The dns server has encountered a critical error from the active directory

Event ID 4015 — DNS Server Active Directory Integration

Originally published: November 13, 2007 at: http://technet.microsoft.com/en-us/library/cc735674(WS.10).aspx 

Applies To

Windows Server 2008

(This wiki page is part of a pilot program to remove topics such as this one from the TechNet and MSDN libraries and move them to the wiki.)  

Event Details

Product:	Windows Operating System
Event ID:	4015
Source:	Microsoft-Windows-DNS-Server-Service
Version:	6.0
Symbolic Name:	DNS_EVENT_DS_INTERFACE_ERROR
Message:	The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is "%1". The event data contains the error.

 

Resolve

Troubleshoot AD DS and restart the DNS Server service

The DNS Server service relies on Active Directory Domain Services (AD DS) to store and retrieve information for AD DS-integrated zones. This error indicates that AD DS is not responding to requests from the DNS Server service. Ensure that AD DS is functioning properly, troubleshoot any problems, and then restart the DNS Server service.

For information about troubleshooting AD DS, see Active Directory Troubleshooting Topics  (http://go.microsoft.com/fwlink/?LinkId=95789).

To perform this procedure, you must have membership in Administrators, or you must have been delegated the appropriate authority.

To restart the DNS Server service:

1. On the DNS server, start Server Manager. To start Server Manager, click Start, click Administrative Tools, and then click Server Manager.
2. In the console tree, expand Roles, expand DNS Server, and then expand DNS.
3. Right-click the DNS server, click All Tasks, and then click Restart.

If the problem continues, restart the computer and then use Server Manager to confirm that the DNS Server service has started.

To restart the computer:

• Click Start, click the arrow next to the Lock button, and then click Restart.

To confirm that the DNS Server service has started:

1. On the DNS server, start Server Manager.
2. In the console tree, expand Roles, and then click DNS Server.

The System Services list shows the state of the DNS Server service.

Verify

Ensure that Event IDs 4523 and 4524 are being logged and that no events in the range 4000 to 4019 appear in the Domain Name System (DNS) event log.

Related Management Information

DNS Server Active Directory Integration (TechNet Library)

DNS Infrastructure (TechNet Library)

Over this past weekend, I had multiple DNS errors show up in my event viewer that appeared to stop before Monday. I have not noticed any other issues with my DNS so far this week. I’m just curious if this something I should be concerned about, since it’s been quiet for the last couple of days.

Event 4004:The DNS server was unable to complete directory service enumeration of zone TrustAnchors. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is «». The event data contains the error.

Event 4015: The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is «». The event data contains the error.

These occurred on both my primary and secondary DNS servers, but at different times.

check
Best Answer

Neally

This person is a verified professional.

Verify your account
to enable IT peers to see that you are a professional.

pure capsaicin

Did one of them reboot around the time you saw the error?

There is no 100% agreement with how DNS needs to bet setup….

I’d say point the DNS to the other DNS server first

Server1
PRIMARY: Server2 IP
SECONDARY: 127.0.0.1

Server2
PRIMARY: Server1 IP
SECONDARY: 127.0.0.1

1. If a DC is hosting DNS, it should point to itself at least somewhere in the client list of DNS servers.
2. If at all possible on a DC, client DNS should point to another DNS server as primary and itself as secondary or tertiary. It should not point to self as primary due to various DNS islanding and performance issues that can occur. (This is where the arguments usually start)
3. When referencing a DNS server on itself, a DNS client should always use a loopback address and not a real IP address.
4. Unless there is a valid reason not to that you can concretely explain with more pros than cons, all DC’s in a domain should be running DNS and hosting at least their own DNS zone; all DC’s in the forest should be hosting the _MSDCS zones. This is default when DNS is configured on a new Win2003 or later forest’s DC’s. (Lots more arguments here).
5. DC’s should have at least two DNS client entries.
6. Clients should have these DNS servers specified via DHCP or by deploying via group policy/group policy preferences, to avoid admin errors; both of those scenarios allow you to align your clients with subnets, and therefore specific DNS servers. Having all the clients & members point to the same one or two DNS servers will eventually lead to an outage and a conversation with us and your manager. If every DC is a DNS server, clients can be fine-tuned to keep their traffic as local as possible and DNS will be highly available with special work or maintenance. It also means that branch offices can survive WAN outages and keep working, if they have local DC’s running DNS.
7. We don’t care if you use Windows or 3rd party DNS. It’s no skin off our nose: you already paid us for the DC’s and we certainly don’t need you to buy DNS-only Windows servers. But we won’t be able to assist you with your BIND server, and their free product’s support is not free.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff… Opens a new window

https://blogs.technet.microsoft.com/askds/2010/07/17/friday-mail-sack-saturday-edition/ Opens a new window

