Назад | Перейти на главную страницу

Все контроллеры домена не проходят DNS: тест RReg, отчеты об отсутствии записей SRV на PDC - они присутствуют

Задний план

В настоящее время мы находимся в процессе обновления нескольких контроллеров домена. Прежде чем я начал здесь, предыдущий администратор начал процесс перевода наших контроллеров домена с 2008 R2 Standard на 2008 R2 Enterprise. Был запущен PDC, DC2008S-0, и один дополнительный DC, DC2008E-1. Был 3-й Enterprise DC 2008 года, который находился на отключенной виртуальной машине. ВСЕ это было оставшимся проектом после обновления контроллеров домена с 2003 года. Предыдущий администратор считал, что Standard недостаточно для контроллеров домена и что эти лицензии были приобретены по ошибке, поэтому после размещения двух стандартных контроллеров домена был добавлен корпоративный контроллер домена, а стандартный контроллер домена был понижен в должности.

Enterprise DC вообще не реплицировал SYSVOL. Зона MSDCS также отсутствовала на Enterprise DC. Также была некоторая очистка метаданных, которая должна была произойти для полностью захороненного DC (запасной 2008E, который находился на выключенной виртуальной машине). После небольшого устранения неполадок мы выполнили принудительное восстановление с PDC. Впоследствии SYSVOL, похоже, реплицировался правильно, мы добавили MSDCS вручную и все записи были извлечены. Это было, вероятно, 8 или 9 месяцев назад. С тех пор все работает без сбоев; логины, репликация gpo, новые gpos, новые учетные записи AD, а также гибридная миграция на O365, и все функции синхронизации AD и Dir тоже отлично работали.

По прошествии этого времени мы вернулись к этому проекту DC. Список моих задач был следующим:

Обновите функциональный уровень домена и леса с 2003 по 2008 (это включало миграцию с FRS на DFRS) Включите выключенный второй корпоративный контроллер домена, переустановите его, назначьте ему роль контроллера домена и добавьте его в домен. Переместите роли FSMO и т. Д. На первый контроллер домена предприятия и сделайте его основным контроллером домена. Вывод из эксплуатации Стандартного DC.

Я нахожусь на грани вывода из эксплуатации стандартного контроллера домена, когда обнаружилась проблема DNS RReg. Я не верю, что он существовал после репликации элементов SYSVOL, AD и DNS, но могу ошибаться.


Текущая проблема

Все наши контроллеры домена не проходят тест RReg от DCDIAG.

Это наша единственная ошибка при проверке работоспособности DC с помощью DCDIAG для каждого DC. При запуске GUI AD Replication Status Tool v1.0, а также двух сценариев PS от TechNET выполняются проверки сходимости репликации / задержки AD и SYSVOL.

Вот результат сбоя тестов DCDIAG DNS.

     Summary of DNS test results:


                                        Auth Basc Forw Del  Dyn  RReg Ext
        _________________________________________________________________
        Domain: domain.com

           DC2008S-0                    PASS PASS PASS PASS PASS FAIL n/a  
           DC2008E-0                    PASS PASS PASS PASS PASS FAIL n/a  
           DC2008E-1                    PASS PASS PASS PASS PASS FAIL n/a  

     Total Time taken to test all the DCs:2 min. 55 sec.

     ......................... domain.com failed test DNS

Все сбои связаны с одним CNAME, одной записью A и несколькими записями SRV на новом PDC DC2008E-0.

  Starting test: DNS
     Test results for domain controllers:

        DC: DC2008E-0.domain.com
        Domain: domain.com


           TEST: Records registration (RReg)
              Network Adapter [00000007] vmxnet3 Ethernet Adapter:
                 Warning:
                 Missing CNAME record at DNS server 10.1.1.27:
                 7ae71958-74b2-4dc3-bf0e-224ec881bafa._msdcs.domain.com

                 Warning:
                 Missing A record at DNS server 10.1.1.27:
                 DC2008E-0.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _kerberos._tcp.dc._msdcs.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.dc._msdcs.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _kerberos._tcp.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _kerberos._udp.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _kpasswd._tcp.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.siteName._sites.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _kerberos._tcp.siteName._sites.dc._msdcs.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.siteName._sites.dc._msdcs.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _kerberos._tcp.siteName._sites.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.gc._msdcs.domain.com

                 Warning:
                 Missing A record at DNS server 10.1.1.27:
                 gc._msdcs.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _gc._tcp.siteName._sites.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.siteName._sites.gc._msdcs.domain.com

                 Error:
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.pdc._msdcs.domain.com

           Error: Record registrations cannot be found for all the network adapters

     Summary of DNS test results:

                                        Auth Basc Forw Del  Dyn  RReg Ext
        _________________________________________________________________
        Domain: domain.com
           DC2008E-0                   PASS PASS PASS PASS PASS FAIL n/a

     ......................... domain.com failed test DNS

Расследование до сих пор

Я вручную проверил все эти записи и могу подтвердить, что все записи существуют на всех моих контроллерах домена.

