Задний план
В настоящее время мы находимся в процессе обновления нескольких контроллеров домена. Прежде чем я начал здесь, предыдущий администратор начал процесс перевода наших контроллеров домена с 2008 R2 Standard на 2008 R2 Enterprise. Был запущен PDC, DC2008S-0, и один дополнительный DC, DC2008E-1. Был 3-й Enterprise DC 2008 года, который находился на отключенной виртуальной машине. ВСЕ это было оставшимся проектом после обновления контроллеров домена с 2003 года. Предыдущий администратор считал, что Standard недостаточно для контроллеров домена и что эти лицензии были приобретены по ошибке, поэтому после размещения двух стандартных контроллеров домена был добавлен корпоративный контроллер домена, а стандартный контроллер домена был понижен в должности.
Enterprise DC вообще не реплицировал SYSVOL. Зона MSDCS также отсутствовала на Enterprise DC. Также была некоторая очистка метаданных, которая должна была произойти для полностью захороненного DC (запасной 2008E, который находился на выключенной виртуальной машине). После небольшого устранения неполадок мы выполнили принудительное восстановление с PDC. Впоследствии SYSVOL, похоже, реплицировался правильно, мы добавили MSDCS вручную и все записи были извлечены. Это было, вероятно, 8 или 9 месяцев назад. С тех пор все работает без сбоев; логины, репликация gpo, новые gpos, новые учетные записи AD, а также гибридная миграция на O365, и все функции синхронизации AD и Dir тоже отлично работали.
По прошествии этого времени мы вернулись к этому проекту DC. Список моих задач был следующим:
Обновите функциональный уровень домена и леса с 2003 по 2008 (это включало миграцию с FRS на DFRS) Включите выключенный второй корпоративный контроллер домена, переустановите его, назначьте ему роль контроллера домена и добавьте его в домен. Переместите роли FSMO и т. Д. На первый контроллер домена предприятия и сделайте его основным контроллером домена. Вывод из эксплуатации Стандартного DC.
Я нахожусь на грани вывода из эксплуатации стандартного контроллера домена, когда обнаружилась проблема DNS RReg. Я не верю, что он существовал после репликации элементов SYSVOL, AD и DNS, но могу ошибаться.
Текущая проблема
Все наши контроллеры домена не проходят тест RReg от DCDIAG.
Это наша единственная ошибка при проверке работоспособности DC с помощью DCDIAG для каждого DC. При запуске GUI AD Replication Status Tool v1.0, а также двух сценариев PS от TechNET выполняются проверки сходимости репликации / задержки AD и SYSVOL.
Вот результат сбоя тестов DCDIAG DNS.
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: domain.com
DC2008S-0 PASS PASS PASS PASS PASS FAIL n/a
DC2008E-0 PASS PASS PASS PASS PASS FAIL n/a
DC2008E-1 PASS PASS PASS PASS PASS FAIL n/a
Total Time taken to test all the DCs:2 min. 55 sec.
......................... domain.com failed test DNS
Все сбои связаны с одним CNAME, одной записью A и несколькими записями SRV на новом PDC DC2008E-0.
Starting test: DNS
Test results for domain controllers:
DC: DC2008E-0.domain.com
Domain: domain.com
TEST: Records registration (RReg)
Network Adapter [00000007] vmxnet3 Ethernet Adapter:
Warning:
Missing CNAME record at DNS server 10.1.1.27:
7ae71958-74b2-4dc3-bf0e-224ec881bafa._msdcs.domain.com
Warning:
Missing A record at DNS server 10.1.1.27:
DC2008E-0.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_kerberos._tcp.dc._msdcs.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.dc._msdcs.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_kerberos._tcp.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_kerberos._udp.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_kpasswd._tcp.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.siteName._sites.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_kerberos._tcp.siteName._sites.dc._msdcs.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.siteName._sites.dc._msdcs.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_kerberos._tcp.siteName._sites.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.gc._msdcs.domain.com
Warning:
Missing A record at DNS server 10.1.1.27:
gc._msdcs.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_gc._tcp.siteName._sites.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.siteName._sites.gc._msdcs.domain.com
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.pdc._msdcs.domain.com
Error: Record registrations cannot be found for all the network adapters
Summary of DNS test results:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Domain: domain.com
DC2008E-0 PASS PASS PASS PASS PASS FAIL n/a
......................... domain.com failed test DNS
Расследование до сих пор
Я вручную проверил все эти записи и могу подтвердить, что все записи существуют на всех моих контроллерах домена.
