У меня есть предыдущий вопрос по этому поводу, но я получил некоторую новую информацию и подумал, что начну новый пост, чтобы вызвать новое обсуждение.
Для начала я дам вам краткое описание настройки нашей сети (насколько я понимаю). У нас 2 магазина. Мы назовем их CP и HQ. Теперь HQ является контроллером домена, и у нас есть локальный домен billsgs.net. Каждый магазин в основном работает самостоятельно. У каждого из них есть брандмауэр и собственный сервер под управлением Windows Server 2008 R2. Единственный раз, когда они взаимодействуют, - это репликация. Мы указали реплицированные каталоги, которые в основном представляют собой профили пользователей, и файлы нашей базы данных. Это по большей части для резервного копирования.
Теперь, чтобы перейти к проблеме ... несколько недель назад (в начале июня) мы заметили, что служба репликации на сервере HQ забирала тонну памяти, и под тонной я имею в виду ВСЮ доступную память, которую он мог получить в свои руки. на. У нас есть 13 ГБ, и в течение 10 минут после запуска DFS было использовано около 98% памяти. Итак, мы остановили это. Нас это особо не беспокоило, но если что-то выйдет из строя, мы в значительной степени облажались с резервными копиями. Мы внесли несколько исправлений, но ничего не помогло. Итак, на данный момент DFS не работает.
Пару недель назад операционная система брандмауэра была повреждена, я не знаю, как это произошло, меня там не было, когда это произошло. Это было в магазине HQ. Итак, у нас сломан брандмауэр, и DFS не работает должным образом. Недавно мы переустановили на брандмауэре операционную систему pfsense. Казалось, все работает нормально ... за исключением того, что мы начали замечать некоторые проблемы с DNS. Мы находимся в точке, где мы не знаем, связано ли это с проблемами DNS / AD / DFS или с проблемами брандмауэра. У нас в основном открыт брандмауэр, поэтому мы решили, что это не проблема, по крайней мере, не похоже. Итак, вот несколько вещей, которые мы сделали ...
Вот вывод dcdiag ...
C:\Users\Administrator>dcdiag
Directory Server Diagnosis
Performing initial setup:
Trying to find home server...
Home Server = BGS-HQ-VRDSVR01
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: BGS-HQ\BGS-HQ-VRDSVR01
Starting test: Connectivity
......................... BGS-HQ-VRDSVR01 passed test Connectivity
Doing primary tests
Testing server: BGS-HQ\BGS-HQ-VRDSVR01
Starting test: Advertising
......................... BGS-HQ-VRDSVR01 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
......................... BGS-HQ-VRDSVR01 passed test FrsEvent
Starting test: DFSREvent
......................... BGS-HQ-VRDSVR01 passed test DFSREvent
Starting test: SysVolCheck
......................... BGS-HQ-VRDSVR01 passed test SysVolCheck
Starting test: KccEvent
A warning event occurred. EventID: 0x8000082C
Time Generated: 08/05/2011 15:04:12
Event String:
A warning event occurred. EventID: 0x8000082C
Time Generated: 08/05/2011 15:05:12
Event String:
......................... BGS-HQ-VRDSVR01 passed test KccEvent
Starting test: KnowsOfRoleHolders
......................... BGS-HQ-VRDSVR01 passed test KnowsOfRoleHolders
Starting test: MachineAccount
......................... BGS-HQ-VRDSVR01 passed test MachineAccount
Starting test: NCSecDesc
......................... BGS-HQ-VRDSVR01 passed test NCSecDesc
Starting test: NetLogons
......................... BGS-HQ-VRDSVR01 passed test NetLogons
Starting test: ObjectsReplicated
......................... BGS-HQ-VRDSVR01 passed test ObjectsReplicated
Starting test: Replications
[Replications Check,BGS-HQ-VRDSVR01] A recent replication attempt failed:
From BGS-CP-VRDSVR01 to BGS-HQ-VRDSVR01
Naming Context: DC=ForestDnsZones,DC=billsgs,DC=net
The replication generated an error (1908):
Could not find the domain controller for this domain.
The failure occurred at 2011-08-05 14:34:49.
The last success occurred at 2011-08-05 13:51:35.
1 failures have occurred since the last success.
Kerberos Error.
A KDC was not found to authenticate the call.
Check that sufficient domain controllers are available.
[Replications Check,BGS-HQ-VRDSVR01] A recent replication attempt failed:
From BGS-CP-VRDSVR01 to BGS-HQ-VRDSVR01
Naming Context: DC=DomainDnsZones,DC=billsgs,DC=net
The replication generated an error (1908):
Could not find the domain controller for this domain.
The failure occurred at 2011-08-05 14:34:48.
The last success occurred at 2011-08-05 13:51:35.
1 failures have occurred since the last success.
