Connection status 1311 0x51f error no logon servers

Hi All,
  • Remove From My Forums
  • Question

  • Hi All,

      We are having intermittence disconnection to forest trust and when i run the following command found this

    nltest /sc_verify:external.com

    Flags: 80
    Trusted DC Name
    Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
    Trust Verification Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
    The command completed successfully

    We have 5 DC’s and  only one cause this issue.

    As

Answers

  • Can you pls check below ports are opened or not from both the end.

    <Service Name=»Domains and Trusts»>
        <Port Name=»RPC» Value=»135″ Protocol=»TCP»/>
        <Port Name=»LDAP» Value=»389″ Protocol=»BOTH»/>
        <Port Name=»LDAP SSL» Value=»636″ Protocol=»TCP»/>
        <Port Name=»LDAP GC» Value=»3268″ Protocol=»TCP»/>
        <Port Name=»LDAP GC SSL» Value=»3269″ Protocol=»TCP»/>
        <Port Name=»DNS» Value=»53″ Protocol=»BOTH»/>
        <Port Name=»Kerberos» Value=»88″ Protocol=»BOTH»/>
        <Port Name=»SMB» Value=»445″ Protocol=»TCP»/>
        <Port Name=»NetBIOS Name» Value=»137″ Protocol=»UDP»/>
        <Port Name=»NetBIOS NetLogon Browsing» Value=»138″ Protocol=»UDP»/>
        <Port Name=»NetBIOS Session» Value=»139″ Protocol=»TCP»/>
        <Port Name=»WINS Replication» Value=»42″ Protocol=»TCP»/>

    Use port Query.

    https://www.microsoft.com/en-in/download/details.aspx?id=24009


    Regards,

    Biswajit

    MCTS, MCP 2003,MCSA 2003, MCSA:M 2003, CCNA, Enterprise Admin, ITIL F 2011

    Blog:
      Script Gallary:
      LinkedIn:

    Note: Disclaimer: This posting is provided & with no warranties or guarantees and confers no rights..

    • Proposed as answer by

      Tuesday, February 10, 2015 3:49 AM

    • Marked as answer by
      Amy Wang_
      Wednesday, February 11, 2015 5:08 AM

  • That should be either a DNS resolution problem or ports required for the trust are blocked or filtered.

    For DNS resolution, make sure that you have conditional forwarders or secondary DNS zones that allow each domain within your forests to resolve the other domain(s) in the other forest. You use
    NSlookup for troubleshooting: http://social.technet.microsoft.com/wiki/contents/articles/29184.nslookup-for-beginners.aspx

    As for the required ports, you can find them here: https://support.microsoft.com/kb/179442?wa=wsignin1.0

    You can use PortQryUI for checking.


    This posting is provided AS IS with no warranties or guarantees , and confers no rights.

    Ahmed MALEK

    My Website Link

    My Linkedin Profile

    My MVP Profile

    • Proposed as answer by
      Amy Wang_
      Tuesday, February 10, 2015 3:49 AM
    • Marked as answer by
      Amy Wang_
      Wednesday, February 11, 2015 5:08 AM

  • Remove From My Forums
  • Question

  • dear folks,

    i have a strange issue here, i have just dcpromo a new windows 2003R2 DC.

    everytime i reboot the new DC i get error when i test netlogon with

    nltest /query —> Connection Status = 1311 0x51f ERROR_NO_LOGON_SERVERS

    nltest /dsregdns —> Connection Status = 1311 0x51f ERROR_NO_LOGON_SERVERS

    but the nltest /sc_query commands passed.

    nltest /sc_query:XXX.com —->
    Flags: 30 HAS_IP  HAS_TIMESERV
    Trusted DC Name \XXX.XXX.com
    Trusted DC Connection Status Status = 0 0x0 NERR_Success
    The command completed successfully

    after more than 60mins the error will be gone.

    of if i used the nltest /sc_reset:XXX.com to fix it….but it came back after a DC reboot.

    please advice

    thanks

    • Edited by

      Monday, January 3, 2011 7:59 AM

Answers

  • yes Kerberos Key Distribution set to start AUTO and started.

    yes error

    Event Type: Error
    Event Source: KDC
    Event Category: None
    Event ID: 11
    Date:  1/11/2011
    Time:  09:44:13
    User:  N/A
    Computer: MOWDCXX
    Description:
    There are multiple accounts with name SMTPSVC/MOWXXX of type DS_SERVICE_PRINCIPAL_NAME.

