Уже замечал раньше какую-то странную работу DNS, но только сейчас дошли руки разбираться.
Есть 3 контроллера домена в основном сайте: 2003R2 и 2шт 2012R2.
Изначально домен поднимался на 2000 Server, но это было когда-то давно, я не застал это время.
Сейчас в оснастке DNS в домене нет зон FomainDnsZones и ForesDnsZones
Хотя в ntdsutil находит контексты наименования, в том числе
3 — DC=DomainDnsZones,DC=domain,DC=int
4 — DC=ForestDnsZones,DC=domain,DС=int
Тем не менее зона является AD интегрированной и корректно реплицируется на другие контроллеры. Однако нельзя создать новую интегрированную зону. Пишет «На сервере произошла авария». Проблема появляется, только если указать в области
репликации «на все dns серверы в домене» или «на все dns серверы в лесу». Если указать «на все контроллеры домена в домене», то зона создается.
Тоже самое происходит, если попытаться изменить область репликации зоны — не изменяется.
В логах сервера новых сообщений с ошибками не появляется.
Так происходит на любом контроллере домена. Пока вроде бы нет каких-то проблем, которые бы мешали жить, однако такая неразбериха мне не нравится.
Изначально домен был на 2000 сервере. Со временем был обновлен до 2003. А сейчас планируется удалить последний 2003 из контроллеров и повысить версию. Однако я боюсь это делать пока я вижу какие-то ошибки в DNS, боюсь что это может
плохо сказаться.
С чем может быть связана такая ошибка? Что может означать сообщение «на сервере произошла авария»?
MCITP: Server Administrator
MCTS: Desktop Virtualization
MCTS: Windows 7, Configuration
Сетевое администрирование Huawei Enterprise
-
Изменено
16 ноября 2015 г. 13:06
Уже замечал раньше какую-то странную работу DNS, но только сейчас дошли руки разбираться.
Есть 3 контроллера домена в основном сайте: 2003R2 и 2шт 2012R2.
Изначально домен поднимался на 2000 Server, но это было когда-то давно, я не застал это время.
Сейчас в оснастке DNS в домене нет зон FomainDnsZones и ForesDnsZones
Хотя в ntdsutil находит контексты наименования, в том числе
3 — DC=DomainDnsZones,DC=domain,DC=int
4 — DC=ForestDnsZones,DC=domain,DС=int
Тем не менее зона является AD интегрированной и корректно реплицируется на другие контроллеры. Однако нельзя создать новую интегрированную зону. Пишет «На сервере произошла авария». Проблема появляется, только если указать в области
репликации «на все dns серверы в домене» или «на все dns серверы в лесу». Если указать «на все контроллеры домена в домене», то зона создается.
Тоже самое происходит, если попытаться изменить область репликации зоны — не изменяется.
В логах сервера новых сообщений с ошибками не появляется.
Так происходит на любом контроллере домена. Пока вроде бы нет каких-то проблем, которые бы мешали жить, однако такая неразбериха мне не нравится.
Изначально домен был на 2000 сервере. Со временем был обновлен до 2003. А сейчас планируется удалить последний 2003 из контроллеров и повысить версию. Однако я боюсь это делать пока я вижу какие-то ошибки в DNS, боюсь что это может
плохо сказаться.
С чем может быть связана такая ошибка? Что может означать сообщение «на сервере произошла авария»?
MCITP: Server Administrator
MCTS: Desktop Virtualization
MCTS: Windows 7, Configuration
Сетевое администрирование Huawei Enterprise
-
Изменено
16 ноября 2015 г. 13:06
I need to read the Active Directory, search users and create user functionality.
I am able to use DirectoryEntry in C# and Domain is only physical server.
In my production environment, I have two physical domain servers with same domain name. When I try to search the AD user or create, I am getting the following exception.
Exception : «0000202B: RefErr: DSID-031007EF, data 0, 1 access points» [extended Error 8235]
Note that I have Domain Admin privileges on the domain but I’m still having the same issue.