Kerberos Error.
A KDC was not found to authenticate the call.
Check that sufficient domain controllers are available.
[Replications Check,BGS-HQ-VRDSVR01] A recent replication attempt failed:
From BGS-CP-VRDSVR01 to BGS-HQ-VRDSVR01
Naming Context: CN=Schema,CN=Configuration,DC=billsgs,DC=net
The replication generated an error (1908):
Could not find the domain controller for this domain.
The failure occurred at 2011-08-05 14:34:47.
The last success occurred at 2011-08-05 13:51:34.
1 failures have occurred since the last success.
Kerberos Error.
A KDC was not found to authenticate the call.
Check that sufficient domain controllers are available.
[Replications Check,BGS-HQ-VRDSVR01] A recent replication attempt failed:
From BGS-CP-VRDSVR01 to BGS-HQ-VRDSVR01
Naming Context: CN=Configuration,DC=billsgs,DC=net
The replication generated an error (1908):
Could not find the domain controller for this domain.
The failure occurred at 2011-08-05 14:34:46.
The last success occurred at 2011-08-05 13:51:34.
1 failures have occurred since the last success.
Kerberos Error.
A KDC was not found to authenticate the call.
Check that sufficient domain controllers are available.
[Replications Check,BGS-HQ-VRDSVR01] A recent replication attempt failed:
From BGS-CP-VRDSVR01 to BGS-HQ-VRDSVR01
Naming Context: DC=billsgs,DC=net
The replication generated an error (1908):
Could not find the domain controller for this domain.
The failure occurred at 2011-08-05 14:34:46.
The last success occurred at 2011-08-05 13:51:34.
1 failures have occurred since the last success.
Kerberos Error.
A KDC was not found to authenticate the call.
Check that sufficient domain controllers are available.
......................... BGS-HQ-VRDSVR01 failed test Replications
Starting test: RidManager
......................... BGS-HQ-VRDSVR01 passed test RidManager
Starting test: Services
Invalid service startup type: DFSR on BGS-HQ-VRDSVR01, current value DISABLED, expected value AUTO_START
DFSR Service is stopped on [BGS-HQ-VRDSVR01]
......................... BGS-HQ-VRDSVR01 failed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x00000458
Time Generated: 08/05/2011 14:08:10
Event String:
The Group Policy Client Side Extension Folder Redirection was unable to apply one or more settings because the changes must be processed before system startup or u
ser logon. The system will wait for Group Policy processing to finish completely before the next startup or logon for this user, and this may result in slow startup and boot p
erformance.
An error event occurred. EventID: 0x00000456
Time Generated: 08/05/2011 14:23:08
Event String:
The processing of Group Policy failed. Windows could not determine if the user and computer accounts are in the same forest. Ensure the user domain name matches th
e name of a trusted domain that resides in the same forest as the computer account.
An error event occurred. EventID: 0xC0001B78
Time Generated: 08/05/2011 14:28:16
Event String:
The Service Control Manager tried to take a corrective action (Restart the service) after the unexpected termination of the DFS Replication service, but this actio
n failed with the following error:
An error event occurred. EventID: 0xC000271A
Time Generated: 08/05/2011 14:31:28
Event String: The server {995C996E-D918-4A8C-A302-45719A6F4EA7} did not register with DCOM within the required timeout.
A warning event occurred. EventID: 0x8000001D
Time Generated: 08/05/2011 14:34:09
Event String:
The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon m
ay not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certi
ficate.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/05/2011 14:34:13
Event String: Name resolution for the name billsgs.net timed out after none of the configured DNS servers responded.
An error event occurred. EventID: 0xC0001B58
Time Generated: 08/05/2011 14:34:48
Event String: The DgiVecp service failed to start due to the following error:
An error event occurred. EventID: 0x0000168E
Time Generated: 08/05/2011 14:34:55
Event String:
The dynamic registration of the DNS record '6282bfca-ade1-41c8-84dc-516ce19b49be._msdcs.billsgs.net. 600 IN CNAME BGS-HQ-VRDSVR01.billsgs.net.' failed on the follo
wing DNS server:
An error event occurred. EventID: 0x0000168E
Time Generated: 08/05/2011 14:34:56
Event String:
The dynamic registration of the DNS record '_kpasswd._udp.billsgs.net. 600 IN SRV 0 100 464 BGS-HQ-VRDSVR01.billsgs.net.' failed on the following DNS server:
A warning event occurred. EventID: 0x00002724
Time Generated: 08/05/2011 14:34:56
Event String: This computer has at least one dynamically assigned IPv6 address.For reliable DHCPv6 server operation, you should use only static IPv6 addresses.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/05/2011 14:34:55
Event String: Name resolution for the name billsgs.net timed out after none of the configured DNS servers responded.
