроллеры домена, которые находятся в сети и доступны, но не могут быть успешно реплицированы.
В Windows Server 2003 и Windows 2000 Server с пакетом обновления 3 (SP3) или более поздней версии контроллеры домена, на которых размещены операции master роли, также должны успешно реплицировать входящие изменения в секции каталога, которая поддерживает операции master состояние роли. Перед выполнением операций, зависящих от FSMO, необходимо выполнить успешную репликацию. Такие начальные синхронизации были добавлены, чтобы контроллеры домена были согласны с владением ролью FSMO и состоянием роли. Первоначальные требования к синхронизации, необходимые для работы ролей FSMO, отличаются от первоначальной синхронизации, описанной в этой статье, когда Active Directory должна выполнить входящую репликацию, чтобы немедленно запустить службу DNS-сервера.
Разрешение
Некоторые материалы Майкрософт и внешние материалы рекомендовали установить для реестра значение Repl Perform Initial Synchronizations
0 , чтобы обойти первоначальные требования к синхронизации в Active Directory. Конкретный подраздел реестра и значения для этого параметра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Имя значения: Repl Выполняет начальную синхронизацию
Тип значения: REG_DWORD
Значение данных: 0
Это изменение конфигурации не рекомендуется использовать в рабочих средах или в любой среде на постоянной основе. Использование Repl Perform Initial Synchronizations
должно использоваться только в критических ситуациях для решения временных и конкретных проблем. После устранения таких проблем необходимо восстановить значение по умолчанию.
Другие возможные варианты:
Удалите ссылки на устаревшие контроллеры домена.
Внесите автономные или неработоспособные контроллеры домена в рабочее состояние.
Контроллеры домена, на которые размещены зоны DNS, интегрированные с AD, не должны указывать на один контроллер домена и, особенно, только на себя в качестве предпочтительного DNS для разрешения имен.
Регистрация DNS-имен и разрешение имен для контроллеров домена — это относительно упрощенная операция, которая в значительной степени кэшируется DNS-клиентами и серверами.
Настройка контроллеров домена для указания IP-адреса одного DNS-сервера, включая адрес замыкания на себя 127.0.0.1, представляет собой одну точку сбоя. Этот параметр допускается в лесу с одним контроллером домена, но не в лесах с несколькими контроллерами домена.
Контроллеры домена сайта-концентратора должны указывать на DNS-серверы на том же сайте, что и они, для предпочтительного и альтернативного DNS-сервера, а затем на себя в качестве другого альтернативного DNS-сервера.
Контроллеры домена сайта филиала должны настроить предпочтительный IP-адрес DNS-сервера, чтобы он указывал на DNS-сервер центрального сайта, альтернативный IP-адрес DNS-сервера, указывающий на DNS-сервер внутри сайта или на ближайший доступный сайт, и, наконец, на себя, используя адрес замыкания на цикл 127.0.0.1 или текущий статический IP-адрес.
Указание на DNS-серверы центрального сайта сокращает количество прыжков, необходимых для полной регистрации записей SRV и HOST критически важного контроллера домена. Контроллеры домена на главном сайте, как правило, получают наибольшее административное внимание. Обычно они имеют самую большую коллекцию контроллеров домена на том же сайте. Так как они на одном и том же сайте, происходит репликация изменений между собой:
- каждые 15 секунд в Windows Server 2003 или более поздней версии
- каждые пять минут в Windows 2000 Server
Такое поведение делает такие записи DNS хорошо известными.
Регистрация записей SRV динамического контроллера домена и узлов A и AAAA может не выполняться, если регистрируемый контроллер домена на сайте филиала не может реплицировать исходящий трафик.
Рядовые компьютеры и серверы должны по-прежнему указывать на dns-серверы, оптимальные для сайта, в качестве предпочтительного DNS. Кроме того, они могут указывать на DNS-серверы вне сайта для дополнительной отказоустойчивости.