    For more information, see Help and Support Center at
    http://go.microsoft.com/fwlink/events.asp.

    Hello,

    please see: http://support.microsoft.com/kb/321044


    Best regards Meinolf Weber Disclaimer: This posting is provided «AS IS» with no warranties or guarantees , and confers no rights.

    • Marked as answer by
      Brent Hu
      Thursday, January 13, 2011 4:20 AM

Обновлено 02.01.2021

Error LogoДобрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами освежили в памяти комбинации горячих клавиш Windows 10. В сегодняшней статье я хочу потраблшутить с активным каталогом, а именно мы рассмотрим как устраняется и в чем причины ошибки с кодом ID 1311 при репликации Active Directory. Данная ошибка может появляться каждые 15 минут. Давайте ее исправим и на будущее научимся ее диагностировать сходу.

Описание ошибки 1311

У меня есть два домена Active Directory, корневой root и дочерний child, все в рамках одного дерева и леса. В какой-то момент в логах Windows на контроллерах домена я обнаружил ошибку:

Event ID 1311: The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.

Directory partition:
DC=child,DC=pyatilistnik,DC=org

There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.

User Action
Perform one of the following actions:
— Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option.
— Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site.

If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.

Event ID 1311: The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.

Данная ошибка появляется каждые 15 минут.

Ошибка 1311: There is insufficient site connectivity information for the KCC to create a spanning tree replication topology

Причины ошибки 1311

Одна из самых печально известных ошибок репликации — это событие с кодом 1311, оно может быть вызвано рядом причины:

  • Один или несколько контроллеров домена недоступны по сети или один или несколько контроллеров домена находятся в автономном режиме.
  • Один или несколько сайтов не могут взаимодействовать друг с другом из сетевых ошибок, например один или несколько сайтов не содержатся в ссылке на сайт.
  • Ссылки сайта содержат все сайты, но ссылки сайта не связаны между собой. Это условие известно как несвязанные ссылки на сайте.
  • Контроллеры домена-плацдарма подключены, но возникают ошибки при попытке репликации необходимого раздела каталога между сайтами Active Directory.
  • Предпочтительные серверы-плацдармы, определенные администратором, подключены к сети, но на них не размещен необходимый раздел каталога. Наиболее распространенная неправильная конфигурация — это определение серверов не глобального каталога в качестве серверов-плацдармов.
  • Предпочтительные плацдармы правильно определены администратором, но в настоящее время они отключены.
  • Сервер-плацдарм перегружен, поскольку сервер не производительный, слишком много сайтов филиалов пытаются реплицировать изменения с одного и того же контроллера домена-концентратора, или расписание репликации на сайтах слишком частое.
  • Средство проверки согласованности знаний (KCC) создало альтернативный путь для обхода межсайтового соединения, но продолжает повторять попытку сбойного соединения каждые 15 минут.
  • Мост включен в сайтах и службах Active Directory, но сеть не позволяет подключаться к сети между любыми двумя контроллерами домена в лесу.
  • Предпочитаемый сервер-плацдарм настроен и отключен
  • Ошибка разрешения DNS-имени
  • Ошибка 1311 может быть просто результатом другой, более серьезной проблемы и исчезнет, ​​когда эта проблема будет решена.

Диагностика и устранение ошибки 1311

KCC — это специальный процесс, который выполняется абсолютно на всех контроллерах домена и создает топологию репликации для Active Directory леса. KCC создает отдельные топологии репликации в зависимости от того, выполняется ли репликация на сайте (внутрисайтовая) или между сайтами (межсайтовой). KCC также динамически корректирует топологию, чтобы она соответствовала добавлению новых контроллеров домена, удалению существующих контроллеров домена, перемещению контроллеров домена на сайты, изменяющимся затратам и расписаниям, а также к контроллерам домена, временно недоступен или находится в состоянии ошибки.