Was this post helpful?
thumb_up
thumb_down

View Best Answer in replies below

RODC logs DNS event 4015 every three minutes with error code 00002095

This article describes event ID 4015 that occurs when you run the Domain Name Service (DNS) role on a Read-Only Domain Controller (RODC) and a writable Domain Controller (hosting DNS) isn’t accessible.

Applies to: В Windows Server 2012 R2
Original KB number: В 969488

Symptoms

If we’re running the Domain Name Service (DNS) role on a Read-Only Domain Controller (RODC) and a writable Domain Controller (hosting DNS) isn’t accessible, we see the following event being logged on the RODC.

Log Name: DNS Server
Source: Microsoft-Windows-DNS-Server-Service
Date: date time
Event ID: 4015
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: computer_name
Description:
The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is «00002095: SvcErr: DSID-03210A6A, problem 5012 (DIR_ERROR), data 16». The event data contains the error.

Cause

When a Read Only Domain Controller (RODC) locates a writeable DNS server to perform ReplicateSingleObject (RSO), it performs a DSGETDC function with the following flags set:

DS_AVOID_SELF
DS_TRY_NEXTCLOSEST_SITE
DS_DIRECTORY_SERVICE_6_REQUIRED
DS_WRITEABLE_REQUIRED

Once a DC is returned from the DSGETDC call, it uses the result to search for the NS record in DNS. If the DSGETDC call fails, or it fails to find the NS record of the DC returned from DSGETDC, the error 4105 will be logged.

Possible causes of the 4105 error:

No writeable DC is accessible, or none returned from DSGETDC call

The DSGETDC call was successful, but the DC returned doesn’t have the DNS Server Role installed, or doesn’t register an NS record in DNS.

The following command can be ran from the RODC to check which DC is returned from the DSGETDC call:

Where DOMAIN.COM is your domain name.

Resolution

To resolve either cause above, ensure that a writable DC is accessible from the RODC, that the DNS Server Role is installed on that DC, and that the NS record is registered in DNS for the writable DC.

More information

For more information about the DSGETDC function, see TechNet article:

Disclaimer

Microsoft and/or its suppliers make no representations or warranties about the suitability, reliability, or accuracy of the information contained in the documents and related graphics published on this website (the «materials») for any purpose. The materials may include technical inaccuracies or typographical errors and may be revised at any time without notice.

To the maximum extent permitted by applicable law, Microsoft and/or its suppliers disclaim and exclude all representations, warranties, and conditions whether express, implied, or statutory, including but not limited to representations, warranties, or conditions of title, non-infringement, satisfactory condition or quality, merchantability and fitness for a particular purpose, with respect to the materials.

Источник

RODC регистрирует событие DNS 4015 каждые три минуты с кодом ошибки 00002095

В этой статье описывается событие с идентификатором 4015, которое происходит при запуске роли службы доменных имен (DNS) на контроллере домена Read-Only (RODC), а доступный для записи контроллер домена (размещение DNS) недоступен.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 969488

Симптомы

Если мы запускаем роль службы доменных имен (DNS) на контроллере домена Read-Only (RODC), а доступный для записи контроллер домена (размещение DNS) недоступен, мы видим следующее событие, регистрируемое в RODC.

Имя журнала: DNS-сервер
Источник: Microsoft-Windows-DNS-Server-Service
Дата: дата и время
Идентификатор события: 4015
Категория задач: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Компьютер: имякомпьютера_
Описание:
На DNS-сервере произошла критическая ошибка из Active Directory. Убедитесь, что Active Directory работает правильно. Сведения об отладке расширенных ошибок (которые могут быть пустыми) — «00002095: SvcErr: DSID-03210A6A, проблема 5012 (DIR_ERROR), данные 16». Данные события содержат ошибку.

