Ошибка 2087 active directory не может разрешить dns

Здравствуйте.

Есть 2 контроллера домена, оба Windows Server 2012 R2 на виртуалках.

На одном такая проблема: На самом контроллере не удаётся запустить оснастки администрирования MMC, типа DNS, DHCP, AD Users&Computers и т.д.

При этом если запустить оснастки на рабочей станции (Windows 7) и «зацепиться» ими за этот контроллер, то оснастки работают.

На втором контроллере всё ОК.

В логае Directory Service МНОГО событий 1655:

Попытки обращения доменных служб Active Directory к следующему глобальному каталогу завершились неудачно. 
Глобальный каталог:
\dir1.ingeos.local 
Продолжение выполнения текущей операции невозможно. Доменные службы Active Directory при помощи локатора контроллеров домена попытаются найти сервер глобального каталога.

МНОГО ошибок 1126:

Доменным службам Active Directory не удается подключиться к глобальному каталогу. 

Дополнительные данные 
Значение ошибки:
10054 Удаленный хост принудительно разорвал существующее подключение. 
Внутренний идентификатор:
3200daf 
Действие пользователя: 
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.

Есть ошибка 2087:

Доменные службы Active Directory не могут разрешить следующее DNS-имя исходного  контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в доменные службы Active Directory
с одного или нескольких контроллеров домена в этом лесу. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях будет не согласована между контроллерами
 домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам. 

Исходный контроллер домена: 
 bserv 
Ошибочное имя узла DNS: 
 2cd6d1be-34c6-4969-ba48-6eaab1a103a1._msdcs.ingeos.local 

Примечание: по умолчанию для любого 12-часового периода отображаются до 10 ошибок DNS, даже если их произошло больше.  Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1: 

Раздел реестра: 
HKLMSystemCurrentControlSetServicesNTDSDiagnostics22 DS RPC Client 
Действие пользователя: 
 1) Если исходный контроллер домена больше не функционирует или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного
контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB. 
 2) Убедитесь, что исходный контроллер домена несет доменные службы Active Directory и доступен в  сети, введя команду «net view \<имя исходного DC>» или   «ping <имя исходного DC>». 
 3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для  служб DNS и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы
DCDIAG.EXE, имеющейся на  http://www.microsoft.com/dns 
  dcdiag /test:dns 
 4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду: 
  dcdiag /test:dns 
 5) Для дальнейшего анализа ошибок DNS ознакомьтесь со статьей базы знаний 824449: 
   http://support.microsoft.com/?kbid=824449 
Дополнительные данные 
Значение ошибки: 
 11001 Этот хост неизвестен. 

Есть событие 2092:

     

Этот сервер является владельцем роли FSMO, но не считает ее действительной. Для раздела, содержащего FSMO, этот сервер не выполнил успешной репликации ни с одним из партнеров репликации с момента своего перезапуска. Ошибки репликации
мешают выполнению проверки этой роли. 
Операции, требующие обращения к хозяину операций FSMO, не смогут выполняться, пока это состояние не будет исправлено. 
Роль FSMO: DC=ingeos,DC=local 
Действие пользователя: 
1.   Начальная синхронизация является самой первой репликацией, выполняемой системой при запуске. Ошибка при выполнении начальной синхронизации может быть причиной того, что роль FSMO не может быть проверена. Описание
этого процесса содержится в статье базы знаний 305476. 
2. У этого сервера есть один или несколько партнеров репликации, и репликация завершается ошибкой для всех этих партнеров.  Используйте команду «repadmin /showrepl» для отображения ошибок репликации.  Исправьте соответствующую
ошибку. Например, это могут быть проблемы связи IP, разрешения DNS-имен или проверки подлинности, которые мешают успешному выполнению репликации. 
3.   В редких случаях, когда отключение всех партнеров репликации является ожидаемым (возможно, для обслуживания или восстановления после ошибки), проверку роли можно выполнить принудительно. Это можно сделать с помощью
программы NTDSUTIL.EXE, выполнив захват этой роли для того же самого сервера. Пошаговые инструкции содержатся в статьях базы знаний 255504 и 324801 на веб-сайте http://support.microsoft.com. 
Могут быть затронуты следующие операции: 
Схема: нельзя будет изменять схему для этого леса. 
Именование доменов: нельзя будет добавлять или удалять домены из этого леса. 
PDC: нельзя будет выполнять операции на основном контроллере домена, такие как обновление групповой политики и сброс паролей для учетных записей, не принадлежащих к доменным службам Active Directory. 
RID: нельзя будет выделять новые идентификаторы безопасности для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности. 
Инфраструктура: междоменные ссылки на имена, такие как членство в универсальных группах, не будут правильно обновляться в случае перемещения или переименования конечных объектов.