Luís Cruz
14.8k16 gold badges67 silver badges100 bronze badges
asked Nov 5, 2011 at 9:35
3
0000202B: could mean wrong DN/searchbase like incorrect DC value etc.
answered Aug 5, 2013 at 7:26
OnlyjobOnlyjob
5,6422 gold badges34 silver badges35 bronze badges
Your problem looks like a DNS problem. I know writting that, I’ve got statisticaly 80% chance being right. Check the domain name resolution from your client. Check your DNS and verify that your two domain controlers are well registered.
answered Nov 8, 2011 at 5:17
JPBlancJPBlanc
70k17 gold badges129 silver badges174 bronze badges
3
The error you are getting is referall related:
ERROR_DS_REFERRAL
8235 (0x202B)
A referral was returned from the server.
You can find the error codes linked at this MSDN Article.
answered Nov 8, 2011 at 22:57
geoffcgeoffc
4,0107 gold badges44 silver badges50 bronze badges
3
Skip to content
Active Directory System Discovery fails suddenly with 0x8007202B
ISSUE
Active Directory System Discovery fails suddenly with 0x8007202B
LOGS
adsysdis.log:
ERROR: Failed to bind to 'LDAP://CN=COMPUTERS,DC=DIRCONTOSO,DC=INT' (0x8007202B)~ ERROR: Failed to bind to 'LDAP://CN=COMPUTERS,DC=ROOTCONTOSO,DC=CORP' (0x8007202B)~ ERROR: Failed to bind to 'LDAP://OU=DOMAIN CONTROLLERS,DC=ROOTCONTOSO,DC=CORP' (0x8007202B)~ ERROR: Failed to bind to 'LDAP://OU=SCCMTEST,DC=DIRCONTOSO,DC=INT' (0x8007202B)~ ERROR: Failed to bind to 'LDAP://OU=SERVERS,DC=DIRCONTOSO,DC=INT' (0x8007202B)~ ERROR: Failed to bind to 'LDAP://OU=WINDOWS 2019 - GPO2019 L2,OU=SERVERS,DC=UATHWLROOT,DC=CORP' (0x8007202B)~
0x8007202B means:
Error Code: 0x202B (8235)
Error Name: ERROR_DS_REFERRAL
Error Source: Windows
Error Message: A referral was returned from the server.
REASON
The cause is that when SCCM primary server accesses LDAP , the Kerberos authentication failed due to unknown reasons. Then it falls back to NTLM, which failed due to 3-part SPN hardening patch applied on the DCs.
For details, refer to this article – https://support.microsoft.com/en-us/topic/kb5011233-protections-in-cve-2022-21920-may-block-ntlm-authentication-if-kerberos-authentication-is-not-successful-dd415f99-a30c-4664-ba37-83d33fb071f4
SOLUTION
Log a ticket to Microsoft
References
- KB5011233: Protections in CVE-2022-21920 may block NTLM authentication if Kerberos authentication is not successful
- CVE-2022-21920
Introduction
I was working with a customer recently who could not get clients or servers at a new remote site to activate using Active Directory Based Activation (ADBA). They were getting event ID 8214 as in the image below.
Notice in the above where I bold the computer name Client1.Child1.Contoso.local. This means that Client1 is in a Child Domain called Child1 of Contoso.local. A client activates as follows:
- The client Query’s a local domain controller in it’s current domain which is Child1.Contoso.local
- It finds the forest configuration container and drills down to the Activation Object such as the one displayed in the picture above after AO DN.
- Then it tries to connect to the forest root domain to activate the client.
- If the client connects to the forest root domain then activation starts.
- If the client cannot connect to the forest root domain ADBA fails and event ID 8214 is logged to the application log on the client.
- The client then tries to find a KMS server.
- If a KMS server is available then activation starts.
- If no KMS server exists the client fails activation.
Description of Issue
If you see the event ID 8214 logged then ADBA failed. The most common reason for this is the client subnet does not have the required ports open to the forest root domain. See port list below:
| Client Port(s) | Server Port | Service |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos password change |
| 49152 -65535/TCP | 49152-65535/TCP | RPC for LSA, SAM, Netlogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 636/TCP | LDAP SSL |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Reference: https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts
Solution
To resolve the ADBA 8214 issue open up the required ports from your client and server subnets to the forest root domain. Your clients will then begin using Active Directory base Activation.
Published
January 15, 2020