Если вы подробно еще раз посмотрите ошибку 1311, то там нет точного упоминания какой именно контроллер домена является проблемным. Для этого мы с вами можем воспользоваться уже знакомой утилитой Repadmin по проверке репликации Active Directory. Выполните команду:

Диагностика и устранение ошибки 1311

Несмотря на то, что 1311 может не отображаться здесь, для него характерно сопряжение с событием «1722 Сервер RPC недоступен (The RPC server is unavailable)» (что в основном означает отсутствие физической связи). Тут же я вижу, что контроллер недоступен более 60 дней.

так же полезно будет выполнить команду, которая покажет подробную топологию по сайтам:

Вот вам пример, когда отсутствует связь с контроллером домена «The remote system is not available. For information about network troubleshooting».

The remote system is not available. For information about network troubleshooting

Элементарно проверить сетевую доступность нужного контроллера домена можно с помощью утилит командной строки ping и tracert. Убедитесь, что у вас правильные настройки ip адреса на недоступном контроллере, правильные маршруты, нет блокировок на уровне брандмауэра, разрешены порты Active Directory.

Если по сети контроллер отвечает, то нужно убедиться, что существует адекватное подключение к сайту. Выполните следующую процедуру на каждом контроллере домена, на котором размещен раздел, для которого KCC сообщает, что путь репликации не может быть вычислен. Начните с контроллера домена, который сообщает об этой проблеме. Для выполнения этой процедуры у вас должно быть членство в группе «Администраторы домена» или вам должны быть делегированы соответствующие полномочия. Чтобы убедиться, что контроллеры домена, на которых размещен указанный раздел каталога, доступны откройте командную строку в режиме администратора и введите:

dcdiag /test:connectivity

dcdiag /test:connectivity

Эта команда проверяет, доступны ли контроллеры домена и правильно ли они зарегистрированы на серверах системы доменных имен (DNS). Устраните все проблемы, обнаруженные при запуске этого теста.

Более подробную диагностическую информацию можно получить из команды представленной ниже, единственное необходимо в рамках леса иметь права администратора предприятия.

Если вы видите ошибки в топологии сайтов, то вы можете проверить вот такие вещи:

  • Настройте предпочтительный сервер-плацдарм. В Windows 2003 и выше все контроллеры домена рандомизируются в качестве серверов-плацдармов вместо того, чтобы иметь один единственный, как требуется для Windows 2000. При установке этого значения один контроллер домена становится сервером-плацдармом — и, если вы установите только один, и он будет не доступен, то проверка согласованности знаний (KCC) не найдет других партнеров? Просто скажи нет на этом. Если у вас есть какие-либо из них, отмените их, сняв флажок в оснастке «Сайты и службы».

Ошибка 1311, проверка сервера плацдарма

  • Убедитесь, что все сайты определены в ссылках сайта — это может показаться очевидным, но вы будете удивлены, насколько часто это проблема. В одном случае администратор сообщил, что один регион, содержащий несколько сайтов AD, вообще не реплицировался. После проверки я обнаружил, что на сайте хаба в этом регионе не было ссылок на сайты, определенные для какого-либо сайта. Я был поражен, что они не обнаружили это раньше, так как не было никакой репликации на любой другой DC вообще.

Устранение проблемы репликации AD и ошибки 1311

Осиротевшие объекты

Однажды один сервер глобального каталога был понижен в должности, но нетерпеливый администратор хотел ускорить очистку Active Directory, поэтому он сократил значение времени tombstonelifetime и затем принудительно запустил сборку мусора. К сожалению, он сделал это до того, как удаление сервера глобального каталога (GC) было отреплицировано на все DC и GC в лесу. Я получал ошибку 1311 вместе с множеством других, заявляющих, что Active Directory пытается реплицировать объект, у которого нет родителя, но он не идентифицирует родителя. В итоге я включал подробное ведение журнала и наконец определил GUID проблемного объекта. Используя инструмент LDP.exe, я смог удалить этот объект и остановить события 1311.