An error event occurred. EventID: 0xC00110F1
Time Generated: 08/05/2011 14:35:09
Event String: The WINS Server could not initialize security to allow the read-only operations.
An error event occurred. EventID: 0xC0002720
Time Generated: 08/05/2011 14:36:05
Event String: The application-specific permission settings do not grant Local Launch permission for the COM Server application with CLSID
A warning event occurred. EventID: 0x000727AA
Time Generated: 08/05/2011 14:38:30
Event String: The WinRM service failed to create the following SPNs: WSMAN/BGS-HQ-VRDSVR01.billsgs.net; WSMAN/BGS-HQ-VRDSVR01.
A warning event occurred. EventID: 0x0000043D
Time Generated: 08/05/2011 14:47:48
Event String:
Windows failed to apply the Folder Redirection settings. Folder Redirection settings might have its own log file. Please click on the "More information" link.
An error event occurred. EventID: 0x0000168E
Time Generated: 08/05/2011 15:02:25
Event String:
The dynamic registration of the DNS record '6282bfca-ade1-41c8-84dc-516ce19b49be._msdcs.billsgs.net. 600 IN CNAME BGS-HQ-VRDSVR01.billsgs.net.' failed on the follo
wing DNS server:
An error event occurred. EventID: 0x0000168E
Time Generated: 08/05/2011 15:02:26
Event String:
The dynamic registration of the DNS record '_kpasswd._udp.billsgs.net. 600 IN SRV 0 100 464 BGS-HQ-VRDSVR01.billsgs.net.' failed on the following DNS server:
......................... BGS-HQ-VRDSVR01 failed test SystemLog
Starting test: VerifyReferences
......................... BGS-HQ-VRDSVR01 passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Running partition tests on : billsgs
Starting test: CheckSDRefDom
......................... billsgs passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... billsgs passed test CrossRefValidation
Running enterprise tests on : billsgs.net
Starting test: LocatorCheck
......................... billsgs.net passed test LocatorCheck
Starting test: Intersite
......................... billsgs.net passed test Intersite
Имейте в виду, что каждый раз, когда мы перезагружаем сервер, все выглядит по-разному. Иногда у нас возникают проблемы, связанные с невозможностью доступа DCOM к указанным DNS-серверам! Теперь ... вот результат теста DNS ...
C:\Users\Administrator>dcdiag /test:DNS
Directory Server Diagnosis
Performing initial setup:
Trying to find home server...
Home Server = BGS-HQ-VRDSVR01
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: BGS-HQ\BGS-HQ-VRDSVR01
Starting test: Connectivity
......................... BGS-HQ-VRDSVR01 passed test Connectivity
Doing primary tests
Testing server: BGS-HQ\BGS-HQ-VRDSVR01
Starting test: DNS
DNS Tests are running and not hung. Please wait a few minutes...
......................... BGS-HQ-VRDSVR01 passed test DNS
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : billsgs
Running enterprise tests on : billsgs.net
Starting test: DNS
Test results for domain controllers:
DC: BGS-HQ-VRDSVR01.billsgs.net
Domain: billsgs.net
TEST: Basic (Basc)
Warning: adapter [00000007] Intel(R) PRO/1000 MT Network Connection has invalid DNS server: 192.168.40.254 (<name unavailable>)
TEST: Records registration (RReg)
Network Adapter [00000007] Intel(R) PRO/1000 MT Network Connection:
Warning:
Missing SRV record at DNS server 192.168.40.13:
_ldap._tcp.billsgs.net
Warning:
Missing SRV record at DNS server 192.168.40.13:
_ldap._tcp.22017278-29d1-493a-b72d-e44b31411a70.domains._msdcs.billsgs.net
Warning:
Missing SRV record at DNS server 192.168.40.13:
_kerberos._tcp.dc._msdcs.billsgs.net
Warning:
Missing SRV record at DNS server 192.168.40.13:
_ldap._tcp.dc._msdcs.billsgs.net
Warning:
Missing SRV record at DNS server 192.168.40.13:
_kerberos._tcp.billsgs.net
Warning:
Missing SRV record at DNS server 192.168.40.13:
_kerberos._udp.billsgs.net
Warning:
Missing SRV record at DNS server 192.168.40.13:
_kpasswd._tcp.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.13:
_ldap._tcp.BGS-HQ._sites.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.13:
_kerberos._tcp.BGS-HQ._sites.dc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.13:
_ldap._tcp.BGS-HQ._sites.dc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.13:
_kerberos._tcp.BGS-HQ._sites.billsgs.net
Warning:
Missing SRV record at DNS server 192.168.40.13:
_ldap._tcp.gc._msdcs.billsgs.net
Warning:
Missing A record at DNS server 192.168.40.13:
gc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.13:
_gc._tcp.BGS-HQ._sites.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.13:
_ldap._tcp.BGS-HQ._sites.gc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.13:
_ldap._tcp.pdc._msdcs.billsgs.net
Warning:
Missing CNAME record at DNS server 192.168.40.254:
6282bfca-ade1-41c8-84dc-516ce19b49be._msdcs.billsgs.net
Warning:
Missing A record at DNS server 192.168.40.254:
