Aplikační oddíl DNS ForestDnsZones a DomainDnsZones chyba ID 1801

DNS jako vestavěná součást systému Windows využívá aplikační oddíly. Oddíly s názvy „DomainDnsZones.mouse.local“ a „ForestDnsZones.mouse.local“ jsou automaticky vytvořeny, když je role DNS serveru nainstalována na první DC ve forestu v root doméně. Zde pro root doménu „mouse.local“.

Jak vyplývá z jejich názvů, mají tyto oddíly různé replikační oblasti: DomainDnsZones je replikována na každý DNS server v doméně, ForestDnsZones je replikována na každý DNS server ve forestu. Pokud budou vytvořeny libovolné podřízené domény, každá z nich bude mít svoji vlastní DomainDnsZones oddíl.

Na obrázku je vidět umístění obou oddílů ve Forward Lookup Zones pod root doménou, zde mouse.local.

Funkcí těchto dvou aplikačních DNS oddílů je řídit oblast replikace DNS zón, které jsou v Active Directory Integrated módu.

Na nastavení obou oddílů se můžete podívat přes ADSI edit v NC Configuration na cestě „CN=Partitions,CN=Configuration,DC=mouse,DC=local“. Na každý z těchto oddílů se můžete připojit. Po připojení vidíte DNS zóny a záznamy, které jsou zde uloženy.

Umístění zón odpovídá nastavení v DNS serveru, volba „Replication“. Tedy kam se budou zóny replikovat. Zde zóna „mouse.local“ je replikována na všechny DC v doméně. Je tedy uložena pod DomainDnsZones oddílem.

Pokud máte replikaci pro zónu nastavenu na „To all domain controllers in this domain (for Windows 2000 compatibility)“, jsou DNS zóny uloženy v AD mimo tyto DNS oddíly pod NC „Default naming context“ v cestě „CN=MicrosoftDNS,CN=System,DC=mouse,DC=local“.

Znovu vytvoření obou aplikačních DNS oddílů.

Oba výchozí aplikační DNS oddíly je možné znovu vytvořit následujícími postupy.

• restart služby „NetLogon“
•  DNS konzole
  • na DNS serveru klikneme pravou myší a zvolíme „Create Default Application Directory Partitions…„

• z příkazové řádky příkazem „dnscmd“
  • domain partition – dnscmd /createbuiltindirectorypartitions\ (chcete-li vytvořit tento oddíl pro všechny domény ve forestu, je třeba přidat ještě parametr /alldomain\)
  • forest partition – dnscmd /createbuiltindirectorypartitions /forest\

Nyní již ke zmíněné chybě a možnosti jí opravit. Stav prostředí byl následující:

•  v DNS pod root doménou chyběly záznamy pro oba oddíly (DomainDnsZones.mouse.local a ForestDnsZones.mouse.local)
•  v logu Directory Services se každých 15 minut objevoval warning Event ID 1801 od služby KCC

• nebylo možné založit jakoukoli novou zónu v DNS uloženou v AD – chyba
• pro stávající zónu nebylo možné změnit nastavení replikace (forest, doména) – chyba

•  při snaze znovu vytvořit oba oddíly přes DNS konzolu volbou „Create Default Application Directory Partitions…“ – chyba

•  restart služby Netlogon – žádná změna, žádná chyba
•  ADSI edit
  • oba oddíly jsou vidět v NC Configuration
  • nelze se připojit ani do jednoho NC oddílu – chyba

•  v příkazové řádce
  • příkaz dnscmd /Enumdirectorypartitions vrací výpis bez chyb Enumerated directory partition list: Directory partition count = 2 DomainDnsZones.mouse.local Enlisted Auto Domain ForestDnsZones.mouse.local Enlisted Auto Forest Command completed successfully.
  • příkaz dnscmd mysakdc /EnlistDirectoryPartition DomainDnsZones.mouse.local vrací chybu Enlist directory partition failed: ForestDnsZones.mouse.local status = 9904 (0x000026B0) Command failed: DNS_ERROR_DP_ALREADY_ENLISTED 9904 0x26B0
  • příkaz dnscmd mysakdc /EnlistDirectoryPartition ForestDnsZones.mouse.local vrací chybu Enlist directory partition failed: ForestDnsZones.mouse.local status = 9904 (0x000026B0) Command failed: DNS_ERROR_DP_ALREADY_ENLISTED 9904 0x26B0
•  žádná chybná/neplatná replika pro oba oddíly nebyla nastavena