Я также сравнил зону MCDCS на всех контроллерах домена и все другие записи совпадают.

Серийный номер зоны в SOA совпадает на всех контроллерах домена, это также верно для всех зон на всех контроллерах домена, а не только для зоны MCDCS.

Я не уверен, что это лучший способ выразить то, что я могу найти записи вручную, но я запустил NSLOOKUP для всех трех контроллеров домена для одной из перечисленных выше записей, и оказалось, что он обнаружен на всех трех.

c:\Users\userName\Desktop\replication>nslookup -type=SRV _ldap._tcp.pdc._msdcs.domain.com
Server:  DC2008E-0.domain.com
Address:  10.1.1.27

_ldap._tcp.pdc._msdcs.domain.com     SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = DC2008E-0.domain.com
DC2008E-0.domain.com        internet address = 10.1.1.27

c:\Users\userName\Desktop\replication>nslookup -type=SRV _ldap._tcp.pdc._msdcs.domain.com DC2008S-0
Server:  DC2008S-0.domain.com
Address:  10.1.1.3

_ldap._tcp.pdc._msdcs.domain.com     SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = DC2008E-0.domain.com
DC2008E-0.domain.com        internet address = 10.1.1.27

c:\Users\userName\Desktop\replication>nslookup -type=SRV _ldap._tcp.pdc._msdcs.domain.com DC2008E-1
Server:  DC2008E-1.domain.com
Address:  10.1.1.28

_ldap._tcp.pdc._msdcs.domain.com     SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = DC2008E-0.domain.com
DC2008E-0.domain.com        internet address = 10.1.1.27

Я также проверил записи CNAME из корня зоны _MSDCS, это единственное место, где я обнаружил странности. Сами записи верны на 100%, и разрешения выглядят правильно - по крайней мере, я должен сказать, все они совпадают между 3 записями CNAME и тем, как каждый DC просматривает записи CNAME. Однако владельцы устанавливаются по-другому. Запись DC2008S-0 принадлежит СИСТЕМА, Запись DC2008E-0 принадлежит DC2008E-0 $, а запись DC2008E-1 принадлежит DC2008E-1 $ (ДОМЕН \ DC2008E-1 $). Это то же самое, независимо от того, в каком округе Колумбия я смотрю запись.

Я не знаю, уместно ли это вообще, но, похоже, это ЕДИНСТВЕННОЕ, что я могу найти, что не соответствует и / или не следует тому же шаблону. Вполне возможно, что это неправильное название.

От DC2008E-0 тоже бегал ipconfig / registerdns Средству просмотра событий не сообщалось об ошибках. Я также бегал nltest / dsregdns

C:\Windows\system32>nltest /dsregdns
Flags: 0
Connection Status = 0 0x0 NERR_Success
The command completed successfully

Похоже, это не решает проблему.


Дальнейшее расследование

Похоже, я упустил из виду некоторые результаты полного набора тестов DCDIAG, которые я проводил. Сообщается о некоторых более конкретных ошибках. Кроме того, существует гораздо большая степень детализации, когда речь идет о том, как сообщаются записи DNS SRV.

Я опубликую соответствующий вывод из dcdiag.exe / V / C / D / E / s: dc0 (На самом деле, я должен публиковать фрагменты, так как я достиг предельного количества символов)

DC: DC2008S-0.domain.com Домен: domain.com Адаптер [00000012] Intel (R) PRO / 1000 MT Сетевое подключение:

                 MAC address is 00:0C:29:9A:77:BA
                 IP Address is static 
                 IP address: 10.1.1.3
                 DNS servers:

                    10.1.1.3 (DC2008S-0) [Valid]
                    10.1.1.27 (DC2008E-0) [Valid]
                    127.0.0.1 (DC2008S-0) [Valid]
              The A host record(s) for this DC was found
              The SOA record for the Active Directory zone was found
              The Active Directory zone on this DC/DNS server was found primary
              Root zone on this DC/DNS server was not found


           TEST: Records registration (RReg)
              Network Adapter

              [00000012] Intel(R) PRO/1000 MT Network Connection:

                 Matching CNAME record found at DNS server 10.1.1.3:
                 f11ae1a7-ab57-47d9-bf47-11eca1e33936._msdcs.domain.com

                 Matching A record found at DNS server 10.1.1.3:
                 DC2008S-0.domain.com

                 Matching  SRV record found at DNS server 10.1.1.3:
                 _ldap._tcp.domain.com

                 Matching  SRV record found at DNS server 10.1.1.3:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com

[...]