Ваша конечная цель — предотвратить возникновение отказа в обслуживании при балансировке затрат, рисков и использования сети, таких как:
- Задержка репликации и сбои репликации
- сбои оборудования, сбои программного обеспечения
- операционные методики
- кратковременные и долгосрочные перебои в подаче электроэнергии
- пожар, кража, наводнение и землетрясения
- террористические события
Убедитесь, что контроллеры домена назначения могут разрешать исходные контроллеры домена с помощью DNS (например, избегайте резервного использования).
Убедитесь, что контроллеры домена могут успешно разрешать управляемые записи CNAME для размещения записей текущих и потенциальных исходных контроллеров домена. Это позволяет избежать высокой задержки, которая появилась в резервной логике разрешения имен.
Контроллеры домена должны указывать на DNS-серверы, которые:
- Доступны при запуске Windows.
- Размещение, пересылка или делегирование _msdcs.<корневой домен> леса и основные зоны DNS-суффикса для текущих и потенциальных контроллеров домена источника.
- Может разрешать текущие записи GUID CNAME (например,
dded5a29-fc25-4fd8-aa98-7f472fc6f09b._msdcs.contoso.com
) и записи узлов текущих и потенциальных исходных контроллеров домена.
Отсутствующие, повторяющиеся или устаревшие записи CNAME и узлов способствуют возникновению этой проблемы. Очистка не включена на DNS-серверах Майкрософт по умолчанию, что повышает вероятность устаревших записей узла. В то же время очистка DNS может быть настроена слишком агрессивно, что приводит к преждевременной очистке допустимых записей из зон DNS.
Оптимизируйте контроллеры домена для резервного разрешения имен.
Невозможность правильно настроить DNS, чтобы контроллеры домена могли разрешать записи GUID CNAME контроллера домена в записи размещения в DNS. Чтобы обеспечить сквозную репликацию секций Active Directory, контроллеры домена Windows Server 2003 с пакетом обновления 1 (SP1) и более поздних версий были изменены для выполнения резервного разрешения имен:
- от guid CNAME контроллера домена до полного имени узла.
- от полного имени узла до имени компьютера NetBIOS.
Идентификаторы событий репликации NTDS 2087 и 2088 в журналах событий службы каталогов указывают на то, что:
- контроллеру домена назначения не удалось разрешить запись GUID CNAME контроллера домена в запись узла.
- Возникает резервный вариант разрешения имен.
WinS, HOST-файлы и файлы LMHOST можно настроить. Таким образом, контроллеры домена назначения могут разрешать имена текущих и потенциальных исходных контроллеров домена. Из трех решений использование WINS является более масштабируемым, так как WINS поддерживает динамические обновления.
IP-адреса и имена компьютеров неизбежно устареют. Эта проблема приводит к тому, что статические записи в файлах HOST и LMHOST со временем становятся недопустимыми. При возникновении этой проблемы запросы для одного контроллера домена могут быть неправильно разрешены другому контроллеру домена. И в трассировке сети запрос имени не наблюдается.
Измените значение запуска службы DNS-сервера на вручную при загрузке в известной неправильной конфигурации.
При загрузке контроллера домена в известной неправильной конфигурации, описанной в этой статье, выполните следующие действия.
- Задайте значение запуска службы DNS-сервера вручную.
- Перезагрузите, дождитесь объявления контроллера домена.
- Перезапустите службу DNS-сервера.
Если для службы DNS-сервера задано значение вручную, Active Directory не дожидается запуска службы DNS-сервера.
Дополнительные сведения
Избегайте отдельных точек сбоя.
Ниже приведены примеры отдельных точек сбоя.