Ошибки DNS

Поскольку репликация AD зависит от разрешения имен DNS, чтобы найти контроллеры домена для репликации, в случае поломки DNS может привести к возникновению событий 1311. Здесь полезно то, что если виновником является DNS, то в событии 1311 фраза «Ошибка поиска DNS» будет включена в описание. Если вы видите эту фразу, то у вас абсолютно точно есть проблема с DNS, которую нужно исправить. Я никогда не видел, чтобы эта ошибка оказалась ложной. Обратите внимание, что это не обязательно будет регистрировать событие в журнале DNS, и вы увидите это и в других событиях. Помните, что отсутствие значительных ошибок в журнале событий DNS не означает, что DNS исправен.

Если вернуться конкретно к моему случаю, то у меня контроллер домена отсутствовал уже более 60 дней, и очень глупо его включать, так как это приведет к другим проблемам. Проще такой контроллер домена удалить и по необходимости развернуть новый. Даже если контроллер домена недоступен его можно корректно удалить.

Так же не забывайте проверить, что у вас контроллер удалился с сайта, и если он был в нем один, то лучше удалить сам сайт, если он не используется. Убедитесь, что теперь команды репликации не показывают ошибок 1722 или 1311. На этом у меня все с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Дополнительно

  • https://docs.microsoft.com/ru-ru/windows-server/identity/ad-ds/get-started/replication/active-directory-replication-concepts
  • https://social.technet.microsoft.com/wiki/contents/articles/1375.event-id-1311-microsoft-windows-activedirectory-domainservice.aspx

Содержание

  1. Connection status 1311 0x51f error no logon servers
  2. Answered by:
  3. Question
  4. Answers
  5. Connection status 1311 0x51f error no logon servers
  6. Connection status 1311 0x51f error no logon servers
  7. Connection status 1311 0x51f error no logon servers

Connection status 1311 0x51f error no logon servers

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

We are having intermittence disconnection to forest trust and when i run the following command found this

Flags: 80
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
Trust Verification Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully

We have 5 DC’s and only one cause this issue.

Answers

Can you pls check below ports are opened or not from both the end.

MCTS, MCP 2003,MCSA 2003, MCSA:M 2003, CCNA, Enterprise Admin, ITIL F 2011

Blog: Script Gallary: LinkedIn:

Note: Disclaimer: This posting is provided & with no warranties or guarantees and confers no rights..

That should be either a DNS resolution problem or ports required for the trust are blocked or filtered.

For DNS resolution, make sure that you have conditional forwarders or secondary DNS zones that allow each domain within your forests to resolve the other domain(s) in the other forest. You use NSlookup for troubleshooting: http://social.technet.microsoft.com/wiki/contents/articles/29184.nslookup-for-beginners.aspx

As for the required ports, you can find them here: https://support.microsoft.com/kb/179442?wa=wsignin1.0

You can use PortQryUI for checking.

This posting is provided AS IS with no warranties or guarantees , and confers no rights.

Источник

Connection status 1311 0x51f error no logon servers

dcdiag shows below

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: MOWMOWDC02
Starting test: Connectivity
. MOWDC02 passed test Connectivity

