ISMServ.exe не запускается при запуске контроллера домена
В этой статье приводится решение проблемы, из-за которой служба IsmServ неправильно запускается при запуске контроллера домена.
Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 4530043
Симптомы
При запуске контроллера Windows server (DC) он не начинается правильно. При проверке журнала system in Event Viewer вы найдете следующую запись для event ID 7023:
Имя журнала: System
Источник: Диспетчер управления службами
ID события: 7023
Уровень: ошибка
Описание:
Служба IsmServ завершилась следующей ошибкой:
Указанный сервер не может выполнять запрашиваемую операцию.
Событие Xml:
http://schemas.microsoft.com/win/2004/08/events/event «>
.IsmServ
%%58
Это событие включает следующие параметры данных:
Чтобы собрать дополнительные сведения об этой проблеме, можно настроить трассировку событий LDAP для Windows (ETW) для запуска системы. (Дополнительные сведения о том, как это сделать, см. в дополнительных сведениях.) После перезапуска dc в журнале должны быть следующие строки:
[Microsoft-Windows-LDAP-Client/Debug] Подключение Message=LDAP 0xec4b08a8 успешно разрешено с помощью GetHostByName.
.
[Microsoft-Windows-LDAP-Client/Debug] Message=gethostbyname собрал 2 записи для dc1.contoso.com ‘[Microsoft-Windows-LDAP-Client/Debug] Message=LdapParallelConnect вызвал подключение 0xec4b08a8 с периодикой 45 сек 0 usec. Общее количество — 2.
[Microsoft-Windows-LDAP-Client/Debug] Message=No response yet.
[Microsoft-Windows-LDAP-Client/Debug] Message=LdapParallelConnect завершен для подключения 0xec4b08a8. Время заняло 1 сек. Первоначальное время, указанное, было 45 сек 0 usec.
.
[Microsoft-Windows-LDAP-Client/Debug] Message=LdapConnect не удалось открыть подключение 0xec4b08a8, ошибка = 0x5b.
[Microsoft-Windows-LDAP-Client/Debug] Поток Message=LdapConnect 0xce0 имеет 0xec4b08a8 как вниз.
В этом случае значение параметра ошибки (0x5b или 91) карты для LDAP_CONNECT_ERROR сообщения.
Причина
ISMServ зависит от служб домена Active Directory (AD DS). Однако во время запуска системы ISMServ может попытаться создать подключение LDAP к AD DS до того, как AD DS завершит работу в Интернете. В этом случае порт LDAP (TCP port 389) недостает при попытках подключения ISMServ. Так как порт не прослушивается, ISMServ определяет, что подключение не удалось, не дожидаясь периода ожидания времени подключения (45 секунд). Поэтому ISMServ не начинается.
Обходной путь
Чтобы немедленно решить эту проблему, перезапустите ISMServ вручную.
Чтобы избежать этой проблемы в будущем, используйте оснастку MMC Services and Applications для изменения типа запуска ISMServ с автоматического на автоматический (задержка запуска).
Дополнительная информация
Чтобы настроить ETW LDAP, выполните следующие действия:
Используйте редактор реестра для создания следующего подкайки реестра:
Откройте окно командной подсказки и запустите следующие команды:
После запуска компьютера запустите следующую команду по повышенной командной подсказке:
Когда вы закончите сбор данных, запустите следующую команду по повышенной командной подсказке, чтобы остановить отслеживание:
Статус
Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в начале этой статьи.
forum.lissyara.su
Ошибки при репликации между двумя КД
Ошибки при репликации между двумя КД
Добрый день, уважаемые
В сети существовало два КД на Windows Server 2003.
Итак, я наконец то собрался с силами и, отбросив лень, сел плавненько переезжать на 2008 Server R2 с 2003 Server R2, где крутилась АД в режиме работы леса и домена 2003.
Выполнил adprep для леса и домена, все прошло успешно.
Взял один из этих двух КД и переставил на нем ОСь на Windows Server 2008 R2.
Однако, решил прочитать журнал DNS на всякий пожарный и хорошо, что прочитал:
Как же тогда я вижу данные в АД все? и в ДНС?
Брандмауэр на серваке отлючен, пользователь обладает правами администратора.
Может быть я неверно указал настройки для ДНСов? Сейчас схема такая.
КД1 (с которого надо все стянуть на 2008 R2):
Услуги хостинговой компании Host-Food.ru
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
Хм. Как я только не пробовал выставлять айпишники, но так еще нет 
Re: Ошибки при репликации между двумя КД
Сделал так. Ошибки те же.