                 Matching CNAME record found at DNS server 10.1.1.27:
                 f11ae1a7-ab57-47d9-bf47-11eca1e33936._msdcs.domain.com

                 Matching A record found at DNS server 10.1.1.27:
                 DC2008S-0.domain.com

                 Matching  SRV record found at DNS server 10.1.1.27:
                 _ldap._tcp.domain.com

                 Matching  SRV record found at DNS server 10.1.1.27:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com

[...]

                 Warning: 
                 Missing CNAME record at DNS server 10.1.1.3: 
                 f11ae1a7-ab57-47d9-bf47-11eca1e33936._msdcs.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Warning: 
                 Missing A record at DNS server 10.1.1.3:
                 DC2008S-0.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Error: 
                 Missing SRV record at DNS server 10.1.1.3:
                 _ldap._tcp.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Error: 
                 Missing SRV record at DNS server 10.1.1.3:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]



           Error: Record registrations cannot be found for all the network

           adapters

           Total query time:0 min. 0 sec.. Total RPC connection

           time:0 min. 0 sec.

           Total WMI connection time:1 min. 3 sec. Total Netuse connection

           time:0 min. 0 sec.

[...]

        DC: DC2008E-0.domain.com
        Domain: domain.com
              Network adapters information:

              Adapter [00000007] vmxnet3 Ethernet Adapter:

                 MAC address is 00:50:56:12:34:56
                 IP Address is static 
                 IP address: 10.1.1.27, fe80::3464:a8c8:13fa:7116
                 DNS servers:

                    10.1.1.3 (DC2008S-0) [Valid]
                    10.1.1.27 (DC2008E-0) [Valid]
                    127.0.0.1 (DC2008E-0) [Valid]
              The A host record(s) for this DC was found
              The SOA record for the Active Directory zone was found
              The Active Directory zone on this DC/DNS server was found primary
              Root zone on this DC/DNS server was not found

           TEST: Records registration (RReg)
              Network Adapter [00000007] vmxnet3 Ethernet Adapter:

                 Matching CNAME record found at DNS server 10.1.1.3:
                 7ae71958-74b2-4dc3-bf0e-224ec881bafa._msdcs.domain.com

                 Matching A record found at DNS server 10.1.1.3:
                 DC2008E-0.domain.com

                 Matching  SRV record found at DNS server 10.1.1.3:
                 _ldap._tcp.domain.com

                 Matching  SRV record found at DNS server 10.1.1.3:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com

[...]

                 Matching CNAME record found at DNS server 10.1.1.27:
                 7ae71958-74b2-4dc3-bf0e-224ec881bafa._msdcs.domain.com

                 Matching A record found at DNS server 10.1.1.27:
                 DC2008E-0.domain.com

                 Matching  SRV record found at DNS server 10.1.1.27:
                 _ldap._tcp.domain.com

                 Matching  SRV record found at DNS server 10.1.1.27:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com

[...]

                 Warning: 
                 Missing CNAME record at DNS server 10.1.1.27: 
                 7ae71958-74b2-4dc3-bf0e-224ec881bafa._msdcs.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Warning: 
                 Missing A record at DNS server 10.1.1.27:
                 DC2008E-0.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Error: 
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Error: 
                 Missing SRV record at DNS server 10.1.1.27:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

[...]

           Error: Record registrations cannot be found for all the network

           adapters

           Total query time:0 min. 4 sec.. Total RPC connection

           time:0 min. 0 sec.

           Total WMI connection time:1 min. 3 sec. Total Netuse connection

           time:0 min. 0 sec.

[...]

