 |
|
Отказано в доступе к DNS-серверу
Впервые сталкиваюсь с таким - при попытке подключиться через MMC-консоль к DNS-серверу на контролере домена с правами администратора предприятия выдает следующее сообщение:
Цитата:
Oткaзaнo в дocтyпe
Oтcyтcтвyют нeoбxoдимыe пpaвa для пoлyчeния дocтyпa к этoмy DNS-cepвepy.
|
т.е. к управлению DNS-сервером не пускает.
Цитата:
В логах DNS-сервера сыпятся ошибки:
Тип события: Предупреждение
Источник события: DNS
Категория события: Отсутствует
Код события: 7062
Дата: 13.01.2010
Время: 11:25:36
Пользователь: Н/Д
Компьютер: XXX
Описание:
DNS-сервер обнаружил пакет, адресованный самому себе - IP-адрес *.*.*.*. Этот пакет предназначен для DNS-имени "***.".Пакет будет удален. Это говорит об ошибках настройки DNS-cервера.
Проверьте указанные ниже пункты списка на возможные ошибки настройки отправки:
1) Список переадресации (DNS-серверы не должны пересылать сами себе).
2) Основные списки дополнительных зон.
3) Списки уведомления основных зон.
4) Делегирование подзон. Пока подзона находится на этом же сервере, она не должна содержать NS-записи для этого DNS-сервера.
5) Корневые ссылки.
Пример самоделегирования:
-> DNS-сервер dns1.example.microsoft.com является основным для зоны example.microsoft.com.
-> Зона example.microsoft.com содержит делегирование зоны bar.example.microsoft.com в dns1.example.microsoft.com,
(bar.example.microsoft.com NS dns1.example.microsoft.com)
-> НО при этом зона bar.example.microsoft.com НЕ находится на этом сервере.
Заметьте, что проверку делегирования (с утилитой nslookup или диспетчером DNS) необходимо выполнить как на DNS-сервере, так и на сервере(-ах), которому делегируется данная подзона. Возможна ситуация, когда делегирование проведено верно, но основная DNS-запись для подзоны имеет неверную NS-запись, указывающую на сам этот сервер. Если такая неверная NS-запись кэшируется на этом сервере, то это может послужить причиной отправки пакетов самому себе. Если администратор сервера подзоны DNS обнаружит такую запись, он должен удалить ее.
Можно использовать возможность отладочного протоколирования DNS-сервера для отслеживания причины возникновения этой проблемы.
|
Цитата:
Тип события: Предупреждение
Источник события: DNS
Категория события: Отсутствует
Код события: 3000
Дата: 13.01.2010
Время: 11:28:02
Пользователь: Н/Д
Компьютер: XXX
Описание:
DNS-сервер обнаружил значительное число событий времени выполнения. Чтобы определить причину возникновения этих событий, обратитесь к записям журнала DNS-сервера, предшествовавшим этим событиям. Для предотвращения переполнения журнала DNS-cервера, последующие события с кодом события больше 3000 будут подавляться, пока события не перестанут возникать со столь высокой частотой.
|
Цитата:
Тип события: Предупреждение
Источник события: DNS
Категория события: Отсутствует
Код события: 4520
Дата: 13.01.2010
Время: 10:55:05
Пользователь: Н/Д
Компьютер: XXX
Описание:
DNS-сервер обнаружил ошибку 0 при построении списка зон из службы каталогов Active Directory. DNS-сервер повторит попытку через 30 сек. Эта ошибка может быть вызвана высокой нагрузкой на службу каталогов Active Directory, что может быть временным состоянием.
|
P.S. Ещё вчера всё работало как часы, а вот сегодня такая вот ерунда. Основная задача - восстановить работоспособность DNS-сервера, поиск причин такого поведения будет следующим этапом. У кого-нибудь есть дельные мысли кроме как переустановить DNS-сервер? |
| Ivan Bardeen |
13-01-2010 11:53 1319031 |
А что выводит команда c DNS сервера?
dnscmd /info
|
xoxmodav,
Службу DNS пробЫвали перезапускать?
|
Ivan Bardeen, аналогичный отказ:
Цитата:
Info query failed
status = 5 (0x00000005)
Command failed: ERROR_ACCESS_DENIED 5 (00000005)
|
Telepuzik, пробовал.
|
| Ivan Bardeen |
13-01-2010 13:27 1319099 |
Если на сервере есть антивирусный монитор, попробуйте его остановить.
|
Ivan Bardeen, остановил, но никаких изменений.