В журнале DFS ReplicationМНОГО событий 1202:

Службе репликации DFS не удалось связаться с контроллером домена , чтобы получить сведения о конфигурации. Репликация остановлена. Служба вновь попытается это сделать во время следующего цикла опроса, который произойдет через 60 мин.
Это событие может быть вызвано проблемами с подключением TCP/IP, брандмауэром, доменными службами Active Directory или DNS. 
 Дополнительные сведения:  
Ошибка: 160 (Неверны один или несколько аргументов.)

Правда, я не уверен, что эти записи как-то связаны с моей проблемой.

Заранее благодарю за помощь.

Источник

На новом месте работе в Event Viewer постоятнно сыпалась ошибка о невозможности репликации

Тип события: Ошибка
Источник события: NTDS Replication
Категория события: DS RPC-клиент
Код события: 2087
Дата: 08.04.2011
Время: 1:46:57
Пользователь: NT AUTHORITYАНОНИМНЫЙ ВХОД
Компьютер: DC1
Описание:
Active Directory не может разрешить следующее DNS-имя исходного контроллера домена в IP-адрес. Эта ошибка препятствует репликации добавлений, удалений и изменений в Active Directory с одного или нескольких контроллеров домена в этом лесе. Пока эта ошибка не будет устранена, информация о группах безопасности, групповой политике, пользователях и компьютерах и их паролях может стать несогласованной на различных контроллерах домена, что может нарушить проверку подлинности при входе или доступ к сетевым ресурсам.

Исходный контроллер домена:
DC2
Ошибочное имя узла DNS:
108635e4-ae7e-4023-bccc-9f39ec355f97._msdcs.legco.dom

Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12-часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:

Раздел реестра:
HKLMSystemCurrentControlSetServicesNTDSDiagnostics22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.

2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду «net view \

» или «ping «.

3) Проверьте, что исходный контроллер домена использует правильный DNS-сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns

dcdiag /test:dns

4) Проверьте, что конечный контроллер домена использует правильный DNS-сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:

dcdiag /test:dns

5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».

По ссылке вышел на статью MS — http://support.microsoft.com/kb/216498/ru
где суть

  1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
  2. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
  3. Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
  4. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
  5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.

    Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:

    Ошибка 2094. Невозможно удалить объект DSA0x2094

  6. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  7. Введите команду select operation target и нажмите клавишу ВВОД.
  8. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
  9. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
  10. Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
  11. Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
  12. Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
  13. Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
  14. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.

Либо через остнастку dssite.msc (Active Directory — сайты и службы)

разворачиваем дерево мертвого DC1 и с конца удаляем ветку

После в Eventviewer увидим сообщения о Проверке согласованности знаний, позже о Оперативной дефрагментации и Ведение журнала/Восстановлении.

Источник
title description ms.date author ms.author manager audience ms.topic ms.prod localization_priority ms.reviewer ms.custom ms.technology

Guidance for troubleshooting Active Directory replication

Introduces general guidance for troubleshooting scenarios related to Active Directory replication.

06/12/2023

Deland-Han

delhan

dcscontentpm

itpro

troubleshooting

windows-server

medium

kaushika

sap:active-directory-certificate-services, csstroubleshoot

windows-server-active-directory

Active Directory replication troubleshooting guidance

Try our Virtual Agent — It can help you quickly identify and fix common Active Directory replication issues

This article is designed to help get you started troubleshooting Active Directory replication issues.

Troubleshooting checklist

Use the following checklist to troubleshoot these replication issues:

  • The error and warning events in the Directory Service event log indicate the specific constraint that’s causing replication failure on the source or destination domain controller. If the event message suggests steps for a solution, try the steps that are described in the event.

  • Diagnostic tools such as Repadmin also provide information that can help you resolve replication failures. To help monitor replication and diagnose errors, download and run the Microsoft Support and Recovery Assistant tool.

  • Rule out intentional disruptions or hardware failures.

  • In a scenario: A domain controller is built in a staging site. The domain controller is currently offline, and is waiting for its deployment in the final production site, a remote site such as a branch office.