Oba oddíly jsou poškozené, mají porušené vazby (DNS partition CrossRef object). Standardní postupy pro obnovu obou oddílů, popsané výše, nepomáhaly. Jediná možnost byla smazat oba oddíly v AD. Před smazáním je třeba zkontrolovat, které zóny jsou uloženy pod daným oddílem. Když oddíly smažete, dojde ke smazání i všech pod nimi uložených zón, pokud nemáte nastavenu replikaci zóny na „To all domain controllers in this domain (for Windows 2000 compatibility)“. Pak jsou DNS zóny uloženy v AD mimo tyto DNS oddíly a ke smazání nedojde.

DNS zóny je třeba zazálohovat např. příkazem

DnsCmd /ZoneExport mouse.local backup\mouse.local.dns.bak

(záloha je uložena do adresáře “%systemroot%\system32\dns\backup”). Nicméně tato záloha obsahuje pouze DNS záznamy, ale neobsahuje security nastavení pro zónu a záznamy. Při jejím obnovení bude security nastaveno na default, což může vést k chybám s registrací stanic, které již nebudou vlastníky svého záznamu. Doporučená metoda zálohy je buď záloha System state nebo full záloha AD.

Smazání obou DNS oddílů je možné následovně:

•  ADSI edit
  • připojte se na NC Configuration
  • na cestě „CN=Partitions,CN=Configuration,DC=mouse,DC=local“ uvidíte zobrazení oddílů, klikněte pravou myší na DNS oddíly a smažte je
  • po smazání je třeba vynutit replikace AD a počkat, až se změny promítnou na všech DC
  • restartujte službu DNS Server na všech DC
  • DNS oddíly budou automaticky obnoveny s jiným CN
•  utilitkou „ntdsutil“ (pro OS starší nž W2k8 je správa oddílu pod příkazem domain management)
  • spusťte „ntdsutil“ a zadejte následující příkazy ntdsutil: partition management partition management: connections server connections: connect to server mysakdc Binding to mysakdc … Connected to mysakdc using credentials of locally logged on user. server connections: quit partition management: delete nc DC=DomainDnsZones,DC=mouse,DC=local

  The operation was successful. The partition has been marked for removal from the enterprise. It will be removed over time in the background.

  Note: Please do not create another partition with the same name until the servers which hold this partition have had anopportunity to remove it. This will occur when knowledge of the deletion of this partition has replicated throughout the forest, and the servers which held the partition have removed all the objects within that partition. Complete removal of the partition can be verified by consulting the Directory event log on each server.

  partition management: delete nc DC=forestDnsZones,DC=mouse,DC=local

  The operation was successful. The partition has been marked for removal from the enterprise. It will be removed over time in the background.

  Note: Please do not create another partition with the same name until the servers which hold this partition have had anopportunity to remove it. This will occur when knowledge of the deletion of this partition has replicated throughout the forest, and the servers which held the partition have removed all the objects within that partition. Complete removal of the partition can be verified by consulting the Directory event log on each server. partition management: quit ntdsutil: quit

•  po smazání je třeba vynutit replikace AD a počkat, až se změny promítnou na všech DC
  • restartujte službu DNS Server na všech DC
  • DNS oddíly budou automaticky obnoveny s jiným CN

Závěrečné kontroly po znovuvytvoření aplikačních DNS oddílů:

• zkontrolujte replikace AD
• zkontrolujte, zda jsou oba DNS oddíly vidět v DNS konsoli
• zkontrolujte, zda se v ADSI editu dá připojit na oba DNS oddíly
• zkontrolujte, zda se již nevyskytuje chyba/varování EventID 1801 v Diectory Services logu
• je možné, že se objeví chyby Kerberos EventID 4 pro konkrétní server („The kerberos client received a KRB_AP_ERR_MODIFIED error from the server1$“). Zde stačí server restartovat.