Запустил dcdiag на новом КД2, ниже привожу результат:
При этом оба сервака видят друг друга через nslookup.
Очень надеюсь на помощь.
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
До этого было 2 КД, оба на w2k3. Один из них я понизил, переставил ОСь на 2008 Server и снова поднял АД, введя его в домен.
NetLogOn перезапускал, эффект тот же. Сейчас попробую перезарегистрировать КД.
Имеет ли смысл переустановить службы AD на новом КД (W2K8)?
DNS у меня интегрирован в AD.
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
Было два КД. Один Core с айпишником 192.168.0.1, второй URAN с айпишником 192.168.0.2.
Так вот, URAN я понизил до роли простого сервера. Все роли на себя принял CORE.
После этого URAN я вывел из домена и отключил физически.
Между ними не работает репликация.
Но, физически у меня ДВА КД.
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
В смысле удалить саму службу DNS? Тогда же и АД придется затирать.
На CORE затирать записи в DNS, я так понимаю.
Еще дополнительную инфу кидаю, которую только что сделал.
PID 1304 соответствует службе DNS. Больше PID’ов, слушающих 53 порт я не вижу.
registerdns провел, через 15 минут будет результат.
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
Так, ДНС я удалил с URAN.
При этом Active Directory сообщает о следующих ошибках:
1) Исходный КД функционирует
2) Через net view/ping/nslookup новый КД находит старый. URAN находит CORE и наоборот
3) dcdiag /test:dns на CORE выполняется с успехом
4) Аналогично.
5) С базой знаний знакомлюсь.
Вопрос. Что мне вычищать на CORE? Записи типа А и CNAME?
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
Имена в айпишники и айпишники в имена разрешаются.
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
Я не понимаю, откуда вы сделали такой вывод?
Когда я понижал URAN, то все записи я вычищал и из АД и из ДНС. Вычищал как через оснастки, так и через консоли.
Если честно, 1000 страниц читать просто лень 
Тем более, что я не виндовый админ, а юниксовый 
Скажите, пожалуйста, просто, куда капнуть, а то ведь время, время.
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
Так, это я сейчас опробую. А пока, кину сообщения из службы каталогов.
По поводу repadmin сейчас отпишусь
P.S. большое спасибо за ответы!
P.P.S. Книжку уже скачал
Re: Ошибки при репликации между двумя КД
Вроде бы, все замечательно.
Так, теперь, если я правильно понял, мне необходимо вычистить все записи на ДНСе относительно нового КД. Вопрос: какие именно записи? Абсолютно все?
— в зоне прямого просмотра «папку верхнего уровня» и запись А?
— в msdcs псевдоним?
— а также записи _kerberos, _kpasswd, _ldap и _gc в разделах dc/domains/gc/pdc?
И в зоне обратного просмотра айпишник/имя сервера?
Или достаточно удалить запись типа А и Псевдоним CNAME?
После удаление мне надо будет перерегистрироваться в ДНС и посмотреть, что будет, верно?
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
Ну хорошо, проделал
Удалил все SRV-записи, установил ДНС, теперь мне ситуация еще более не понятна.
Ошибки остались все те же самые. В лог они валятся ИСКЛЮЧИТЕЛЬНО при загрузке ОСи на новом КД.
В процессе работы, если новый КД не перезагружать, все работает замечательно. Работает репликация. Ниже привожу репликацию из консоли и dcdiag на новом КД после усановки ДНСа. Также хочу отметить, что репликация из оснастки тоже работает и ошибок не выдает.
Может, как-нибудь заставить запускаться DNS и AD с задержкой? Скажем, секунд в 30 или 60, пока все фоновые службы не стартанут.
Re: Ошибки при репликации между двумя КД
Да, внимательно посмотрел логи и соотнес их со временем загрузки сетевой карты
DNS и AD пытаются начать работу сразу, как начинает грузиться ОСь, а сетевая карта ТОЛЬКО когда происходит ЛОГОН, т.е. на 2 с лишним минуты позже, чем вышеупомянутые службы уже пытаются начать работу.
Можно ли как-нибудь заставить сетевушку работать уже на этапе биоса?
Используются серверные сетевушки Intel:
Intel 82574L и 82578DM
Или, может, не в сетевушках дело, а в ОСи? Может, настройка какая?
Re: Ошибки при репликации между двумя КД
Re: Ошибки при репликации между двумя КД
В том то и дело, что такого не должно происходить.
