проблема с поднятием AD-DNS
 

Помогите советом. Наткнулся на такую проблему. Исходные данные: сервер Windows 2003 EE R2 SP2. Надо установить роль контроллера домена(АД)+DNS. Контроллер первый и единственный. Казалось бы что проще. Но после поднятия ролей (успешную) в лог. DNS прёт ошибка о невозможности загрузить в AD установленную зону. В общем-то это не первый домен который делаю, но впервые на такое натыкаюсь. Переустановка ОС результата не даёт. Советуют посмотреть настройки LAN. Сервер с 2 сетевухами. Одну что бы не путалась вырубаю. В настройках прописываю IP и маску. Остальное дефолтное. Раньше на других машинах при установке DNS брал себе указанный IP в настройках. В принципе именно R2 SP2 ставлю впервые, ещё отличается от предыдущих установок тем что этот сервак надо сделать локально, без подключений к сети. В чём может быть дело?

DNS ставите одновременно с AD ?
Сетевые настройки прописанны статикой? В поле ДНС - не 127.0.0.1 ?

Да запускаю выборочную установку, выбираю Контроллер домена (АД). В процессе установки он запрашивает буду ли ставить DNS - отвечаю согласием. Всё ставится успешно, но в логе вышеуказанная ошибка.
ДА.
Нет, перед установкой оставляю его пустым. После установки оно почему-то тоже пустое. Надо вписать 127.0.0.1 ?

как раз его нужно тоже заполнить, и НЕ 127.0.0.1, а IP самого себя, пусть даже он пока не ДНС сервер.

Ёлки маталки. Я уже снёс AD c DNS, прописал 127.0.0.1. После чего установил (немного другим методом) их заново. Вроде работает без ошибок, раз 7 перегружал уже. Это принципиально? И можно ли теперь просто переписать его в LAN?

Это адрес внутренний, резервированный, используется операционной системой, но никак не сетевыми службами, к коим относится DNS, AD и иже с ними. Пропишите реальный адрес интерфейса.

Извиняюсь, ещё раз уточню, уже функционирующий DNS это переживёт нормально?

Есть такое понятие, как порядок привязки сетевых интерфейсов. На контроллерах домена (и не только), которые имеют более чем одну сетевую карточку, его нужно менять вручную. Панель упр\Сетевые подключения\Дополнительно\Доп. параметры - первой должна стоять сетевая, которая смотрит в локалку. Даже, если вотрая сетевая отключена там нужно будет вручную отключать регистрацию в DNS. И на последок - в свойствах DNS сервера нужно выставить, чтобы слушал только с внутреннего IP контроллера домена.

artem_ спасибо за науку. Единственное, скажите пожалуйста эти изменениня (включая отключение текущей карточки и подключения другой) возможны уже на действующем DNS ?

Да, требуется перезагрузка.

Подскажите где именно это делается. DomenName => Свойства. Есть вкладка Fowarders. Там поле Selected domain forwarder IP_address list пустое. Здесь прописать?

Закладка Interfaces, Listen on: Only the following IP Addresses

exo, Oleg Krylov, офтоп.) почему не 127,0,0,1? проблему "остров" не мешать она актуальна для 2000 сервера только!

1 - петлевой адрес
2 - не рекомендует майкрасофт.
3 - зачем его использовать, когда есть своя полноценная сеть?

А 2003 ставит DNS по умолчанию как кеширующий ?

хм... вроде он спрашивает куда перенаправлять DNS запросы при устаноке с AD, и без AD.

Слушайте, после изменений (адрес со 127 на родной, и указания Interfaces, Listen on: Only the following IP Addresses) пошла ошибка. После перезагрузки получаю:
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4004
Date: 31.03.2009
Time: 10:27:56
User: N/A
Computer: TER
Description:
The DNS server was unable to complete directory service enumeration of zone _msdcs.timer.local. This DNS server is configured to use information obtained from Active Directory for this zone and is unable to load the zone without it. Check that the Active Directory is functioning properly and repeat enumeration of the zone. The extended error debug information (which may be empty) is "". The event data contains the error.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2a 23 00 00 *#..
timer.local - имя домена.

почему не рекомендует, я бы даже сказал наоборот. Когда на 2008й поднимаешь дополнительный контроллер домена, она сама меняет настройки TCP/IP, первым оставляет адрес основного контроллера домена (или какой был указан), а дополнительным вписываем 127.0.0.1 - я сам удивился.

