![]() |
Проблема с AD и DNS
Приветствую, коллеги!
Возникла проблема с контроллером домена на windows 2012 У серверов руками прописана статика с сетью 192.168.48.0\24. Контроллер домена, он же днс, с Ip 192.168.48.4. Проблема началась с того что вдруг резко оборвались rdp сессии к нескольким серверам, не пингуются. tcpdump на шлюзе показал, что трафик от них тем не менее идет. Подключаюсь к одной из виртуалок в Hyper-V, пытаюсь залогиниться, мне в ответ: Отсутствуют серверы, которые могли бы обработать запрос. Думаю что за бред, на контроллер домена пол Rdp зайти могу, сейчас на нем сижу, проверил dns, проверил ip, доступность по сети - все ОК. Запустил dcdiag /c /e /v ни одной ошибки не показал. Попробовал создать второй контроллер домена, при повышении уровня выдает ошибку "Verification of replica failed..." и жалуется на DNS. Посмотрел порты на которых слушает dns: C:\Users\Администратор>netstat -na | findstr 53 TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING TCP 127.0.0.1:53 0.0.0.0:0 LISTENING TCP 192.168.48.4:53 0.0.0.0:0 LISTENING TCP 192.168.48.4:445 192.168.48.77:53744 ESTABLISHED TCP 192.168.48.4:3389 37.153.18.13:21055 ESTABLISHED TCP [::]:49153 [::]:0 LISTENING TCP [::1]:53 [::]:0 LISTENING TCP [::1]:389 [::1]:55533 ESTABLISHED TCP [::1]:49155 [::1]:55530 ESTABLISHED TCP [::1]:55530 [::1]:49155 ESTABLISHED TCP [::1]:55533 [::1]:389 ESTABLISHED UDP 127.0.0.1:53 *:* UDP 192.168.48.4:53 *:* UDP [::1]:53 *:* Если на любом сервере сделать nslookup то он нормально подключается к dns серверу и резолвит любые запросы. Если сделать ping office.local то он говорит "Ping request could not find host print. Please check the name and try again." При этом пинговать ya.ru или avito.ru можно без проблем Установил на другом сервере роль DNS сервера, принял от DNS на контроллере домена всю зону, с этим проблем не было. Но даже несмотря на это, ни через новый ни через старый dns сервера не резолвятся имена машин. Выручите, в чем может быть проблема? |
ipconfig /all с контроллера домена, сервера терминалов, и виртуальной машины (если залогинится под локальной учётной записью)
|
Клиент и контроллер домена воткнуты в один свич c2960g-48tc-l, почитав пару форумов - отключил stp.
Клиент: C:\Windows\system32>ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : hyper Primary Dns Suffix . . . . . . . : livetex.local Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : Yes WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : livetex.local Ethernet adapter Ethernet: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller Physical Address. . . . . . . . . : 48-5B-39-A1-A6-34 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 192.168.48.19(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.48.1 DNS Servers . . . . . . . . . . . : 192.168.48.4 NetBIOS over Tcpip. . . . . . . . : Enabled C:\Windows\system32>ping google.com Pinging google.com [85.112.121.123] with 32 bytes of data: Reply from 85.112.121.123: bytes=32 time=8ms TTL=60 Reply from 85.112.121.123: bytes=32 time=10ms TTL=60 Ping statistics for 85.112.121.123: Packets: Sent = 2, Received = 2, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 8ms, Maximum = 10ms, Average = 9ms Control-C ^C C:\Windows\system32>ping netflow.livetex.local Ping request could not find host netflow.livetex.local. Please check the name an d try again. C:\Windows\system32>ping netflow Ping request could not find host netflow. Please check the name and try again. Контроллер домена: c:\>ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : livetexserv Primary Dns Suffix . . . . . . . : livetex.local Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : livetex.local Ethernet adapter vEthernet (Qualcomm Atheros AR8161 8165 PCI-E Gigabit Ethernet Controller (NDIS 6.20) - Virtual Switch): Connection-specific DNS Suffix . : Description . . . . . . . . . . . : ??????? Ethernet ??? ??????????? ???? Hyp er-V #2 Physical Address. . . . . . . . . : 90-2B-34-D1-51-45 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 192.168.48.4(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.48.1 DNS Servers . . . . . . . . . . . : 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled c:\>ping ya.ru Pinging ya.ru [93.158.134.3] with 32 bytes of data: Reply from 93.158.134.3: bytes=32 time=14ms TTL=57 ?????????? Ping ??? 93.158.134.3: ???????: ?????????? = 1, ???????? = 1, ???????? = 0 (0% ??????) ??????????????? ????? ??????