Я также сравнил зону MCDCS на всех контроллерах домена и все другие записи совпадают.
Серийный номер зоны в SOA совпадает на всех контроллерах домена, это также верно для всех зон на всех контроллерах домена, а не только для зоны MCDCS.
Я не уверен, что это лучший способ выразить то, что я могу найти записи вручную, но я запустил NSLOOKUP для всех трех контроллеров домена для одной из перечисленных выше записей, и оказалось, что он обнаружен на всех трех.
c:\Users\userName\Desktop\replication>nslookup -type=SRV _ldap._tcp.pdc._msdcs.domain.com
Server: DC2008E-0.domain.com
Address: 10.1.1.27
_ldap._tcp.pdc._msdcs.domain.com SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = DC2008E-0.domain.com
DC2008E-0.domain.com internet address = 10.1.1.27
c:\Users\userName\Desktop\replication>nslookup -type=SRV _ldap._tcp.pdc._msdcs.domain.com DC2008S-0
Server: DC2008S-0.domain.com
Address: 10.1.1.3
_ldap._tcp.pdc._msdcs.domain.com SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = DC2008E-0.domain.com
DC2008E-0.domain.com internet address = 10.1.1.27
c:\Users\userName\Desktop\replication>nslookup -type=SRV _ldap._tcp.pdc._msdcs.domain.com DC2008E-1
Server: DC2008E-1.domain.com
Address: 10.1.1.28
_ldap._tcp.pdc._msdcs.domain.com SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = DC2008E-0.domain.com
DC2008E-0.domain.com internet address = 10.1.1.27
Я также проверил записи CNAME из корня зоны _MSDCS, это единственное место, где я обнаружил странности. Сами записи верны на 100%, и разрешения выглядят правильно - по крайней мере, я должен сказать, все они совпадают между 3 записями CNAME и тем, как каждый DC просматривает записи CNAME. Однако владельцы устанавливаются по-другому. Запись DC2008S-0 принадлежит СИСТЕМА, Запись DC2008E-0 принадлежит DC2008E-0 $, а запись DC2008E-1 принадлежит DC2008E-1 $ (ДОМЕН \ DC2008E-1 $). Это то же самое, независимо от того, в каком округе Колумбия я смотрю запись.
Я не знаю, уместно ли это вообще, но, похоже, это ЕДИНСТВЕННОЕ, что я могу найти, что не соответствует и / или не следует тому же шаблону. Вполне возможно, что это неправильное название.
От DC2008E-0 тоже бегал ipconfig / registerdns Средству просмотра событий не сообщалось об ошибках. Я также бегал nltest / dsregdns
C:\Windows\system32>nltest /dsregdns
Flags: 0
Connection Status = 0 0x0 NERR_Success
The command completed successfully
Похоже, это не решает проблему.
Дальнейшее расследование
Похоже, я упустил из виду некоторые результаты полного набора тестов DCDIAG, которые я проводил. Сообщается о некоторых более конкретных ошибках. Кроме того, существует гораздо большая степень детализации, когда речь идет о том, как сообщаются записи DNS SRV.
Я опубликую соответствующий вывод из dcdiag.exe / V / C / D / E / s: dc0 (На самом деле, я должен публиковать фрагменты, так как я достиг предельного количества символов)
DC: DC2008S-0.domain.com Домен: domain.com Адаптер [00000012] Intel (R) PRO / 1000 MT Сетевое подключение:
MAC address is 00:0C:29:9A:77:BA
IP Address is static
IP address: 10.1.1.3
DNS servers:
10.1.1.3 (DC2008S-0) [Valid]
10.1.1.27 (DC2008E-0) [Valid]
127.0.0.1 (DC2008S-0) [Valid]
The A host record(s) for this DC was found
The SOA record for the Active Directory zone was found
The Active Directory zone on this DC/DNS server was found primary
Root zone on this DC/DNS server was not found
TEST: Records registration (RReg)
Network Adapter
[00000012] Intel(R) PRO/1000 MT Network Connection:
Matching CNAME record found at DNS server 10.1.1.3:
f11ae1a7-ab57-47d9-bf47-11eca1e33936._msdcs.domain.com
Matching A record found at DNS server 10.1.1.3:
DC2008S-0.domain.com
Matching SRV record found at DNS server 10.1.1.3:
_ldap._tcp.domain.com
Matching SRV record found at DNS server 10.1.1.3:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[...]