Контроллер домена один? Если один то такая ишибка может вылазить периодически - DNS не успевает подняться.

Vi-P, давайте по пунктам чего делали и где крутили. И прилипите туда результат ipconfig /all c контроллера.

что-то я не обращал внимания... знаю что в книгах от майкрасофта так и написанно - ставтьте именно этот ип, а не 127.

Да контроллер один. И что в таких случаях надо перезагружаться до тех пор пока ошибка не пропадёт? (реально так и есть, ошибка пишется не на каждую перезагрузку)

Windows IP Configuration (это отключенная карта)
Host Name . . . . . . . . . . . . : ter
Primary Dns Suffix . . . . . . . : timer.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : timer.local

Ethernet adapter Local Area Connection 2 (рабочая, в привязке выставлена первой):
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD Client)
Physical Address. . . . . . . . . : XX-XX-XX-XX-XX-XX
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.XXX.0.50
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.XXX.0.99
DNS Servers . . . . . . . . . . . : 192.XXX.0.50

Попробуйте все таки оставить IP DNS сервера 127.0.0.1.
Еще один момент - зона обратного просмотра должна тоже быть.

А вообще то MS рекомендует как минимум 2 контроллера домена и DNS у них настраивается след образом:
Основной - IP адрес соседнего контроллера домена
Резервный - сам на себя

exo, ставтьте именно этот ип, а не 127. А вот WINS через такой IP у меня глючил.
Скорее всего это зависит от службы.
С DNSом проверено на собственном опыте.

Она же вроде как автоматически образуется? Я её сознательно не отключал. Или туплю?

вот она то и не создается автоматически !!!

Цитата:

Цитата artem_ ставтьте именно этот ип, а не 127 »

я вообще с 127 не работаю...
никогда при установке AD+DNS вообще не настраивал DNS руками. всё автоматически. только галки ставил - где что надо, а где нет. и прямая и обратная автоматом прописывались. и всё работает хорошо без сбоев.

с каких это пор? .) ну ладно прямая. точно не помню, но обратную ручками забивать надо, т.к. она не обязательна(и у многих она отсутствует) хотя очень желательна. обратная автоматом только для 127, 255 и 0 зоны прописываеться.

ух ты, вот молодцы то! а я так уже давно делаю.) но лучше бы они поднимали сначала службы которые необходимы для работы АД в частности ДНС до подьёма АД при загрузке КД.) но видимо не судьба.)))

а по-моему тему про перекрёстное указание ДНС и петлю мы обсуждали уже на этом форуме с exo ./

ну не знаю, сколько DNS устанавливаю - ничего в нём не делаю и есть в нём обратная зона. В DNS только новые зоны добавляю для хостинга и всё.
А AD зоны - все есть сразу после установки.

Может у вас в DHCP сервере нет галочек:

а вот этих зон вообще нет и никогда не было! и зачем они?!

Цитата:

Цитата wertyg а по-моему тему про перекрёстное указание ДНС »

да, было дело.

а вот этово я бы не советовал делать. При такой настройке, любой не доменный комп себя сможет прописать в DNS.

Тем более, что Win2000 и выше, умеют самостоятельно кидать запросы DNSу на обновление записей.

Но это еще не все, запустите в сети VPN сервер, который IP адреса VPN клиентам от DHCP раздавать будет.
Такой винигрет в DNS начнется - мама не горюй!!!

ну я не позволю появится в сети любому не доменному компу. :) это как-никак моя работа.
я не использую VPN-подключение. Мне больше по душе VPN-туннель, не нуждающийся DHCP. :wizard:

Всем спасибо за инфу.
Кстати, извиняюсь тупил всё-таки - обратная зона отсутствует.


Ээээ... просьба вот в этих настройках что-нибудь надо ещё подправить

Vi-P, второй рисунок - у вас DNS кеширующий? если нет - то укажите IP адрес DNS сервера провайдера.
на третьем рисунке я бы поставил галку и указал 7 дней - если компьютер 7 дней не появляется в сети - его записи А, PTR - удалятся.
Иначе, при удалении компьютера у вас будет его имя, и будут потом вопросы: а почему пинг идёт на комп, который я удалил месяц назад?

Никакого провайдера нет. Изолированный сегмент. Никаких интернетов :( DC+DNS+40 пользовательских машин. Общение с внешним миром (из данной локалки) запрещено.