Умер DNS, контроллеры домена перестали видеть друг друга
Всем привет!
Имеем небольшую подопытную сетку: PDC (DHCP, DNS), второй DC с теми же ролями, RODC и несколько клиентов на Win7-8 После того, как на PDC перенес базу AD DS в другую папку командой ntdsutil - move DB, подох DNS. Репликация на другой DC, как минимум, один раз после этого прошла, через некоторое время контроллеры потеряли друг друга, при этом второй DC тоже перестал разрешать имена. Возврат базы на прежнее место результатов не принесло. Служба DNS, как таковая, работает, но имена не разрешает. В логах DNS висят ошибки: 407, 408, 404. 404 - The DNS server could not bind a Transmission Control Protocol (TCP) socket to address 192.168.101.202. The event data is the error code. An IP address of 0.0.0.0 can indicate a valid "any address" configuration in which all configured IP addresses on the computer are available for use. Restart the DNS server or reboot the computer. 407 - The DNS server could not bind a User Datagram Protocol (UDP) socket to 192.168.101.202. The event data is the error code. Restart the DNS server or reboot your computer. 408 - The DNS server could not open socket for address 192.168.101.202. Verify that this is a valid IP address for the server computer. If it is NOT valid use the Interfaces dialog under Server Properties in the DNS Manager to remove it from the list of IP interfaces. Then stop and restart the DNS server. (If this was the only IP interface on this machine and the DNS server may not have started as a result of this error. In that case remove the DNS\Parameters\ ListenAddress value in the services section of the registry and restart.) Погуглив эти ошибки пробовал переставить службу DNS и чистку. Есть мысли как поправить? PS C:\Users\Administrator> ipconfig /all PS C:\Users\Administrator> dcdiag |
IPCONFIG /ALL с обоих контроллеров домена.
кто есть 192.168.150.57 ? |
Цитата:
PS C:\Users\Administrator.LAB-PETR> ipconfig /all |
Цитата:
так... стоп. а 192.168.100.58 кто ??? на контроллерах домена должны быть только ДНС сервера, обслуживающие домен. Т.е. которые содержат его зону! как правило - это сами контроллеры домена. |
Цитата:
Цитата:
|
Цитата:
ну раз это другие сервера, сети, то смотрите рекомендации по логам: Цитата:
nslookup Lab-Petr.net с обоих серверов покажите. |
Цитата:
Цитата:
PS C:\Users\Administrator> nslookup Default Server: dc04.xxxx.ru Address: 192.168.100.58 DC: PS C:\Users\Administrator.LAB-PETR> nslookup Default Server: dc04.xxxx.ru Address: 192.168.100.58 |
Stelth19, я попросил nslookup Lab-Petr.net
Цитата:
|
Цитата:
Как раз работу этих DNS мне и нужно восстановить. |
Stelth19, так...
верните ДНС настройки назад, как было до смены на продакшен. снова покажите IPCONFIG /ALL с каждого сервера Потом dcdiag /test:dns на каждом сервере |
PDC:
PS C:\Users\Administrator> ipconfig /all PS C:\Users\Administrator> dcdiag /test:dns DC: PS C:\Users\Administrator.LAB-PETR> ipconfig /all PS C:\Users\Administrator.LAB-PETR> dcdiag /test:dns |
|
Вложений: 2
|
что за зона .(root) ? и обратные зоны какие-то странные...
ещё раз nslookup Lab-Petr.net так же покажите такой скрин: проверьте наличие всех этих записей. Цитата:
|
Вложений: 2
Цитата:
Цитата:
PS C:\Users\Administrator> nslookup Lab-Petr.net Server: lab-srv-dc.lab-petr.net Address: 192.168.101.202 *** lab-srv-dc.lab-petr.net can't find Lab-Petr.net: Non-existent domain с SRV2 PS C:\Users\Administrator.LAB-PETR> nslookup lab-petr.net Server: lab-srv-dc.lab-petr.net Address: 192.168.101.202 *** lab-srv-dc.lab-petr.net can't find lab-petr.net: Non-existent domaint can't find lab-petr.net: Non-existent domain Цитата:
Файл 101115 Цитата:
|
Цитата:
так. 1) сделайте бекап сервера SRV2. если это просто виртуальные машины - сделайте снепшоты. 2) Цитата:
Укажите у обоих контроллеров первый ДНС 192.168.101.203 после этого: ipconfig /flusdns nslookup lab-petr.net 3) Цитата:
|
Цитата:
SRV-DC PS C:\Users\Administrator> ipconfig /flushdns Windows IP Configuration Successfully flushed the DNS Resolver Cache. PS C:\Users\Administrator> nslookup lab-petr.net Server: lab-srv2.lab-petr.net Address: 192.168.101.203 Name: lab-petr.net Addresses: 192.168.101.202 192.168.101.203 SRV2 PS C:\Users\Administrator.LAB-PETR> ipconfig /flushdns Windows IP Configuration Successfully flushed the DNS Resolver Cache. PS C:\Users\Administrator.LAB-PETR> nslookup lab-petr.net Server: lab-srv2.lab-petr.net Address: 192.168.101.203 Name: lab-petr.net Addresses: 192.168.101.203 192.168.101.202 Цитата:
Сервера друг друга увидели, репликация пошла. Имена так и не разрешает ( Еще, мой косяк, на SRV2, пытаясь хотя бы его оживить, в свойствах AD Operations Masters вписал сервер SRV2 в PDC и Infrastructure (когда ничего не работало, там было Error). После восстановления связи, на SRV-DC там так же оказался SRV2. Update: Удалось вернуть все на свои места... |
Цитата:
если да - пометь тему решёной. |
Нет, только роли вернулись на место.