Причина

Когда контроллер домена только для чтения (RODC) находит доступный для записи DNS-сервер для выполнения replicateSingleObject (RSO), он выполняет функцию DSGETDC со следующими флагами:

DS_AVOID_SELF
DS_TRY_NEXTCLOSEST_SITE
DS_DIRECTORY_SERVICE_6_REQUIRED
DS_WRITEABLE_REQUIRED

После возвращения контроллера домена из вызова DSGETDC он использует результат для поиска записи NS в DNS. Если вызов DSGETDC завершается сбоем или не удается найти запись NS контроллера домена, возвращенную из DSGETDC, будет записана ошибка 4105.

Возможные причины ошибки 4105:

Контроллер домена, доступный для записи, недоступен или не возвращается при вызове DSGETDC

Вызов DSGETDC выполнен успешно, но возвращенный контроллер домена не установил роль DNS-сервера или не регистрирует запись NS в DNS.

Чтобы проверить, какой контроллер домена возвращается из вызова DSGETDC, можно выполнить следующую команду:

Где DOMAIN.COM находится ваше доменное имя.

Решение

Чтобы устранить описанные выше причины, убедитесь, что доступный для записи контроллер домена из контроллера домена, что роль DNS-сервера установлена на этом контроллере домена и что запись NS зарегистрирована в DNS для доступного для записи контроллера домена.

Дополнительные сведения

Дополнительные сведения о функции DSGETDC см. в статье TechNet:

Заявление об отказе от ответственности

Корпорация Майкрософт и (или) ее поставщики не делают никаких представлений или гарантий о пригодности, надежности или точности сведений, содержащихся в документах и связанных графических элементах, опубликованных на этом веб-сайте (материалы) для каких-либо целей. Эти материалы могут включать технические неточности или о типографические ошибки и могут быть изменены в любое время без предварительного уведомления.

В максимальной степени, разрешенной применимым законодательством, корпорация Майкрософт и (или) ее поставщики не допускают и исключают все представления, гарантии и условия, как явные, подразумеваемые, так и предусмотренные законом, включая, помимо прочего, представления, гарантии или условия заголовка, отсутствие нарушения прав, удовлетворительное условие или качество, товарную пригодность и пригодность для определенной цели в отношении материалов.

Источник

Event error 4015 dns

Вопрос

Установили новый контроллер домена на Windows 2012 R2, (режим работы домена 2008R2), при перезагрузке сервера появляется ошибка:

DNS-сервер обнаружил критическую ошибку Active Directory. Проверьте работоспособность Active Directory. Дополнительная отладочная информация об ошибке: «» (может отсутствовать). Данные о событии содержат сведения об ошибке.

Также почему-то данная ошибка журнале отображается так:

Тип события: Ошибка
Источник события: Microsoft-Windows-DNS-Server-Service
Категория события: Отсутствует
Код события: 4015
Дата: 16.01.2015
Время: 15:03:52
Пользователь: NT AUTHORITYСИСТЕМА
Компьютер: LPTDC4.lptrans.ru
Описание:
Не найдено описание для события с кодом ( 4015 ) в источнике ( Microsoft-Windows-DNS-Server-Service ). Либо вызывающий данное событие компонент не установлен на этот локальный компьютер, либо установка повреждена. Установите или восстановите компонент на локальном компьютере либо обратитесь к производителю компонента за новой версией.

Если событие было сохранено с другого компьютера или переадресовано с удаленного компьютера, может потребоваться включить отображение сведений в события при их сохранении либо при установке подписки с переа .
Данные:
0000: 51 00 00 00 Q.

Может кто сталкивался с подобной проблемой, подскажет в чем дело?

PS: Также в логах присутвует такие предупреждения:

Глобальный список блокировки запросов является средством защиты от атак на сеть с помощью блокировки DNS-запросов от некоторых узлов с определенными именами. Это средство явилось причиной отказа DNS-сервера выполнить запрос с кодом ОШИБКА ИМЕНИ для wpad.rusagrotrans.ru., ходя данные для этого DNS-имени существуют в базе данных DNS. Другие запросы во всех локальных управляющих зонах для других имен, начинающихся с меток, входящих в список блокировки, также выполняться не будут, но при блокировке запросов события в журнал записываться не будут до перезапуска службы DNS-сервера на этом компьютере. Сведения об этом средстве и инструкции по его настройке см. в документации продукта.

