Ошибка NETLOGON 5719: Перестал отвечать дочерний домен

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В минувший раз мы с вами разбирали как можно изменить формат файла и когда это может пригодиться. В сегодняшней публикации я хочу с вами поделиться интересным опытом, который я приобрел в процессе перевода контроллеров домена на более свежую версию ОС. После переустановки контроллера домена у меня отвалился дочерний домен Active Directory, в логах я наблюдал массовую ошибку NETLOGON с ID 5719. Давайте я покажу, как не поседеть в такой ситуации и вернуть в рабочее состояние вашу инфраструктуру.

Описание ошибка NETLOGON 5719

В компании идет процесс по переходу на операционные системы Windows Server 2019 и выше, поэтому контроллеры домена тут не стали исключением. Все шло своим чередом, вечером я переустановил еще один из контроллеров. Обычно я даю минут 15-20 новому контроллеру, чтобы он осознал себя сервером глобального каталога, подтянул все политики и необходимые реплики. После этого я обычно запускал команду проверки репликации на уровне леса:

И вот тут меня ждал небольшой шок😀 у меня стал недоступен целый дочерний домен. 7 контроллеров домена просто перестали быть доступны, я честно такое видел впервые, при условии, что они минут 10 назад прекрасно отвечали.

Первое, что я стал делать, это решил посмотреть логи Windows на каждом из контроллеров домена в лесу Active Directory. В журнале "System" была ошибка NETLOGON 5719, с которой я уже встречался, когда мне нужно было решить ошибку "Отсутствуют серверы которые могли бы обработать запрос", и там была проблема, что недоступен контроллер домена, а не целый домен.

Давайте траблшутить и устранять ее.

Как устранить ошибку NETLOGON 5719 и вернуть к жизни дочерний домен

Ошибка NETLOGON 5719 в Active Directory является одной из наиболее распространенных ошибок, с которыми сталкиваются администраторы сетей. Она указывает на проблемы с установлением связи между клиентом и контроллером домена, в моем случае между контроллерами одних доменов и контроллерами недоступного домена.

Причины возникновения ошибки могут быть различными. Одной из основных причин является неправильная настройка сетевых параметров на клиентской машине или на контроллере домена. Это может быть вызвано неправильными настройками IP-адреса, DNS-сервера или шлюза по умолчанию. Также, проблемы могут возникать из-за неправильной конфигурации Active Directory, например, если контроллер домена неправильно зарегистрирован или не может обрабатывать запросы от клиентов.

• ✅Первое, что вы должны сделать, это проверить сетевую связанность между контроллерами разных доменов. Для этого есть простая утилита командной строки ping, но в моем случае удаленные контроллеры по имени были недоступны, я получал ошибку:

Какого лешего я подумал, я проверил имена контроллеров домена недоступного дочернего домена и все они просто не резолвились. Мой DNS сервер как будто не знал, о существовании такой зоны. В итоге понятно, что есть проблема на уровне DNS, но еще хотелось бы точно проверить, что есть сетевая связанность между серверами, тут нужно выполнить команду пинг, но по IP. С помощью сетевых инженеров я нашел IP адреса и они подтвердили, что связанность есть.

• ✅Далее раз проблема связанна с разрешением имен, то логично пойти на DNS  сервер контроллера домена, с которого недоступен дочерний домен.

Вы должны открыть зону msdsc.root.pyatilistnik.org или корневую зону в которой найдите серебристый значок с именем дочернего домена, что перестал быть доступен, я выделил его стрелкой. Откройте его свойства.

Вам необходимо зайти на вкладку "Name Servers". Убедитесь, что тут представлен правильный список DNS имен отвечающих за дочерний домен. В моем случае было так:

• ✅Почти все контроллеры домена имели статус "Unknown"
• ✅А тот, что был один с IP-адресом имел неправильный IP и не пинговался.

Список DNS серверов на зоне msdsc выглядел так же, все контроллеры кроме дочерних из недоступного домена были со статусом "Unknown".

Зайдем в любой DNS сервер со статусом "Unknown" и попробуем проверить разрешение данного имени. В большинстве случаев вы получите ошибку:

Это было ожидаемо, но я выкрутился так, что спросил у коллеги, какой там должен был быть правильный IP. После его указания вручную для этого сервера, все остальные серверы правильно разрезолвились, почему так произошло для меня загадка, с учетом того, что данная зона распространяется на весь лес.

В итоге ошибка NETLOGON 5719 ушла и при выполнении команды repadmin /replsummary все контроллеры домена дочернего домена были определены.

Дополнительные методы диагностики и устранения ошибки NETLOGON 5719

• Ошибка репликации 8524 в Active Directory
• Посредник подключений к удаленному рабочему столу не активен
• Ошибка 1722 сервер RPC не доступен на контроллере домена
• Ошибка DNS request timed out

На этом у меня все, с вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что вам удалось устранить свою ошибку и вернуть все в рабочее состояние.