[Ivan Bardeen]

покажите вывод команды repadmin /showrepl с каждого КД

[Safety1st]

Цитата Ivan Bardeen:

покажите вывод команды repadmin /showrepl с каждого КД »

DC один, если автор правильно понимает и описал ситуацию. DNS-зона может быть и без интеграции в AD.

Моё предложение - удалить роль DNS и всё такое на сервере с 2k3. А затем создать заново. На DC при этом в параметрах зоны указать, что DNS-сервер на 2k3 - secondary DNS. Тогда будет, что автор хочет - 'чтобы он получал обновления зон только с контроллера домена'. И лучше перенести зону на интеграцию в AD, если это возможно в принципе, без пересоздания зоны.

[Kaimor]

Вот вывод команды. (рис. 3)
На сколько я понимаю КД принимает обновления со второго сервера, который new-server. Вопрос в том отправляет ли?

Цитата Isotonic:

Моё предложение - удалить роль DNS и всё такое на сервере с 2k3. А затем создать заново. На DC при этом в параметрах зоны указать, что DNS-сервер на 2k3 - secondary DNS. Тогда будет, что автор хочет - 'чтобы он получал обновления зон только с контроллера домена'. »

Это будет следующий шаг.

На сколько я понимаю все зоны интегрированы с AD.

[Safety1st]

Цитата Kaimor:

На сколько я понимаю КД принимает обновления со второго сервера, который new-server »

Чтобы и нам было понятно без необходимости прибегать к телепатии, сообщите имя второго компьютера, который Вы контроллером домена называете. Если важна конспирация в плане заведомо недоступного извне имени - придумайте вымышленное, но на каждом скриншоте и в логах чтобы было понятно, о чём речь идёт. На первых скриншотах имя домена ux.local затёрто, на вторых оно светится. Что так? Не доглядели?

Также залезьте в Domains and Trusts -> ... ->Default-First-Site-Link и скриншот. Как раз здесь отображается всё, что якобы несёт на себе какие-то доменные роли.

Цитата Kaimor:

Насколько я понимаю, все зоны интегрированы с AD»

Тогда DNS-сервер на 2k3 точно должен нести роль DC, иначе как ему ещё интегрировать? Скриншотики, откуда это понятно, в студию

[Kaimor]

Цитата Isotonic:

На первых скриншотах имя домена ux.local затёрто, на вторых оно светится. Что так? Не доглядели? »

Скорее перебдел в первый раз Зря как оказалось. Я как говорится еще не волшебник

В свойствах зоны указано (рис. 4) Причем и для контроллера домена (имя компьютера Elvis) и для второго сервера (тот который New-server под управлением Windows server 2003).

Цитата Isotonic:

Domains and Trusts -> ... ->Default-First-Site-Link »

Не совсем понял что именно нужно заскриншотить.
Вот все что нашел (рис. 5)

[Safety1st]

Цитата Kaimor:

Не совсем понял что именно нужно заскриншотить. »

Это я чушь сказал. Смотрите в 'Active Directory Sites and Services'.

[Kaimor]

Цитата Isotonic:

Это я чушь сказал. Смотрите в 'Active Directory Sites and Services'. »

Меня тоже удивило

вот скриншот (рис. 6)

[Safety1st]

Т.о. у вас и Elvis, и New-server - оба контроллеры доменов. 'Ошибка службы DCOM' и 'ошибка службы Kerberos' к делу не относятся, потому что там про компьютер с именем 'E5520-<>'.

По совету Ivan Bardeen давайте выполним команду repadmin /showrepl на new-server.

Цитата Kaimor:

обнаружил что в зоне, которую держит контроллер домена, присутствуют станции, с разными именами, но зарегистрированные на один и тот же IP адрес. »

Это абсолютно нормально.

Цитата Kaimor:

Затем был проверен также Сервер 2003. Оказалось что записи присутствуют и там. »

Когда серверы синхронизируются друг с другом, записи на них будут идентичны. В этом и цель, зачем нужно 'иметь несколько'. Только в вашем случае DNS-зоны хранятся не в файлах, а в 'directory partition', который 'несут' на себе Active Directory Services, запущенные на контроллерах домена. DNS-сервера напрямую записями не обмениваются, весь обмен происходит через AD.

Цитата Kaimor:

Как можно настроить 2003-й сервер, чтобы он получал обновления зон только с контроллера домена? »

На 'втором' DC new-server выполните команду dnscmd /zoneinfo ux.local Если zone type = 1, то это primary zone, и обмен ведётся в обе стороны. Тогда на обоих серверах:
на скриншоте 4 перейдите на вкладку SOA. В поле 'Primary server' задаётся 'главный' сервер;
на вкладке 'Name servers' должны быть указаны оба сервера.

Если нужен обмен только elvis -> new-server, то на new-server должна быть secondary зона. Наверное, у неё тип 2

А вообще Вам точно нужен 2-й DNS-сервер?

Цитата Kaimor:

В SOA Forward lookup zone, Serial number 2003-го сервера выше чем той же зоны у контроллера домена.»

Они могут немного отличаться, ведь синхронизация происходит не ежесекундно.

Если у Вас остались ещё какие-то задачи в этом плане, приведите всю выясненную информацию на предыдущих шагах и эту (с обеих машин):
nslookup
set type=soa
ux.local

P.S. Мне кажется, удобнее, когда текст остаётся текстом, а не превращается в картинку.

[Kaimor]

Цитата Isotonic:

'Ошибка службы DCOM' и 'ошибка службы Kerberos' к делу не относятся, потому что там про компьютер с именем 'E5520-<>'. »

В каком смысле не относятся? Ведь получается что Kerberos ищет компьютер в сети, но на его IP адрес есть другая запись. Вследствие чего, возникает ошибка DCOM. Именно так это выглядит в логах, с моей точки зрения.

Вот первая строчка ошибки Кербероса:
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server e6410-5ljq1m1$. The target name used was RPCSS/dt-012.ux.local. This indicates that the target server failed to decrypt

А вот ощибка DCOM которая следует за ней, причем повтоярется 5 раз:
DCOM was unable to communicate with the computer dt-012.ux.local using any of the configured protocols.

Команды repadmin и dnscmd на new-server не распознаются. Сервер выдает ошибку is not recognized as an internal or external command, operable program or batch file. С этим я буду бороться, вот сервер только рестартну вечером.

Цитата:

А вообще Вам точно нужен 2-й DNS-сервер?

Хороший вопрос. Начинаю об этом думать

Цитата:

Тогда на обоих серверах: на скриншоте 4 перейдите на вкладку SOA. В поле 'Primary server' задаётся 'главный' сервер;

Настроил primary server в SOA для обоих зон сервер ELVIS

Цитата:

Если у Вас остались ещё какие-то задачи в этом плане, приведите всю выясненную информацию на предыдущих шагах и эту (с обеих машин): nslookup set type=soa ux.local

Результат на сервере ELVIS
Server: UnKnown
Address: fe80::3c67:3180:7db1:9e71

ux.local
primary name server = elvis.ux.local
responsible mail addr = hostmaster
serial = 14466
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
elvis.ux.local internet address = 192.168.10.250

Результат на сервере new-server
Server: elvis.ux.local
Address: 192.168.10.250

ux.local
primary name server = elvis.ux.local
responsible mail addr = hostmaster
serial = 14466
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
elvis.ux.local internet address = 192.168.10.250

И я все равно не могу понять почему не работает aging\scaveging.