Doing primary tests

Testing server: MOWMOWDC02
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
MOWDC02: Current time is 2011-01-03 09:56:42.
DC=ForestDnsZones,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:16:03.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:25.
DC=DomainDnsZones,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:16:00.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:23.
CN=Schema,CN=Configuration,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:54.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:17.
CN=Configuration,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:39.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:13.
DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:57.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:19.
. MOWDC02 passed test Replications
Starting test: NCSecDesc
. MOWDC02 passed test NCSecDesc
Starting test: NetLogons
. MOWDC02 passed test NetLogons
Starting test: Advertising
. MOWDC02 passed test Advertising
Starting test: KnowsOfRoleHolders
. MOWDC02 passed test KnowsOfRoleHolders
Starting test: RidManager
. MOWDC02 passed test RidManager
Starting test: MachineAccount
. MOWDC02 passed test MachineAccount
Starting test: Services
. MOWDC02 passed test Services
Starting test: ObjectsReplicated
. MOWDC02 passed test ObjectsReplicated
Starting test: frssysvol
. MOWDC02 passed test frssysvol
Starting test: frsevent
. MOWDC02 passed test frsevent
Starting test: kccevent
. MOWDC02 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:17
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
. MOWDC02 failed test systemlog
Starting test: VerifyReferences
. MOWDC02 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom

Running partition tests on : XXX
Starting test: CrossRefValidation
. XXX passed test CrossRefValidation
Starting test: CheckSDRefDom
. XXX passed test CheckSDRefDom

Источник

Connection status 1311 0x51f error no logon servers

I have changed some private info. but should be correct reflected.

DC-1 (SITE A) (Windows server 2012 R2)

Windows IP Configuration

Host Name . . . . . . . . . . . . : DC1
Primary Dns Suffix . . . . . . . : HOME.LOCAL
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : HOME.LOCAL

Ethernet adapter Team #0:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TEAM : Team #0
Physical Address. . . . . . . . . : 70-E2-84-XX-XX-XX
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.0.0.22(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.0.0.1
DNS Servers . . . . . . . . . . . : 10.0.0.22
10.0.0.61
NetBIOS over Tcpip. . . . . . . . : Enabled

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
——————————————————————
DC-2 (SITE A) (Windows server 2016)

Windows IP Configuration

Host Name . . . . . . . . . . . . : DC2
Primary Dns Suffix . . . . . . . : HOME.LOCAL
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : HOME.LOCAL

Ethernet adapter Ethernet0:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
Physical Address. . . . . . . . . : 00-50-56-XX-XX-XX
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.0.0.61(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.0.0.1
DNS Servers . . . . . . . . . . . : 10.0.0.61
10.0.0.22
NetBIOS over Tcpip. . . . . . . . : Enabled

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Windows IP Configuration

Host Name . . . . . . . . . . . . : DC3
Primary Dns Suffix . . . . . . . : HOME.LOCAL
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : HOME.LOCAL

Ethernet adapter Team0:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Network Adapter Multiplexor Driver
Physical Address. . . . . . . . . : 90-1B-0E-XX-XX-XX
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.1.1.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.128
Default Gateway . . . . . . . . . : 10.1.1.1
DNS Servers . . . . . . . . . . . : 10.0.0.22
10.1.1.2
NetBIOS over Tcpip. . . . . . . . : Enabled

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Источник

Connection status 1311 0x51f error no logon servers

dcdiag shows below

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: MOWMOWDC02
Starting test: Connectivity
. MOWDC02 passed test Connectivity

Doing primary tests

Testing server: MOWMOWDC02
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
MOWDC02: Current time is 2011-01-03 09:56:42.
DC=ForestDnsZones,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:16:03.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:25.
DC=DomainDnsZones,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:16:00.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:23.
CN=Schema,CN=Configuration,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:54.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:17.
CN=Configuration,DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:39.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:13.
DC=XXX,DC=com
Last replication recieved from MUMDC01 at 2011-01-02 06:15:57.
Last replication recieved from ATUDC01 at 2010-12-30 09:21:19.
. MOWDC02 passed test Replications
Starting test: NCSecDesc
. MOWDC02 passed test NCSecDesc
Starting test: NetLogons
. MOWDC02 passed test NetLogons
Starting test: Advertising
. MOWDC02 passed test Advertising
Starting test: KnowsOfRoleHolders
. MOWDC02 passed test KnowsOfRoleHolders
Starting test: RidManager
. MOWDC02 passed test RidManager
Starting test: MachineAccount
. MOWDC02 passed test MachineAccount
Starting test: Services
. MOWDC02 passed test Services
Starting test: ObjectsReplicated
. MOWDC02 passed test ObjectsReplicated
Starting test: frssysvol
. MOWDC02 passed test frssysvol
Starting test: frsevent
. MOWDC02 passed test frsevent
Starting test: kccevent
. MOWDC02 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:13:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:17
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 01/03/2011 09:45:18
(Event String could not be retrieved)
. MOWDC02 failed test systemlog
Starting test: VerifyReferences
. MOWDC02 passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
. ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
. DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom

Running partition tests on : XXX
Starting test: CrossRefValidation
. XXX passed test CrossRefValidation
Starting test: CheckSDRefDom
. XXX passed test CheckSDRefDom

Источник

В некоторых случаях вам нужно определить на каком контроллере домена вы аутентифицированы (ваш logonserver). Это может пригодиться при проблемах с применением групповых политик, когда пользователи жалуются на медленный вход в систему. Пользователь может аутентифицироваться на неверном контроллере домена из-за того, что ближайший к нему DC не доступен, доступ к нему блокируется межсетевым экраном, неверной настройки подсетей и сайтов в Active Directory или проблемами с DNS. В результате пользователь может получать все GPO, скрипты, и т.д., не с ближайшего контроллера домена, а с любого другого DC. Это может привести к долгому применению GPO, медленной установке программ, медленной загрузки перемещаемых профилей или файлов в перенаправленных папках.

Содержание:

  • Как узнать на каком контроллере домена вы залогинены?
  • Как Windows определяет ближайший контроллер домена?

Как узнать на каком контроллере домена вы залогинены?

Вы можете узнать контроллер домена, через который вы выполнили вход в домен несколькими способами:

Если вы вошли на компьютер под локальной учетной записью, то вместо имени контроллера домена в переменной LogonServer будет указано имя вашего компьютера.

Зная контроллер домена, можно различную информацию о пользователя из журналов безопасности DC (например, историю входов пользователя в домен и другие логи).

Можно автоматически записывать информацию, на каком контроллере домена авторизовался пользователь в описание компьютера в AD. Так можно узнать LogonServer для конкретного компьютера из AD, не обращаясь к конкретному компьютеру по сети или локально.

Как Windows определяет ближайший контроллер домена?

За определение LogonServer при загрузке Windows отвечает служба NetLogon. Она должны быть запущена:

get-service netlogon

служба netlogon нужна для обнаружения контроллера домена

Упрощенно процесс поиска контроллера домена клиентом Windows выглядит так:

  1. При загрузке Windows служба NetLogon делает DNS запрос за списком контроллеров домена (SVR записи
    _ldap._tcp.dc._msdcs.domain_
    ;
  2. DNS возвращает список DC в домене;
  3. Клиент делает LDAP запрос к DC для определения сайта AD по-своему IP адресу;
  4. DC возвращает сайт, которому соответствует IP клиента или наиболее близкий сайт (эта информация кэшируется в ветке реестра
    HKLMSystemCurrentControlSetServicesNetlogonParameters
    и используется при следующем входе для более быстрого поиска);
  5. Клиент через DNS запрашивает список контроллеров домена в сайте (в разделе _
    tcp.sitename._sites...
    ); ldap записи в DNS зоне сайта
  6. Windows пытается связаться со всеми DC в сайте и первый ответивший используется для выполнении аутентификации и в качестве LogonServer.

Вы можете переключить ваш компьютер на другой контроллер домена AD вручную с помощью команды:

nltest /SC_RESET:WINITPROMSK-DC02.winitpro.ru

nltest сменить контроллер домена

Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \MSK-DC02.winitpro.ru
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

Если указанный DC не доступен, появится ошибка:

I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS

Если ни один из контроллеров домена не доступен, или компьютер отключен от сети, то при входе пользователя появится надпись:

There are currently no logon servers available to service the logon request.
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

Войти на такой компьютер можно только под сохраненными учетными данными доменного пользователя.

