У меня есть тестовый домен, который я недавно настроил. Внезапно ни один пользователь не может войти в систему, кроме пользователей с кэшированными учетными данными. В домен входят два контроллера домена, которые являются глобальными каталогами, реплицируемыми друг к другу.
После исследования проблемы я обнаружил, что все записи домена _mcdcs полностью удалены на обоих DNS-серверах. Это делает невозможным обнаружение контроллера домена, поскольку записи SRV, такие как _ldap и _kerberos, неразрешимы.
Я не совсем уверен, как это произошло ... может ли это вызвать очистка кеша DNS или очистка DNS?
На данный момент мне нужно как-то восстановить записи. Я посмотрел на настройки другого домена, и похоже, что их можно воссоздать вручную ... но я заметил, что в некоторых записях DNS есть имена SID ... и я понятия не имею, какой идентификатор потребуется использоваться для их воссоздания.
Есть ли способ лучше, чтобы выйти из такой ситуации?
1. Перезапустите службу Netlogon на одном из контроллеров домена.
ИЛИ
2. Запустите DCDiag / fix
ИЛИ
3. Вручную создайте записи из файла netlogon.dns с одного из контроллеров домена.
Записи DNS удаляются необычно (если их не удалил кто-то другой). Обычно они dnsTombstoned, поэтому записи могут отображаться при использовании другого инструмента, такого как ADSIEdit, даже если они не отображаются в диспетчере DNS или nslookup.
Есть крайние случаи, когда очистка может вызвать это (и множество других проблем, если очистка не настроена должным образом).
http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx
Я перезапустил службу NetLogon и запустил dcdiag /fix но не повезло. После 3-4 часов поиска и чтения я решил удалить службы Active Directory и установить их снова, но установка тоже не удалась!
Тогда я решил добавить записи DNS вручную согласно этот и этот, поэтому я удалил зону домена и добавил ее снова, а при добавлении зоны заметил Разрешить только безопасные динамические обновления, и я откуда-то вспомнил, что этот параметр должен быть включен, поэтому я поставил этот флажок, а затем перезапустил службу netlogon и tadaaa !! Добавил все записи. Я также побежал dcdiag /fix а потом dcdiag. Все тесты были пройдены, кроме одного (кажется, SystemLog), который я проигнорировал. После этого я мог присоединить другие ПК к домену. Возможно, это так и для других. Просто нужно включить безопасные динамические обновления в зоне моего домена.
Надеюсь, это предотвратит другие проблемы, с которыми я столкнулся.