Эти сетевые карточки идут вместе с какой то управляющей утилитой, которая загружается исключительно при логоне пользователя в систему/домен. До этого они мертвые и никакого коннекта по сети нет.
я проанализировал логи, сверял время запуска AD/DNS/RDP с моментом старта сетевушек.
Обидно, жалко и непонятно, но я просто вставил Realtek в сервак и все проблемы сразу решились. Те ошибки, которые постил ушли, остались предупреждения про сертификаты Kerberos (RDP) и SASL аутентификация (AD). Но, это меня уже почти не волнует.
Служба межсайтовых сообщений что это
Первый сбой
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4016
Дата: 25.04.2008
Время: 18:32:43
Пользователь: Н/Д
Компьютер: RU00135VS00001
Описание:
Истекло время, в течение которого DNS-сервер пытался выполнить на «DC=23.18.10.in-addr.arpa,cn=MicrosoftDNS,cn=System,DC=vwk,DC=local» операцию службы Active Directory. Убедитесь, что Active Directory функционирует нормально. Данные события содержат сведения об ошибке.
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4015
Дата: 25.04.2008
Время: 18:32:52
Пользователь: Н/Д
Компьютер: RU00135VS00001
Описание:
DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: «». Данные события содержат сведения об ошибке.
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4004
Дата: 25.04.2008
Время: 18:32:52
Пользователь: Н/Д
Компьютер: RU00135VS00001
Описание:
DNS-серверу не удалось загрузить зону, поскольку не удалось завершить перечисление служб зоны vwk.local. Данный DNS-сервер настроен для получения и использования информации этой зоны из Active Directory. Проверьте, что Active Directory функционирует нормально и повторите перечисление зоны. Расширенная информация об ошибке: «». Данные события содержат сведения об ошибке.
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 7053
Дата: 25.04.2008
Время: 18:34:31
Пользователь: Н/Д
Компьютер: RU00135VS00001
Описание:
Ошибка функции sendto() DNS-cервера. Данные события содержат сведения об ошибке.
Затем первер перегрузили и все заработало, потом через пару дней опять, + к этим добавились ошибки в AD
Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4000
Дата: 28.04.2008
Время: 5:24:24
Пользователь: Н/Д
Компьютер: RU00135VS00001
Описание:
DNS-серверу не удалось открыть Active Directory. Без этого он не сможет загружать зону. Данный DNS-сервер настроен для получения и использования информация из каталога для этой зоны. Проверьте, что Active Directory функционирует нормально и перезагрузите зону. Данные события содержат код ошибки.
Тип события: Предупреждение
Источник события: NTDS General
Категория события: Глобальный каталог
Код события: 1655
Дата: 28.04.2008
Время: 4:59:38
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: RU00135VS00001
Описание:
Попытки обращения Active Directory к следующему глобальному каталогу завершились неудачно.
Глобальный каталог:
\\ru00135vs00001.vwk.local
Продолжение выполнения текущей операции невозможно. Active Directory воспользуется локатором контроллеров домена для поиска доступного сервера глобального каталога.
Дополнительные данные
Значение ошибки:
14 Недостаточно памяти для завершения операции.
Тип события: Ошибка
Источник события: NTDS General
Категория события: Глобальный каталог
Код события: 1126
Дата: 28.04.2008
Время: 4:59:50
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: RU00135VS00001
Описание:
Active Directory не удается подключиться к глобальному каталогу.
Дополнительные данные
Значение ошибки:
1460 Возврат из операции произошел из-за превышения времени ожидания.
Внутренний ID:
3200d11
Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.
Тип события: Предупреждение
Источник события: NTDS Inter-site Messaging
Категория события: Служба межсайтовых сообщений
Код события: 1369
Дата: 28.04.2008
Время: 10:45:04
Пользователь: Н/Д
Компьютер: RU00135VS00001
Описание:
Службой межсайтовых сообщений запрошен одноуровневый поиск в LDAP, начинающийся со следующего контейнера объекта. Операция не выполнена.
Объект контейнера:
CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=vwk,DC=local
Дополнительные данные
Значение ошибки:
8341 Произошла ошибка службы каталогов.
Тип события: Предупреждение
Источник события: NTDS Inter-site Messaging
Категория события: Служба межсайтовых сообщений
Код события: 1380
Дата: 28.04.2008
Время: 10:46:04
Пользователь: Н/Д
Компьютер: RU00135VS00001
Описание:
Задача, наблюдающая за изменениями в объектах межсайтового транспорта Active Directory, аварийно завершена.