        DC: DC2008E-1.domain.com
        Domain: domain.com
              Network adapters information:

              Adapter [00000007] Intel(R) PRO/1000 MT Network Connection:

                 MAC address is 00:0C:29:75:FF:46
                 IP Address is static 
                 IP address: 10.1.1.28, fe80::b81a:c109:24a0:9d3d
                 DNS servers:

                    10.1.1.3 (DC2008S-0) [Valid]
                    10.1.1.27 (DC2008E-0) [Valid]
                    127.0.0.1 (DC2008E-1) [Valid]
              The A host record(s) for this DC was found
              The SOA record for the Active Directory zone was found
              The Active Directory zone on this DC/DNS server was found primary
              Root zone on this DC/DNS server was not found

           TEST: Records registration (RReg)
              Network Adapter

              [00000007] Intel(R) PRO/1000 MT Network Connection:

                 Matching CNAME record found at DNS server 10.1.1.3:
                 eafe6486-f76c-4900-8a20-46404fdbae57._msdcs.domain.com

                 Matching A record found at DNS server 10.1.1.3:
                 DC2008E-1.domain.com

                 Matching  SRV record found at DNS server 10.1.1.3:
                 _ldap._tcp.domain.com

                 Matching  SRV record found at DNS server 10.1.1.3:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com

[...]

                 Matching CNAME record found at DNS server 10.1.1.27:
                 eafe6486-f76c-4900-8a20-46404fdbae57._msdcs.domain.com

                 Matching A record found at DNS server 10.1.1.27:
                 DC2008E-1.domain.com

                 Matching  SRV record found at DNS server 10.1.1.27:
                 _ldap._tcp.domain.com

                 Matching  SRV record found at DNS server 10.1.1.27:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com

[...]

                 Warning: 
                 Missing CNAME record at DNS server 10.1.1.28: 
                 eafe6486-f76c-4900-8a20-46404fdbae57._msdcs.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Warning: 
                 Missing A record at DNS server 10.1.1.28:
                 DC2008E-1.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Error: 
                 Missing SRV record at DNS server 10.1.1.28:
                 _ldap._tcp.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]

                 Error: 
                 Missing SRV record at DNS server 10.1.1.28:
                 _ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
                 [Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]


           Error: Record registrations cannot be found for all the network

           adapters

           Total query time:0 min. 0 sec.. Total RPC connection

           time:0 min. 0 sec.

           Total WMI connection time:0 min. 44 sec. Total Netuse connection

           time:0 min. 0 sec.

Получается, что с настройкой сетевого адаптера что-то происходит? Вот где я начинаю наклоняться.


Конфигурации NIC

DC2008S-0

Ethernet adapter Local Area Connection 2:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
   Physical Address. . . . . . . . . : 00-0C-29-9A-77-BA
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.1.1.3(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.1.1.1
   DNS Servers . . . . . . . . . . . : 10.1.1.3
                                       10.1.1.27
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

DC2008E-0

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-12-34-56
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::3464:a8c8:13fa:7116%15(Preferred)
   IPv4 Address. . . . . . . . . . . : 10.1.1.27(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.1.1.1
   DHCPv6 IAID . . . . . . . . . . . : 335564886
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-4A-CD-9F-00-50-56-12-34-56
   DNS Servers . . . . . . . . . . . : ::1
                                       10.1.1.3
                                       10.1.1.27
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

DC2008E-1

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Physical Address. . . . . . . . . : 00-0C-29-75-FF-46
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::b81a:c109:24a0:9d3d%10(Preferred)
   IPv4 Address. . . . . . . . . . . : 10.1.1.28(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.1.1.1
   DHCPv6 IAID . . . . . . . . . . . : 251661353
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-23-34-D6-43-00-0C-29-75-FF-46
   DNS Servers . . . . . . . . . . . : ::1
                                       10.1.1.3
                                       10.1.1.27
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Проблема была решена путем удаления IPv6 на двух контроллерах домена, на которых он был запущен, а также путем изменения конфигурации DNS на сетевых картах.

DC2008S-0

Ethernet adapter Local Area Connection 2:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
   Physical Address. . . . . . . . . : 00-0C-29-9A-77-BA
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.1.1.3(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.1.1.1
   DNS Servers . . . . . . . . . . . : 10.1.1.27
                                       10.1.1.3
   NetBIOS over Tcpip. . . . . . . . : Enabled

DC2008E-0

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-12-34-56
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.1.1.27(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.1.1.1
   DNS Servers . . . . . . . . . . . : 10.1.1.28
                                       10.1.1.27
   NetBIOS over Tcpip. . . . . . . . : Enabled

DC2008E-1

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Physical Address. . . . . . . . . : 00-0C-29-75-FF-46
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.1.1.28(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.1.1.1
   DNS Servers . . . . . . . . . . . : 10.1.1.27
                                       10.1.1.28
   NetBIOS over Tcpip. . . . . . . . : Enabled