Я только что попытался заменить один из моих контроллеров домена в лесу с одним доменом, сохранив старый IP (но новое имя компьютера). Поскольку это среда, которую я «унаследовал» от предыдущего системного администратора, у меня нет всех исходных фактов о том, как она была настроена. Я думаю, что это, возможно, был первый DC в AD, но это старая Windows 2003, которая в последнее время проявляет себя самыми разными способами.
До изменения у меня было:
После изменения у меня возникло ощущение, что новая служба DNS DC не работает должным образом. Если у меня это установлено в качестве основного DNS, я получаю странную задержку в моих DNS-запросах для общедоступных сайтов. Похоже, что запросы к внутренним записям работают. Я попытался установить тайм-аут для серверов пересылки до 1 секунды на новом контроллере домена, что позволило мне сократить время задержки для общедоступных запросов, что заставило меня думать, что все запросы общедоступных сайтов на этом сервере истекли, и пересылаю его.
Перед тем, как понизить статус старой машины из AD, я убедился, что все роли FSMO находятся на другом DC, и, как было сказано ранее, существует несколько GC.
Есть ли какие-то настройки DNS для домена, который я пропустил, или у вас есть идеи, где искать дальше?
Новое имя компьютера, использующее тот же IP-адрес, является виновником? Было бы разумно понизить статус нового DC, покинуть AD, изменить имена и снова присоединиться?
В журналах DNS диспетчера серверов я получаю предупреждение при каждом перезапуске:
DNS-сервер ожидает, пока доменные службы Active Directory (AD DS) сообщат, что начальная синхронизация каталога завершена.
Но сразу после этого появляется информационная запись:
"DNS-сервер запущен.
Запуск NSLOOKUP и выбор сервера «новый контроллер домена» работает нормально и выполняется мгновенно для внутренних запросов, но время ожидания истекает для общедоступных запросов. Выполнение команды PING с нового контроллера домена на общедоступный сайт разрешает проблему с общедоступным IP-адресом.
На сервере выключен брандмауэр, а служба DNS-сервера запущена.
Думаю, я выяснил, в чем проблема. По умолчанию кажется, что новый сервер хочет использовать другие контроллеры домена в качестве серверов пересылки для запросов, не кэшированных, поэтому внутренние запросы работали, а общедоступные - нет. Я просто удалил эти сообщения и оставил общедоступный DNS в качестве серверов пересылки, и теперь он работает намного более плавно. Я предполагаю, что тайм-аут произошел, потому что я запросил имя, которое ни у одного из контроллеров домена не было в кеше, и поэтому мой новый контроллер домена сначала должен был дождаться, пока другой контроллер домена разрешит имя, а затем получить ответ. С таймаутом в 2 секунды это ни разу не увенчалось успехом.
Спасибо Джону за ваш вклад!
Все ваши записи DNS для AD указывают на старый сервер с другим именем, даже если тот же IP. Вы должны были добавить новый DC с новым IP. Наверное, поэтому у вас проблемы. Попробуйте выполнить «ipconfig / registerdns» со своего нового контроллера домена, если вы еще этого не сделали. Также GC в основном используются для поиска объектов между лесами / доменами. Поскольку у вас только 1 домен, я не подозреваю, что это основная проблема.