- Настройка контроллера домена для указания IP-адреса с одним DNS-сервером
- Размещение всех DNS-серверов на гостевых виртуальных машинах на одном физическом хост-компьютере
- Размещение всех DNS-серверов на одном физическом сайте
- Ограничение сетевого подключения таким образом, чтобы контроллеры домена назначения имели только один сетевой путь для доступа к KDC или DNS-серверу
Установите достаточное количество DNS-серверов для обеспечения производительности локальной, региональной и корпоративной избыточности, но не настолько много, что управление становится бременем. DNS обычно является упрощенной операцией, которая часто кэшируется DNS-клиентами и DNS-серверами.
Каждый DNS-сервер Майкрософт, работающий на современном оборудовании, может удовлетворить 10 000–20 000 клиентов на сервер. Установка роли DNS на каждом контроллере домена может привести к чрезмерному количеству DNS-серверов на предприятии. И это приведет к увеличению затрат.
По возможности перезагружайте DNS-серверы на предприятии.
- Установка некоторых исправлений, пакетов обновления и приложений может потребовать перезагрузки.
- Некоторые клиенты перезагружает контроллеры домена по расписанию (каждые семь дней, каждые 30 дней).
- Запланируйте перезагрузки и установку программного обеспечения, которое требует перезагрузки, разумным образом. Это позволяет предотвратить перезагрузку единственного DNS-сервера или потенциального партнера по репликации источника, на который указывает контроллер домена назначения для разрешения имен.
Если клиентский компонент Центра обновления Windows или программное обеспечение для управления устанавливает программное обеспечение, требующее перезагрузки, перезагрузите установки на целевых контроллерах домена, чтобы половина доступных DNS-серверов, на которые указывают контроллеры домена для разрешения имен, перезагрузились одновременно.
Установите устройства UPS в стратегически важных местах, чтобы обеспечить доступность DNS во время кратковременных отключений питания.
Дополните DNS-серверы с поддержкой UPS генераторами на месте.
Чтобы справиться с длительными сбоями, некоторые клиенты развернули электрические генераторы на месте, чтобы обеспечить подключение ключевых серверов. Некоторые клиенты обнаружили, что генераторы могут питать серверы в центре обработки данных, но не локальный HVAC. Отсутствие кондиционирования воздуха может привести к отключению локальных серверов, когда температура внутреннего компьютера достигает определенного порогового значения.
Дополнительная информация
10 мая 2010 г. тестирование группой разработчиков Active Directory:
DNS ожидает NTDS и не может запуститься до завершения начальной репликации каталога. Это связано с тем, что последние данные DNS еще не могут быть реплицированы на контроллер домена. С другой стороны, NTDS требуется DNS для разрешения IP-адреса исходного контроллера домена для репликации. Предположим, что DC1 указывает на DC2 в качестве DNS-сервера, а DC2 — на DC1 в качестве DNS-сервера. При одновременной перезагрузке DC1 и DC2 происходит медленный запуск из-за этой взаимной зависимости. Основная причина такого медленного запуска — DNSQueryTimeouts.
Если служба DNS-сервера работает хорошо при запуске NTDS, NTDS принимает только два ЗАПРОСА DNS для разрешения IP-адреса исходного контроллера домена:
- один для IPv4
- другой для IPv6
И эти запросы DNS возвращаются почти мгновенно.
Если служба DNS-сервера недоступна при запуске NTDS, NTDS потребуется отправить 10 ЗАПРОСОВ DNS для разрешения IP-адреса:
- четыре для имени на основе GUID
- четыре для полного имени
- два для имени с одной меткой
Задержка для каждого запроса DNS управляется DNSQueryTimeouts. По умолчанию параметр DNSQueryTimeouts имеет значение 1 1 2 4. Это означает, что DNS-клиент будет ожидать 12 секунд (1 + 1 + 2 + 4 + 4) секунды для ответа DNS-сервера. Для разрешения IP-адреса для каждого источника контекста именования требуется 120 секунд. Предположим, что существует пять контекстов именования (Конфигурация, Схема, домен, ForestDnsZones, DomainDnsZones) и один источник репликации. В этом сценарии для завершения начальной репликации NTDS потребуется 850 (170 x 5) секунд или больше 14 минут.