Найти ближайший к вам контроллер домена согласно иерархии сайтов, подсетей и весов можно с помощью командлета Get-ADDomainController из модуля Active Directory для PowerShell:

Get-ADDomainController -Discover -NextClosestSite

Так вы сможете определить имя контроллера домена, через который должен аутентифицироваться компьютер. Если он отличается от текущего, нужно понять почему.

← Вернуться в раздел «В помощь системному администратору»

При попытке создать доверительные отношения между Win2003 и Win2000 на машине с Win2003 выдается следующее сообщение:

Цитата:

Входящее доверие проверено. Оно работоспособно и активно.
При проверке исходящего доверия произошли следующие ошибки:
Проверка пароля доверия не завершена.
Будет предпринята попытка переустановить безопасный канал.
Ошибка 1311 переустановки безопасного канала: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

netdiag на обоих машинах ошибок не выдает, DNS настроен нормально. При попытке создать отношения между той же Win2003 и тестовой Win2000 никаких ошибок нет, все проходит нормально.
Подскажите, в каком направлении можно копать?

Автор: Newbie777
Дата сообщения: 18.05.2004 16:23

nltest /sc_reset или /sc_change_pwd

Автор: ert
Дата сообщения: 19.05.2004 09:15

nltest /reset выдает:

Цитата:

I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS

Руководствуясь статьей из Windows 2000 Resource Kits — Diagnosing and Troubleshooting Active Directory Problems попробовал nltest /sc_query на что получил:

Цитата:

Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
The command completed successfully

при этом nltest /sc_getdc для обоих доменов ошибок не выдает.
В чем может быть причина такого странного поведения?

Автор: trisen
Дата сообщения: 19.05.2004 12:42

причина в Domain Contoller Security Policy

политики в Window 2003 по умолчанию более секурные
вообщем вам понятно что ковырять

сравните их по пунктам, увидете разницу.

Автор: ert
Дата сообщения: 19.05.2004 17:19

Заработало nltest /sc_reset DcName, после этого доверие приходит в норму, нужные ресурсы доступны. Но при проверке через оснастку «Домены и доверие» на Win2k все опять рушится. Можно в принципе куда не надо не лазить, но у тамошнего администратора руки постоянно чешутся.

Автор: Newbie777
Дата сообщения: 20.05.2004 15:45

видимо лазит он туда тулами для Win2K AD, вот и рушится всё.

Страницы: 1

Предыдущая тема: Выключить все компы в сети


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель — сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.

4 / 4 / 2

Регистрация: 26.05.2014

Сообщений: 354

1

25.10.2019, 15:00. Показов 3994. Ответов 10


Вход на сервер осуществляется через локального администратора. А как войти через доменного пользователя? Как только пытаюсь войти чрез домен пишет «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера». Подскажите куда копать?

__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь



0



233 / 223 / 46

Регистрация: 12.12.2012

Сообщений: 1,928

25.10.2019, 19:52

2

Ошибка означает, что у рабочей станции потеряны доверительные отношения с контроллером домена.



0



Модератор

Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows

6871 / 3818 / 477

Регистрация: 13.03.2013

Сообщений: 14,059

Записей в блоге: 9

28.10.2019, 02:14

3

Цитата
Сообщение от lev_
Посмотреть сообщение

Вход на сервер осуществляется через локального администратора.

На сервере AD нет локального администратора, на какой именно сервер пытаетесь зайти?
Если это не сервер AD, то он введен в домен?



0



4 / 4 / 2

Регистрация: 26.05.2014

Сообщений: 354

31.10.2019, 15:26

 [ТС]

4

Ну у меня только один сервер. ActiveDirectory на виртуалке. Сервер в домене, да.
Просто мне нужно запустить службу групповой политики (gmpc.msc), а сервер из под локального админа не пускает, пишет «Для управления груп. политикой необходима войти под уч.записью домена». Пытаюсь зайти под учетной записью домена выдает:

Цитата
Сообщение от lev_
Посмотреть сообщение

«База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера»



0



4 / 4 / 2

Регистрация: 26.05.2014

Сообщений: 354

05.11.2019, 20:48

 [ТС]

5

Встречался кто нибудь с такой проблемой?