-???????? ? ??: ??????????? = 14????, ???????????? = 14 ????, ??????? = 14 ???? Control-C ^C c:\>ping netflow Pinging netflow.livetex.local [192.168.48.6] with 32 bytes of data: Reply from 192.168.48.6: bytes=32 time=1ms TTL=128 Reply from 192.168.48.6: bytes=32 time<1ms TTL=128 ?????????? Ping ??? 192.168.48.6: ???????: ?????????? = 2, ???????? = 2, ???????? = 0 (0% ??????) ??????????????? ????? ??????-???????? ? ??: ??????????? = 0????, ???????????? = 1 ????, ??????? = 0 ???? Control-C ^C Посмотрел wireshark'ом на контроллере домена: когда я пишу в командной строке на клиенте ping www.livetex.local, он даже к dns серверу не обращается, почему? |
Цитата:
с клиента: ping 192.168.48.6 nslookup 192.168.48.6 nslookup netflow nslookup ya.ru к виртуалке нет возможности подключится с помощью локальной (не доменной) учётной записи? |
Цитата:
Цитата:
С клиента делаю: C:\Windows\system32>ping 192.168.48.22 Pinging 192.168.48.22 with 32 bytes of data: Reply from 192.168.48.22: bytes=32 time=1ms TTL=128 Reply from 192.168.48.22: bytes=32 time<1ms TTL=128 Reply from 192.168.48.22: bytes=32 time<1ms TTL=128 C:\Windows\system32>ping -a 192.168.48.22 Pinging print.livetex.local [192.168.48.22] with 32 bytes of data: Reply from 192.168.48.22: bytes=32 time<1ms TTL=128 Reply from 192.168.48.22: bytes=32 time<1ms TTL=128 Reply from 192.168.48.22: bytes=32 time<1ms TTL=128 Reply from 192.168.48.22: bytes=32 time<1ms TTL=128 C:\Windows\system32>nslookup 192.168.48.22 Server: livetexserv.livetex.local Address: 192.168.48.4 Name: print.livetex.local Address: 192.168.48.22 C:\Windows\system32>nslookup print Server: livetexserv.livetex.local Address: 192.168.48.4 Name: print.livetex.local Address: 192.168.48.22 C:\Windows\system32>ping print Ping request could not find host print. Please check the name and try again. |
Цитата:
перезапустите службу ДНС на контроллере домена. по IP зайдите на 192.168.48.22 и его ipconfig /all посмотрите, какой профиль сетевого подключения - сеть предприятия? если не сможете авторизоваться попробуйте на контроллере домена выполнить команду: winrs -r:192.168.48.22 ipconfig /all с клиента и с 192.168.48.22 route print покажите. |
Судя по всему кто-то поставил DirectAccess и в GP были созданы два обьекта:
Параметры клиента DirectAccess Параметры сервера DirectAccess Внутри куча настроек брендмауера, dns-клиентов и тд и тп. Судя по всему они успели примениться на эти сервера и теперь получились такие проблемы. Я отключил связь, но как теперь вернуть все обратно?:( |
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
Общие параметрыскрыть Дополнительно Общие параметры Политика Значение Зависимость от сетевого ресурса Не настроено Сбой запроса Всегда возвращаться к протоколу LLMNR (Link-Local Multicast Name Resolution) и NetBIOS, если имя отсутствует в DNS или если серверы DNS недоступны в частной сети (умеренная безопасность) Разрешение запроса Не настроено Параметры правиласкрыть Пространство имен office.livetex.ru Политика Значение Пространство имен office.livetex.ru Центр сертификации Пустой Конфигурация DirectAccess DNSSEC (проверка) Не настроено DNSSEC (IPsec) Не настроено DNSSEC (шифрование IPsec) Не настроено DirectAccess (IPsec) Нет DirectAccess (шифрование IPsec) Без шифрования (только целостность) DirectAccess (параметры прокси-сервера) Использовать по умолчанию DirectAccess (веб-прокси) Пустой DirectAccess (DNS-серверы) Пустой Универсальные DNS-серверы Не настроено Кодировка Не настроено Версия 1 .livetex.local Политика Значение Пространство имен .livetex.local Центр сертификации Пустой Конфигурация DirectAccess DNSSEC (проверка) Не настроено DNSSEC (IPsec) Не настроено DNSSEC (шифрование IPsec) Не настроено DirectAccess (IPsec) Нет DirectAccess (шифрование IPsec) Без шифрования (только целостность) DirectAccess (параметры прокси-сервера) Не использовать веб-прокси DirectAccess (веб-прокси) Пустой DirectAccess (DNS-серверы) fd79:ecf:71c5:3333::1 Универсальные DNS-серверы Не настроено Кодировка Не настроено Версия 1 Как можно откатить все обратно? |
|
Собственно мои догадки подтвердились, он ставил VPN сервер и заодно решил подцепить DirectAccess.
Проблема по крайней мере судя по всему появилась именно после этих действий. Тем не менее мне не совсем понятно почему хосты не разрешают доменные имена |
Цитата:
|
Время: 15:58. |
Время: 15:58.
© OSzone.net 2001-