В результате служба межсайтового транспорта не будет распознавать добавление, удаление и изменение объектов межсайтового транспорта.
Действие пользователя
Перезапустите службу межсайтового транспорта или локальный контроллер домена.
Дополнительные данные
Значение ошибки:
8341 Произошла ошибка службы каталогов.
В остальные разы ошибки появлялись только в DNS, в AD тишина, но он все равно не работал.
Еще во время последнего сбоя после поднятия резервного DC появилось следующее
Тип события: Предупреждение
Источник события: NTDS Replication
Категория события: DS RPC-клиент
Код события: 2088
Дата: 03.05.2008
Время: 10:39:15
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: RU00135VS00001
Описание:
Active Directory не может использовать DNS для разрешения указанного ниже IP—адреса исходного контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютеров и их паролей, Active Directory была успешно реплицирована с помощью NetBIOS или полное доменное имя исходного контроллера домена.
Неправильная настройка DNS может влиять на другие важные операции на рядовых компьютерах, контроллерах домена или серверах приложений в лесе этой службы каталогов Active Directory, включая проверку подлинности при входе или доступ к сетевым ресурсам.
Следует как можно скорее исправить ошибку настройки DNS, чтобы этот контроллер домена мог выполнять разрешение IP—адреса исходного контроллера домена с помощью DNS.
Имя альтернативного сервера:
router-c.vwk.local
Ошибочное имя узла DNS:
c63e538e-b15d-4e7e-a30b-da8d84709091._msdcs.vwk.local
Примечание: по умолчанию, не более 10 ошибок DNS отображаются для любого 12—часового периода, даже если произошло более 10 ошибок. Чтобы записывать в журнал отдельные ошибки, установите следующее диагностическое значение реестра равным 1:
Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
1) Если исходный контроллер домена больше не функционирует, или его операционная система была переустановлена с использованием другого имени компьютера или другого GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью NTDSUTIL.EXE, выполнив шаги, перечисленные в статье 216498 базы знаний MSKB.
2) Убедитесь, что исходный контроллер домена несет службу каталогов Active Directory и доступен в сети, введя команду «net view \\ » или «ping «.
3) Проверьте, что исходный контроллер домена использует правильный DNS—сервер для служб DNS, и что запись узла и запись CNAME исходного контроллера домена правильно зарегистрированы, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE, имеющейся на http://www.microsoft.com/dns
4) Проверьте, что конечный контроллер домена использует правильный DNS—сервер для служб DNS, воспользовавшись расширенной для DNS версией программы DCDIAG.EXE на консоли конечного контроллера домена, выполнив следующую команду:
5) При дальнейшем исследовании ошибок DNS ознакомьтесь со статьей KB 824449:
http://support.microsoft.com/?kbid=824449
Дополнительные данные:
Ошибка:
11004 Запрошенное имя верно, но данные запрошенного типа не найдены.
Вот что пишет сейчас DCDIAG
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\RU00135VS00001
Starting test: Connectivity
. RU00135VS00001 passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\RU00135VS00001
Starting test: Replications
. RU00135VS00001 passed test Replications
Starting test: NCSecDesc
. RU00135VS00001 passed test NCSecDesc
Starting test: NetLogons
. RU00135VS00001 passed test NetLogons
Starting test: Advertising
. RU00135VS00001 passed test Advertising
Starting test: KnowsOfRoleHolders
. RU00135VS00001 passed test KnowsOfRoleHolders
Starting test: RidManager
. RU00135VS00001 passed test RidManager
Starting test: MachineAccount
. RU00135VS00001 passed test MachineAccount
Starting test: Services
. RU00135VS00001 passed test Services
Starting test: ObjectsReplicated
. RU00135VS00001 passed test ObjectsReplicated
Starting test: frssysvol
. RU00135VS00001 passed test frssysvol
Starting test: frsevent
. RU00135VS00001 passed test frsevent
Starting test: kccevent
. RU00135VS00001 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x000016AD
Time Generated: 05/04/2008 14:13:43
(Event String could not be retrieved)
. RU00135VS00001 failed test systemlog
Starting test: VerifyReferences
. RU00135VS00001 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom
Running partition tests on : vwk
Starting test: CrossRefValidation
. vwk passed test CrossRefValidation
Starting test: CheckSDRefDom
. vwk passed test CheckSDRefDom
Running enterprise tests on : vwk.local
Starting test: Intersite
. vwk.local passed test Intersite
Starting test: FsmoCheck
. vwk.local passed test FsmoCheck
|
|
|
|
|