Ниже приводится текущий глобальный список блокировки запросов(слишком длинный список для данного события может быть усечен):
wpad
isatap

Источник

Event error 4015 dns

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

Question

We have a 2008 functional level active drirectory running on two domain controllers — 2008 Standard and 2012 R2 Standard. DNS is active directory integrated and is installed on both DC’s. DHCP was installed on the 2008 DC, but was migrated over to the 2012 DC a few weeks ago as per the instructions here: http://www.brycematheson.io/how-to-migrate-dhcp-from-windows-server-2008-to-2012-2016/

We have a mix of static IP’s and dynamic IP’s. DHCP lease length is set to 8 hours.

After the migration I disabled the DHCP service on the 2008 server. A few hiccups occurred with mismatched DNS A and PTR records during thre next few days. After I cleaned those up I removed the DHCP role from the 2008 server.

About a week ago I noticed that while domain joined computers’ DNS records were fine, guest devices running Android and Apple OS, all of which were being assigned dynamic addresses had two PTR records — one current and one stale.

I deleted the stale records and did some research. I changed the DHCP IPv4 Advanced Properties so that conflict detection attempts was changed from 0 to 1, and created a dedicated AD account named DHCProtocol to use for DNS dynamic update registration credentials and set its password to never expire.

I was looking at the DNS logs yesterday and noticed many 4015 events. Note that these events only occurr on the 2012 server which hosts the DHCP role:

Log Name: DNS Server
Source: Microsoft-Windows-DNS-Server-Service
Date: 12/04/2018 13:14:04
Event ID: 4015
Task Category: None
Level: Error
Keywords: (131072)
User: HTLINCSDHCProtocol
Computer: Atlas.htlincs.local
Description:
The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is «0000051B: AtrErr: DSID-030F22B2, #1:
0: 0000051B: DSID-030F22B2, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 20119 (nTSecurityDescriptor)». The event data contains the error.

There are other accounts listed with 4051, but these are machine-name$ accounts. The majority of the entries reference the user as DHCProtocol.

More research led to this article: https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-c03366032. I restarted all our servers to install the lastest round of Windows Updates and hoped the restart might resolve the issue but the 4015 events continued to be logged.

I set the diagnostic logging for Directory Access to 5 as per the hpe.com article. The next 4015 error (shown above) coincided with the following from the Directory Access log:

Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Date: 12/04/2018 13:14:04
Event ID: 1175
Task Category: Directory Access
Level: Information
Keywords: Classic
User: SYSTEM
Computer: Atlas.htlincs.local
Description:
Internal event: A privileged operation (rights required = 0x) on object DC=152,DC=0.168.192.in-addr.arpa,cn=MicrosoftDNS,DC=ForestDnsZones,DC=htlincs,DC=local failed because a non-security related error occurred.

Immediately followed by:

Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Date: 12/04/2018 13:14:04
Event ID: 1174
Task Category: Directory Access
Level: Information
Keywords: Classic
User: HTLINCSDHCProtocol
Computer: Atlas.htlincs.local
Description:
Internal event: A privileged operation (rights required = 0x) was successfully performed on object DC=152,DC=0.168.192.in-addr.arpa,cn=MicrosoftDNS,DC=ForestDnsZones,DC=htlincs,DC=local.

Having got this far, I am not sure how to proceed. Can anyone help me with this, or to understand what is happening please?

Источник

Event error 4015 dns

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

При выключении сервера в Event Viewer регистрируются события:

Код: 4015
Источник: DNS

DNS-серверу обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Расширенная информация об ошибке: «». Данные события содержат сведения об ошибке.
Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».

и сразу после этого 4 сообщения

Код 4004
Источник DNS

DNS-серверу не удалось загрузить зону, поскольку не удалось завершить перечисление служб зоны name.xy.local. Данный DNS-сервер настроен для получения и использования информации этой зоны из Active Directory. Проверьте, что Active Directory функционирует нормально и повторите перечисление зоны. Расширенная информация об ошибке: «». Данные события содержат сведения об ошибке.

Дополнительные сведения можно найти в центре справки и поддержки, в «http://go.microsoft.com/fwlink/events.asp».

Вместо «name» появляются имена зон прямого просмотра

Система: Windows 2003 Server R2 +SP2

Ошибка проявляется после каждой 2й перезагрузки.

Источник