Для проверки указанного выше поведения было выполнено несколько тестов.
Перезагрузите контроллер домена, если DNS-сервер является третьим контроллером домена, подключенным к сети. Для каждого контекста именования каждого источника у нас есть два ЗАПРОСА DNS, и они завершаются почти мгновенно:
in I_DRSGetNCChanges, NC = CN=Configuration,DC=contoso,DC=com in getContextBindingHelper, pszAddress = dded5a29-fc25-4fd8-aa98-7f472fc6f09b._msdcs.contoso.com in resolveDnsAddressWithFallback GUID based DNS name in GetIpVxAddrByDnsNameW in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:31:40.534 end GetAddrInfoW: 22:31:40.534 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:31:40.534 end GetAddrInfoW: 22:31:40.534
Перезагрузите DC1 и DC2 одновременно. DC1 использует DC2 для DNS DC2 и DC1 для DNS. Для каждого контекста именования каждого источника у нас есть 10 запросов DNS, и каждый запрос занимает около 12 секунд:
in I_DRSGetNCChanges, NC = CN=Configuration,DC=contoso,DC=com in getContextBindingHelper, pszAddress = dded5a29-fc25-4fd8-aa98-7f472fc6f09b._msdcs.contoso.microsoft.com in resolveDnsAddressWithFallback GUID based DNS name in GetIpVxAddrByDnsNameW in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:37:43.066 end GetAddrInfoW: 22:37:55.113 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:37:55.113 end GetAddrInfoW: 22:38:07.131 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:38:07.131 end GetAddrInfoW: 22:38:19.161 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:38:19.176 end GetAddrInfoW: 22:38:31.185 FQDN in GetIpVxAddrByDnsNameW in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:38:31.200 end GetAddrInfoW: 22:38:43.182 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:38:43.182 end GetAddrInfoW: 22:38:55.191 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:38:55.191 end GetAddrInfoW: 22:39:07.216 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:39:07.216 end GetAddrInfoW: 22:39:19.286 NetBios in GetIpVxAddrByDnsNameW in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:39:19.286 end GetAddrInfoW: 22:39:31.308d in GetIpAddrByDnsNameHelper start GetAddrInfoW: 22:39:31.308 end GetAddrInfoW: 22:39:43.324
Чтобы дополнительно изучить связь между DNSQueryTimeouts и медленным запуском, dnsQueryTimeouts было задано значение 1 1 2 4 4, чтобы заставить DNS-клиент ждать 31 (1 + 1 + 2 + 4 + 4) секунды. В этом тесте 31 секунда была потрачена на ожидание:
in I_DRSGetNCChanges, NC = CN=Configuration,DC=contoso,DC=com in getContextBindingHelper, pszAddress = dded5a29-fc25-4fd8-aa98-7f472fc6f09b._msdcs.contoso.com in resolveDnsAddressWithFallback GUID based DNS name in GetIpVxAddrByDnsNameW in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:06:48.143 end GetAddrInfoW: 18:07:19.158 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:07:19.158 end GetAddrInfoW: 18:07:50.162 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:07:50.162 end GetAddrInfoW: 18:08:21.161 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:08:21.161 end GetAddrInfoW: 18:08:52.158 FQDN in GetIpVxAddrByDnsNameW in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:08:52.221 end GetAddrInfoW: 18:09:23.231 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:09:23.231 end GetAddrInfoW: 18:09:54.243 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:09:54.243 end GetAddrInfoW: 18:10:25.239 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:10:25.239 end GetAddrInfoW: 18:10:56.243 NetBios in GetIpVxAddrByDnsNameW in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:10:56.243 end GetAddrInfoW: 18:11:27.244 in GetIpAddrByDnsNameHelper start GetAddrInfoW: 18:11:27.244 end GetAddrInfoW: 18:11:58.265
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по