Мы запускаем Active Directory на Windows Server 2008 и 2008 R2 в режиме 2008 AD.
Наш DNS является частью AD и работает на тех же серверах, что и глобальный каталог.
Мой предшественник создал среду в domain.local (домен - это подстановка, .local - нет)
В зонах прямого просмотра у нас есть контейнер с именем domain.local, содержащий рабочий контейнер _msdcs.
Однако на верхнем уровне у нас есть контейнер с именем _msdcs.domain.net (обратите внимание, что это тот же домен, но .net tld, а не .local), этот контейнер в основном содержит те же записи, что и рабочий контейнер _msdcs внутри domain.local, но с некоторыми незначительными различия.
Пример макета в диспетчере DNS (недостаточно очков репутации для публикации изображения)
+ Forward Lookup Zones
- _msdcs.domain.net
+ dc
+ domains
+ gc
+ pdc
- domain.local
- _msdcs
+ dc
+ domains
+ gc
+ pdc
Я хочу узнать, что им пользуется? Я хочу знать, как он туда попал? и я хочу удалить или исправить.
Вся документация MS, которую я могу найти на _msdcs, описывает его использование и то, что он содержит, но не объясняет, почему в верхней части моей зоны прямого просмотра должен быть отдельный домен для домена, отличного от моего AD.
================
Обновить
Похоже, AD был переименован с помощью rendom, но не очищен / завершен.
Для подтверждения используйте sysinternals Active Directory Explorer (ОСТОРОЖНО, В ЭТОМ ИНСТРУМЕНТЕ БУДУТ ДРАКОНЫ)
затем посмотрите в этот контейнер (показаны не все контейнеры, предполагая, что ваш домен - domain.local)
-servername [servername.domain.local]
-CN=Configuration,DC=domain,DC=local
-CN=Partitions
CN=DOMAIN
для атрибута msDS-DnsRootAlias
В моем случае это было domain.net
Не уверен, как исправить, но это уже другой вопрос.
Если кто-то думает, что ваш домен - это domain.net, а не domain.local (на самом деле вам не следует использовать .local, но это совершенно другой разговор), он будет искать ваши контроллеры домена на _msdcs.domain.net.
Неизвестно, что это может сломаться (на ум приходит Kerberos, а также динамические обновления DNS), поэтому я полагаю, что мало или ничего не использует его. Однако, если хотите, выполните захват пакетов (используйте wirehark или, еще лучше, клонируйте порт и используйте wirehark на чем-то еще, чтобы вам не приходилось запускать wirehark на производственном сервере), фильтруя записи DNS и ищите полученные данные для запросов, связанных с _msdcs.domain.net. Если вы его нашли, осмотрите запрашивающее устройство, чтобы увидеть, что именно так неправильно настроено.
Возможно, у вас также есть или был домен AD с таким именем. Если это так, и он больше не существует, вы можете очистить эти записи. Это упростит вам жизнь, если однажды вы откажетесь от .local.
В _msdcs.domain.local под domain.local (который является первым доменом в лесу) делегируются полномочия путем щелчка правой кнопкой мыши domain.local и выбора мастера «Новое делегирование ...». Запустите мастер, чтобы указать на тот же основной контроллер домена, что и SOA. Это может показаться бесплодным, но у этого есть определенная цель.
Обычно контроллеры домена в сети содержат реплики зон DNS и являются полномочными только в этом домене. Мастер делегирования создает новый _msdcs.domain.local на том же уровне, что и domain.local как новый домен. Это копия всех зон, благодаря которой серверы имен во всем лесу становятся авторитетными. Это предназначено для больших сетей через WAN-соединения, у которых есть контроллеры домена на каждом сайте. Каждый из этих контроллеров домена является сервером репликации DNS с репликой всего AD DNS (всех зон), но выполнение мастера делегирования позволяет им, как полномочным, иметь возможность записи. Больше не нужно выполнять динамическое обновление системных записей между всеми компьютерами в доменах с PDC, а только с их локальным DC, который будет обновлять PDC в своем регулярном цикле обновления.
По умолчанию область репликации для серверов имен (NS) в _msdcs установлена для всех DNS-серверов в домене, но теперь NS в _msdcs.domain.local являются полномочными для леса. Это позволяет запросам LDAP взаимодействовать локально в своем домене на локальном контроллере домена в качестве незначительной причины. Но даже если все реплики DNS находятся в головном офисе, до тех пор, пока это делегирование не будет выполнено, серверы имен (NS) являются авторитетными только в отношении деталей AD, которые находятся в domain.local (или, лучше сказать, как domain1.local), не уполномочены для доменов ( т.е. domain2.local) на том же уровне, что и первый домен в лесу.
Некоторые ошибочно полагают, что это также необходимо для дочерних доменов первого домена в лесу. Но серверы имен являются полномочными для своего домена, даже если child.domain.local находится внутри domain.local.
Насколько имя _msdcs.domain.net отличается от домена того же уровня, с которого оно произошло, domain.local? Вероятно, это был администратор-новичок, который думал, что домен _msdcs.domain.local будет конфликтовать с именем _msdcs (FQDN: _msdcs.domain.local), находящимся в domain.local, поскольку он будет иметь такое же имя и, возможно, приведет к повреждению.