Matching CNAME record found at DNS server 10.1.1.27:
f11ae1a7-ab57-47d9-bf47-11eca1e33936._msdcs.domain.com
Matching A record found at DNS server 10.1.1.27:
DC2008S-0.domain.com
Matching SRV record found at DNS server 10.1.1.27:
_ldap._tcp.domain.com
Matching SRV record found at DNS server 10.1.1.27:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[...]
Warning:
Missing CNAME record at DNS server 10.1.1.3:
f11ae1a7-ab57-47d9-bf47-11eca1e33936._msdcs.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Warning:
Missing A record at DNS server 10.1.1.3:
DC2008S-0.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Error:
Missing SRV record at DNS server 10.1.1.3:
_ldap._tcp.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Error:
Missing SRV record at DNS server 10.1.1.3:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Error: Record registrations cannot be found for all the network
adapters
Total query time:0 min. 0 sec.. Total RPC connection
time:0 min. 0 sec.
Total WMI connection time:1 min. 3 sec. Total Netuse connection
time:0 min. 0 sec.
[...]
DC: DC2008E-0.domain.com
Domain: domain.com
Network adapters information:
Adapter [00000007] vmxnet3 Ethernet Adapter:
MAC address is 00:50:56:12:34:56
IP Address is static
IP address: 10.1.1.27, fe80::3464:a8c8:13fa:7116
DNS servers:
10.1.1.3 (DC2008S-0) [Valid]
10.1.1.27 (DC2008E-0) [Valid]
127.0.0.1 (DC2008E-0) [Valid]
The A host record(s) for this DC was found
The SOA record for the Active Directory zone was found
The Active Directory zone on this DC/DNS server was found primary
Root zone on this DC/DNS server was not found
TEST: Records registration (RReg)
Network Adapter [00000007] vmxnet3 Ethernet Adapter:
Matching CNAME record found at DNS server 10.1.1.3:
7ae71958-74b2-4dc3-bf0e-224ec881bafa._msdcs.domain.com
Matching A record found at DNS server 10.1.1.3:
DC2008E-0.domain.com
Matching SRV record found at DNS server 10.1.1.3:
_ldap._tcp.domain.com
Matching SRV record found at DNS server 10.1.1.3:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[...]
Matching CNAME record found at DNS server 10.1.1.27:
7ae71958-74b2-4dc3-bf0e-224ec881bafa._msdcs.domain.com
Matching A record found at DNS server 10.1.1.27:
DC2008E-0.domain.com
Matching SRV record found at DNS server 10.1.1.27:
_ldap._tcp.domain.com
Matching SRV record found at DNS server 10.1.1.27:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[...]
Warning:
Missing CNAME record at DNS server 10.1.1.27:
7ae71958-74b2-4dc3-bf0e-224ec881bafa._msdcs.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Warning:
Missing A record at DNS server 10.1.1.27:
DC2008E-0.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Error:
Missing SRV record at DNS server 10.1.1.27:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
[...]
Error: Record registrations cannot be found for all the network
adapters
Total query time:0 min. 4 sec.. Total RPC connection
time:0 min. 0 sec.
Total WMI connection time:1 min. 3 sec. Total Netuse connection
time:0 min. 0 sec.
[...]