Имена так и не разрешаются на сервере |
Цитата:
проверьте его наличие в ДНС в зоне lab-petr.net |
SRV-DC
PS C:\Users\Administrator> nslookup www.ya.ru Server: lab-srv2.lab-petr.net Address: 192.168.101.203 Non-authoritative answer: Name: ya.ru Addresses: 87.250.251.3 77.88.21.3 93.158.134.3 87.250.250.3 87.250.250.203 213.180.204.3 213.180.193.3 93.158.134.203 Aliases: www.ya.ru В зоне lab-petr.net записей www.ya.ru нет Странно как-то, nslookup вроде показал, что имена разрешаются, но сайты не открываются, хотя по ip на страничку можно зайти, только по ссылкам уже не ходит. В сетевом подключении горит "ограниченный доступ". Фаерволы на серверах пока отключены. Еще одно: Зашел на клиента - сетевое подключение с ограниченным доступом, домен Lab-Petr.net, но тип сети - публичная. Выключил-включил сетевой адаптер, тип сети сменился на доменную, ограниченный доступ пропал, имена начали разрешаться, странички открываются. Перезагружаю клиента - опять сеть публичная, доступ ограничен. Еще раз передернул адаптер, перезагрузил и теперь пока все нормально без "танцев" Update: после того как с клиента сходил на www.ya.ru, запись в кэше появилась, но только на в Lab-Petr.net, а в Root |
|
Цитата:
SRV-DC PS C:\Users\Administrator> ipconfig /all PS C:\Users\Administrator> tracert www.ya.ru Unable to resolve target system name www.ya.ru. PS C:\Users\Administrator> telnet ya.ru 80 Connecting To ya.ru...Could not open connection to the host, on port 80: Connect failed Client C:\Users\Ivan>ipconfig /all C:\Users\Ivan>tracert www.ya.ru C:\Users\Ivan>telnet ya.ru 80 'telnet' is not recognized as an internal or external command, operable program or batch file. |
Цитата:
Цитата:
в ДНС в свойствах во вкладке Forwareds - кто указан? |
|
Цитата:
Если в браузере руками прописать прокси 192.168.101.252, то странички начинают открываться... |
Цитата:
схему сети нарисуете? |
Схему сети не могу нарисовать. ТМГ абсолютно точно знает о 101 сети, об этом говорит то, что до экспериментов с переносом базы, проблем не было (работ с ТМГ в этот момент и позже не проводилось), так же проверил всех клиентов и файлсервер этого домена, на них проблем нет. Проблемы только с контроллерами домена.
Не могу понять, почему в DNS форвардеры 150.57 и 100.58 висят в статусе Unable to resolve, но имена на клиентах разрешаются. |
какой сетевой профиль на контроллерах домена?
|
Сейчас доменный, но до этого постоянно включался публичный, вернуть на доменный помогало передергивание сетевого адаптера.
|
Цитата:
|
Цитата:
|
Цитата:
После экспериментов заметил что, если на DC Local Security Policy в ветке Network List Manager выставить Location Type значение по умолчанию (Не определено), то и на клиентах сеть становиться публичной и интернет пропадает. Если же выставить значение Location Type в Private, то профиль сети и на DC и на клиентах меняется на доменный и с клиентов имена начинают разрешаться. |
Если сетка подопытная - снесите её нафиг и поставьте заново. Тестовые сетки на 1-10 серверов и цать клиентов так решаются проще - зуб даю. MDT (и течнет) в помощь - чтобы быстрее было. А если продкашн, то так бы и писали.
|
Цитата:
|
Итого: Решил, чем черт не шутит, и набрал команду dcgpofix. Восстановление Default Domain Policy и Default Domain Controllers Policy по дефолту полностью восстановило нормальную работу серверов.
з.ы. хотя политики последний раз я крутил примерно недели за две до сбоя, но похоже накрученные политики и перенос ntds в другой каталог сошлись не под той звездой и DC пытались подохнуть. Отдельное спасибо exo, за помощь!!! |
Цитата:
|
Цитата:
exo правильно написал. P.S. На отслежку GP (а также всей AD и Exchange изменений) есть Active Directory Change Reporter от Netwrix, бесплатный. Платный может выручить и покруче(откатом изменений хотя бы) - особенно если есть несколько админов АД/ГП/Экса и притом разнесены они по городам и весям (или даже в одном кабинете, но не очень общаются - бывает и такое недолго) |
Время: 01:34. |
Время: 01:34.
© OSzone.net 2001-