    When another domain controller is trying to replica with the domain controller, it reports replication errors. You can account for such replication errors.

  • Replication problems might be caused by hardware failure.

  • Active Directory replication remote procedure calls (RPCs) occur dynamically over an available port through the RPC Endpoint Mapper (RPCSS) on port 135. Make sure that Windows Defender Firewall with Advanced Security and other firewalls are configured correctly to enable replication.

After you rule out intentional disconnections and hardware failures, the replication issues might have one of the following causes:

  • Network connectivity: The network connection might be unavailable, or network settings might not configured correctly.
  • Name resolution: DNS misconfigurations are a common cause of replication failures.
  • Replication engine: If intersite replication schedules are too short, replication queues might be too large to process in the time that is required by the outbound replication schedule. In this case, replication of some changes might be stalled indefinitely, or long enough to exceed the tombstone lifetime.
  • Replication topology: Domain controllers must have intersite links in Active Directory Domain Services (AD DS) that map to real wide area network (WAN) or virtual private network (VPN) connections. If you create objects in AD DS for the replication topology that aren’t supported by the actual site topology of your network, replication that requires the misconfigured topology fails.
  • Authentication and authorization: Authentication and authorization problems cause «access denied» errors when a domain controller tries to connect to its replication partner.
  • Directory database store: The directory database might not be able to process transactions fast enough to keep up with replication time-outs.

Common solutions for Active Directory replication issues

  • Monitor replication health daily, or use Repadmin to retrieve replication status daily.
  • Try to resolve any reported failure in a timely manner by using the methods that are described in the event messages and this guide. If software is causing the problem, uninstall the software before you continue to try other solutions.
  • If the problem that is causing replication to fail can’t be resolved by any known methods, remove AD DS from the server, and then reinstall it. For more information about reinstalling AD DS, see Decommissioning a Domain Controller.
  • If AD DS can’t be removed in a typical manner while the server is connected to the network, use one of the following methods to resolve the problem:
    • Force AD DS removal in Directory Services Restore Mode (DSRM), clean up server metadata, and then reinstall AD DS.
    • Reinstall the operating system, and rebuild the domain controller.

Common issues and solutions

Most replication problems are identified in the event messages that are logged in the Directory Service event log. Replication problems might also be identified in the form of error messages in the output of the repadmin /showrepl command.

Event ID 2042

Repadmin message:

The time since last replication with this server has exceeded the tombstone lifetime.

A domain controller has failed inbound replication with the named source domain controller long enough for a deletion to have been tombstoned, replicated, and garbage-collected from AD DS. See Active Directory replication Event ID 2042.

Event ID 1925

Repadmin message:

No inbound neighbors

If no items appear in the «Inbound Neighbors» section of the output that is generated by repadmin /showrepl, the domain controller wasn’t able to establish replication links with another domain controller. See Active Directory replication Event ID 1925.

Error code 5

Repadmin message:

Access is denied.

A replication link exists between two domain controllers, but replication can’t be done correctly because of an authentication failure. See Active Directory replication fails with error 5: Access is denied.

Error code 49

Repadmin message:

LDAP Error 49.

The domain controller computer account might not be synchronized with the Key Distribution Center (KDC). Fix replication security issues.

Event ID 1925 and event ID 2087

Repadmin message:

Cannot open LDAP connection to local host.

The administration tool couldn’t contact AD DS. See the following articles:

  • Active Directory replication Event ID 1925
  • Active Directory replication Event ID 2087

Event ID 1925, event ID 2087 and event ID 2088

Repadmin message:

Last attempt at <date — time> failed with the «Target account name is incorrect.»

This problem can be related to connectivity, DNS, or authentication issues. If this error is a DNS error, the local domain controller couldn’t resolve the globally unique identifier (GUID)-based DNS name of its replication partner. See the following articles:

  • Active Directory replication Event ID 1925
  • Active Directory replication Event ID 2087

Data collection

If you need assistance from Microsoft support, we recommend you collect the information by following the steps mentioned in Gather information by using TSSv2 for Active Directory replication issues.

Reference

  • Troubleshoot common Active Directory replication errors
  • Monitoring and Troubleshooting Active Directory Replication Using Repadmin
Источник

  • Ошибка 2089 мерседес дизель
  • Ошибка 2084 метан камаз
  • Ошибка 2089 мазда 3
  • Ошибка 2084 002 мерседес
  • Ошибка 2089 active directory