BGS-HQ-VRDSVR01.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_ldap._tcp.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_ldap._tcp.22017278-29d1-493a-b72d-e44b31411a70.domains._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_kerberos._tcp.dc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_ldap._tcp.dc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_kerberos._tcp.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_kerberos._udp.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_kpasswd._tcp.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_ldap._tcp.BGS-HQ._sites.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_kerberos._tcp.BGS-HQ._sites.dc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_ldap._tcp.BGS-HQ._sites.dc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_kerberos._tcp.BGS-HQ._sites.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_ldap._tcp.gc._msdcs.billsgs.net
Warning:
Missing A record at DNS server 192.168.40.254:
gc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_gc._tcp.BGS-HQ._sites.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_ldap._tcp.BGS-HQ._sites.gc._msdcs.billsgs.net
Error:
Missing SRV record at DNS server 192.168.40.254:
_ldap._tcp.pdc._msdcs.billsgs.net
Error: Record registrations cannot be found for all the network adapters
Summary of test results for DNS servers used by the above domain controllers:
DNS server: 192.168.40.254 (<name unavailable>)
1 test failure on this DNS server
Name resolution is not functional. _ldap._tcp.billsgs.net. failed on the DNS server 192.168.40.254
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: billsgs.net
BGS-HQ-VRDSVR01 PASS WARN PASS PASS PASS FAIL n/a
......................... billsgs.net failed test DNS
C:\Users\Administrator>
Я считаю, что это наша главная проблема, но я заблудился. Я предпринял несколько попыток перезапуска сетевого входа. Я даже выполнил следующую последовательность:
net stop netlogon
net stop dns
ipconfig /flushdns
net start dns
net start netlogon
Кажется, ничего не работает. Совсем недавно, сегодня мы перешли к «пользователям и компьютерам активного каталога», и в разделе «Контроллеры домена» главный сервер не указан. Он просто говорит, что недоступен.
Также .. вот вывод конфигурации ip ...
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:\Users\Administrator>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : BGS-HQ-VRDSVR01
Primary Dns Suffix . . . . . . . : billsgs.net
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : billsgs.net
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0C-29-03-BA-38
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.40.13(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.40.254
DNS Servers . . . . . . . . . . . : 192.168.40.13
192.168.40.254
Primary WINS Server . . . . . . . : 192.168.40.13
Secondary WINS Server . . . . . . : 192.168.41.17
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter isatap.{ADEC15A8-2603-40EB-964C-489CCBD11E08}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Tunnel adapter Local Area Connection* 11:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
C:\Users\Administrator>
192.168.40.13 - это HQ, а 192.168.41.17 - это CP. Также 192.168.40.254 - это брандмауэр HQ, а 192.168.41.254 - брандмауэр CP.
Чтобы связать все это вместе, мы в основном сводим к тому, что серверы не общаются. Как я уже сказал, DNS кажется главной проблемой. Любым примером этого может быть .. из сети HQ, если я запустил nslookup billsgs.net адрес 192.168.41.17, который является адресом сервера CP. С учетом сказанного, никто не может «получить доступ» к активному каталогу из штаб-квартиры. Это означает .. \\ billsgs.net недоступен через сеть HQ.
Я думаю, что реальная проблема заключается в том, что доменное имя представляет собой однозначное DNS-имя (одно слово (billsgs), а затем действительный tld (.net)). По умолчанию клиенты DNS не будут регистрироваться в этих доменах, потому что они, скорее всего, будут общедоступными.
https://support.microsoft.com/en-us/kb/300684 есть инструкции по отмене этого.
Вы правы, проблемы с AD почти всегда Проблемы с DNS. Я думаю, проблема в том, что брандмауэр установлен в качестве вторичного DNS в настройках вашего DC IP. Удалите это из конфигурации сетевой карты и вместо этого добавьте брандмауэр в качестве сервера пересылки в конфигурации DNS.
Это заставит все разрешение DNS начинаться с DNS Windows, и адреса, о которых он не знает, будут запрашиваться через сервер пересылки.
После сброса настроек DNS запустите ipconfig /registerdns на DC, чтобы исправить регистрации AD в DNS.
Кроме того, все ваши серверы и клиенты Windows должны указывать только на этот DNS. Если вам нужен альтернативный DNS, установите DNS на другом сервере (он не должен быть DC для запуска DNS).