DC: DC2008E-1.domain.com
Domain: domain.com
Network adapters information:
Adapter [00000007] Intel(R) PRO/1000 MT Network Connection:
MAC address is 00:0C:29:75:FF:46
IP Address is static
IP address: 10.1.1.28, fe80::b81a:c109:24a0:9d3d
DNS servers:
10.1.1.3 (DC2008S-0) [Valid]
10.1.1.27 (DC2008E-0) [Valid]
127.0.0.1 (DC2008E-1) [Valid]
The A host record(s) for this DC was found
The SOA record for the Active Directory zone was found
The Active Directory zone on this DC/DNS server was found primary
Root zone on this DC/DNS server was not found
TEST: Records registration (RReg)
Network Adapter
[00000007] Intel(R) PRO/1000 MT Network Connection:
Matching CNAME record found at DNS server 10.1.1.3:
eafe6486-f76c-4900-8a20-46404fdbae57._msdcs.domain.com
Matching A record found at DNS server 10.1.1.3:
DC2008E-1.domain.com
Matching SRV record found at DNS server 10.1.1.3:
_ldap._tcp.domain.com
Matching SRV record found at DNS server 10.1.1.3:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[...]
Matching CNAME record found at DNS server 10.1.1.27:
eafe6486-f76c-4900-8a20-46404fdbae57._msdcs.domain.com
Matching A record found at DNS server 10.1.1.27:
DC2008E-1.domain.com
Matching SRV record found at DNS server 10.1.1.27:
_ldap._tcp.domain.com
Matching SRV record found at DNS server 10.1.1.27:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[...]
Warning:
Missing CNAME record at DNS server 10.1.1.28:
eafe6486-f76c-4900-8a20-46404fdbae57._msdcs.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Warning:
Missing A record at DNS server 10.1.1.28:
DC2008E-1.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Error:
Missing SRV record at DNS server 10.1.1.28:
_ldap._tcp.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Error:
Missing SRV record at DNS server 10.1.1.28:
_ldap._tcp.5f315a51-10e4-4785-a4db-50312543bf35.domains._msdcs.domain.com
[Error details: 10054 (Type: Win32 - Description: An existing connection was forcibly closed by the remote host.)]
Error: Record registrations cannot be found for all the network
adapters
Total query time:0 min. 0 sec.. Total RPC connection
time:0 min. 0 sec.
Total WMI connection time:0 min. 44 sec. Total Netuse connection
time:0 min. 0 sec.
Получается, что с настройкой сетевого адаптера что-то происходит? Вот где я начинаю наклоняться.
Конфигурации NIC
DC2008S-0
Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
Physical Address. . . . . . . . . : 00-0C-29-9A-77-BA
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.1.1.3(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.1.1.1
DNS Servers . . . . . . . . . . . : 10.1.1.3
10.1.1.27
127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled
DC2008E-0
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
Physical Address. . . . . . . . . : 00-50-56-12-34-56
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::3464:a8c8:13fa:7116%15(Preferred)
IPv4 Address. . . . . . . . . . . : 10.1.1.27(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.1.1.1
DHCPv6 IAID . . . . . . . . . . . : 335564886
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-4A-CD-9F-00-50-56-12-34-56
DNS Servers . . . . . . . . . . . : ::1
10.1.1.3
10.1.1.27
127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled
DC2008E-1
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0C-29-75-FF-46
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::b81a:c109:24a0:9d3d%10(Preferred)
IPv4 Address. . . . . . . . . . . : 10.1.1.28(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.1.1.1
DHCPv6 IAID . . . . . . . . . . . : 251661353
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-23-34-D6-43-00-0C-29-75-FF-46
DNS Servers . . . . . . . . . . . : ::1
10.1.1.3
10.1.1.27
127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled
Проблема была решена путем удаления IPv6 на двух контроллерах домена, на которых он был запущен, а также путем изменения конфигурации DNS на сетевых картах.
DC2008S-0
Ethernet adapter Local Area Connection 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
Physical Address. . . . . . . . . : 00-0C-29-9A-77-BA
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.1.1.3(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.1.1.1
DNS Servers . . . . . . . . . . . : 10.1.1.27
10.1.1.3
NetBIOS over Tcpip. . . . . . . . : Enabled
DC2008E-0
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
Physical Address. . . . . . . . . : 00-50-56-12-34-56
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.1.1.27(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.1.1.1
DNS Servers . . . . . . . . . . . : 10.1.1.28
10.1.1.27
NetBIOS over Tcpip. . . . . . . . : Enabled
DC2008E-1
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0C-29-75-FF-46
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.1.1.28(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.1.1.1
DNS Servers . . . . . . . . . . . : 10.1.1.27
10.1.1.28
NetBIOS over Tcpip. . . . . . . . : Enabled