Самое забавное в том, что из MMC-оснастки можно вызвать свойства DNS-сервера, но доступна только одна вкладка - "Наблюдение". Также из оснастки можно управлять сервисом - запускать, останавливать и перезапускать, но не более того.
|
xoxmodav,
Вывод команды dcdiag покажите
|
dcdiag
Код:
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\XXX
Starting test: Connectivity
......................... XXX passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\XXX
Starting test: Replications
......................... XXX passed test Replications
Starting test: NCSecDesc
......................... XXX passed test NCSecDesc
Starting test: NetLogons
......................... XXX passed test NetLogons
Starting test: Advertising
......................... XXX passed test Advertising
Starting test: KnowsOfRoleHolders
......................... XXX passed test KnowsOfRoleHolders
Starting test: RidManager
......................... XXX passed test RidManager
Starting test: MachineAccount
......................... XXX passed test MachineAccount
Starting test: Services
......................... XXX passed test Services
Starting test: ObjectsReplicated
......................... XXX passed test ObjectsReplicated
Starting test: frssysvol
......................... XXX passed test frssysvol
Starting test: frsevent
......................... XXX passed test frsevent
Starting test: kccevent
......................... XXX passed test kccevent
Starting test: systemlog
......................... XXX passed test systemlog
Starting test: VerifyReferences
......................... XXX passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : pk
Starting test: CrossRefValidation
......................... pk passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... pk passed test CheckSDRefDom
Running enterprise tests on : pk
Starting test: Intersite
......................... pk passed test Intersite
Starting test: FsmoCheck
......................... pk passed test FsmoCheck
|
Вкладка "Безопасность" в свойствах сервера присутствует?
|
monkkey, к сожалению нет. :(
Цитата:
Цитата xoxmodav
Самое забавное в том, что из MMC-оснастки можно вызвать свойства DNS-сервера, но доступна только одна вкладка - "Наблюдение" »
|
|
А если подключиться под другим пользователем являющимся администратором домена такая же проблема?
|
Цитата:
Цитата Telepuzik
А если подключиться под другим пользователем являющимся администратором домена такая же проблема? »
|
Пробовал - всё тоже самое. |
что то мне подсказывает что установилось очередное обновление от МС.) если конечно же отбросить возможность повреждения ОС вирусом\пользователем\т.п. и если действительно никакие изменения не вносились сознательно или в результете работы ПО. попробуй в эту сторону поглядеть. если устанавливались обновления может удалить\откатить назад.
|
wertyg, обновления не ставились. :) Вирусов нет. Человеческий фактор не отметается, но сейчас основная задача - вернуть доступ к управлению сервером, поиск причин - следующий этап.
|
так - тупо прав нет. такое как у тебя происходит если простой пользователь запустит управлениеДНСсервером(ММС) и наверно после запуска консоль ругаеться что доступа нет продолжать в любом случае?
домена нет. покрутить нечего. смотри права учётки под которой логинишся, смотри из командной строки(whoami /?) всё что есть. у тебя ДНС интегрированный в АД, посмотри права на зоны в АД(расширеный режим пользователи и компьютера).
попробуй реального\всемогущего локального админа, ну наверно пробовал же уже?.) какие группы в АД есть? есть ли(припоминаю что то такое администраторыДНС) может турнули учётку оттуда покрутив ГП.
а вчерашнего\позавчерашнего бэкапа нет случайно? ..)
|
Цитата:
Цитата wertyg
попробуй реального\всемогущего локального админа, ну наверно пробовал же уже?.) какие группы в АД есть? есть ли(припоминаю что то такое администраторыДНС) может турнули учётку оттуда покрутив ГП. »
|
Группа "DnsAdmins" имеется, в ней действительно никого не было. Добавил группы администраторов домена и предприятия, но ничего не изменилось - отказано в доступе.
Цитата:
Цитата wertyg
а вчерашнего\позавчерашнего бэкапа нет случайно? ..) »
|
Это только в крайнем случае. :)
Цитата:
Цитата wertyg
у тебя ДНС интегрированный в АД, посмотри права на зоны в АД(расширеный режим пользователи и компьютера). »
|
Проблема была именно в этом. Решение следующее:
1. Открываем оснастку "Active Directory - пользователи и компьютеры", включаем в меню "Вид" опцию "Дополнительные функции".
2. Ищем раздел "%имя домена%\System\MicrosoftDNS" -> щёлкаем на нём правой клавишей -> "Свойства" -> "Безопасность" -> выставляем необходимые разрешения. |
Время: 20:09.
© OSzone.net 2001-