0



KDE777

1882 / 1106 / 426

Регистрация: 22.01.2016

Сообщений: 3,050

06.11.2019, 11:34

6

Цитата
Сообщение от lev_
Посмотреть сообщение

«База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера»

Одна из причин — компьютер потерял доверительные отношения (связь) с доменом. Например, более 30 дней этот ПК не подключался к DC и его AD-пароль устарел.

Проверить можно так:

Код

nltest /server:computername /sc_query:mydomain

computername — имя проблемного ПК
mydomain — имя вашего домена

В этом случае повторно добавьте ПК в домен, т.е. выведите из домена, для AD УЗ этого ПК сделать «Reset Account» и введите в домен обратно.

Добавлено через 7 минут
+ проверить (и даже попробовать починить) связь с доменом можно и из PowerShell:

PowerShell
1
Test-ComputerSecureChannel -verbose



0



4 / 4 / 2

Регистрация: 26.05.2014

Сообщений: 354

06.11.2019, 12:30

 [ТС]

7

Если выведу сервер из домена и обратно введу в домен, то с пользователями AD ничего не случиться? У меня 200+ пользователей в домене и ещё куча виртуальных машин.



0



1882 / 1106 / 426

Регистрация: 22.01.2016

Сообщений: 3,050

06.11.2019, 12:43

8

Цитата
Сообщение от lev_
Посмотреть сообщение

Если выведу сервер из домена и обратно введу в домен, то с пользователями AD ничего не случиться?

Так вы до сих пор ясно не ответили — это просто сервер (с какими ролями?) добавленный в AD домен или сервер с ролью контроллер домена? Если второе, тогда совершенно не ясно о каком входе из-под локального администратора вы пишете, т.к. Maks уже справедливо писал, что на DC нет локальных УЗ.

Выполните:

где mydomain.ru — имя вашего домена. И убедитесь, что ни один IP выданный этой командой не совпадает с IP проблемного сервера.

Цитата
Сообщение от lev_
Посмотреть сообщение

У меня 200+ пользователей в домене и ещё куча виртуальных машин.

Если у вас единственный DC показывает ошибку из темы, тогда у меня для ваших 200+ уже очень плохие новости



0



4 / 4 / 2

Регистрация: 26.05.2014

Сообщений: 354

06.11.2019, 16:05

 [ТС]

9

Цитата
Сообщение от Maks
Посмотреть сообщение

на какой именно сервер пытаетесь зайти?

сервер контроллер домена.
Проверил:

Код

nltest /server:computername /sc_query:mydomain

Пишет ошибка Статус = 1311 0x51f ERROR_NO_LOGON_SERVERS. Это что за ошибка?



0



1882 / 1106 / 426

Регистрация: 22.01.2016

Сообщений: 3,050

06.11.2019, 16:17

10

Цитата
Сообщение от lev_
Посмотреть сообщение

сервер контроллер домена.

тогда

Цитата
Сообщение от lev_
Посмотреть сообщение

Вход на сервер осуществляется через локального администратора

не соответствует действительности.

Цитата
Сообщение от lev_
Посмотреть сообщение

Пишет ошибка Статус = 1311 0x51f ERROR_NO_LOGON_SERVERS. Это что за ошибка?

Если проблемы всё-таки с AD DC, тогда запускайте не nltest, а полную диагностику:

и очень внимательно читайте результат…

Добавлено через 2 минуты
+ обязательно смотрите, что у вас за ошибки в Windows Event Log’ах



1



4 / 4 / 2

Регистрация: 26.05.2014

Сообщений: 354

06.11.2019, 16:18

 [ТС]

11

спасибо



0



Понравилась статья? Поделить с друзьями:
  • Connection reset ошибка minecraft
  • Connection reset error minecraft
  • Connection reset by peer socket write error connection reset by peer socket write error
  • Connection rejected самп как исправить
  • Configure error route utility is required but missing