I record DNS DNS di dominio Active Directory Server 2012 R2 Active Directory sono scomparsi improvvisamente

8

Ho un dominio di prova che ho configurato di recente. Improvvisamente, nessun utente può accedere tranne quelli con credenziali memorizzate nella cache. Il dominio include due controller di dominio che sono entrambi cataloghi globali che si replicano l'un l'altro.

Dopo aver esaminato il problema, ho scoperto che tutti i record di dominio _mcdcs sono completamente spariti su entrambi i server DNS. Ciò rende impossibile individuare un controller di dominio perché i record SRV come _ldap e _kerberos sono irrisolvibili.

Non sono sicuro di come sia successo ... è qualcosa che causerebbe la cancellazione della cache DNS o lo scavenging DNS?

A questo punto ho bisogno di ripristinare i record in qualche modo. Ho esaminato le impostazioni di un altro dominio e sembra che possano essere ricreate manualmente ... ma ho notato che alcuni dei record DNS sembrano avere nomi SID in essi ... e non ho idea di quale identificatore avrebbe bisogno essere usato per ricrearli.

Esiste un processo migliore che si può usare per uscire da una situazione come questa?

— Super1337
fonte

I record sono spariti o l'intera zona _msdcs è sparita?

— Clayton,

vale la pena provare nltest / dsregdns in cmd

— Idan4326,

12

1. Riavviare il servizio Netlogon su uno dei controller di dominio

O

2. Esegui DCDiag / fix

O

3. Creare manualmente i record dal file netlogon.dns da uno dei controller di dominio

— joeqwerty
fonte

DCDiag / fix e il riavvio di netlogon non ha funzionato per me ... Sono stato in grado di trovare il file netlogon.dns e ricreare tutti i record DNS. È stato piuttosto doloroso ... mi ci sono voluti circa 30 minuti per crearli e testarli manualmente ma alla fine sembra aver risolto il problema. Grazie per i tuoi pensieri

— Super1337

Se non riesci ad accedere a nessuno dei controller di dominio per eseguire uno di questi elementi, il riavvio del controller di dominio comporterà (in effetti) il numero 1 sopra. All'avvio del servizio netlogon, tenterà di registrare tutti i record _ SRV necessari.

— Cory Plastek,

3

È insolito che i record DNS vengano eliminati (a meno che una persona non li abbia eliminati). Di solito sono dnsTombstoned, quindi i record possono ancora apparire se si utilizza un altro strumento come ADSIEdit anche se non visibile in DNS Manager o nslookup.

Ci sono casi limite in cui lo scavenging può causare questo (e molti altri problemi se lo scavenging non è configurato correttamente).

http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx

http://blogs.technet.com/b/ad/archive/2008/08/08/a-complicated-scenario-regarding-dns-and-the-dc-locator-srvs.aspx

— Greg Askew
fonte

Ci sono molte cause diverse. support.microsoft.com/en-us/kb/2985877

— HiredMind

1

Ho riavviato il servizio NetLogon ed eseguito dcdiag /fixma non c'è stata fortuna. Dopo 3-4 ore di ricerca e lettura, ho deciso di disinstallare i servizi di Active Directory e installarlo di nuovo, ma anche l'installazione non è riuscita!

Quindi ho deciso di aggiungere manualmente i record DNS in base a questo e questo , quindi ho eliminato la zona del dominio e l'ho aggiunta di nuovo, e quando ho aggiunto la zona ho notato Consenti solo aggiornamenti dinamici sicuri e ho ricordato da qualche parte che questa impostazione dovrebbe essere abilitata, quindi ho spuntato questa casella di controllo e ho riavviato il servizio netlogon e tadaaa !! Ha aggiunto tutti i record. Ho anche corso dcdiag /fixe poi dcdiag. Tutti i test sono stati superati tranne uno (credo che SystemLog) che ho ignorato. Successivamente, potrei unire altri PC al dominio. Questo forse è il caso per gli altri. Ho solo bisogno di abilitare gli aggiornamenti dinamici sicuri sulla zona del mio dominio.

Spero che questo impedisca agli altri di affrontare tutti quei problemi che ho affrontato.

— Ashkan
fonte

oh si wham bam grazie amico! Avevo installato azone molto prima di convertire il server in DC - tutto quello che dovevo fare è eliminare la vecchia zona e aggiungerla di nuovo. Boom .. tutto è tornato. Grazie! (penso che prima non fosse configurato per AD e aggiungendolo dopo DC aveva l'opzione AD che hai menzionato per udpates sicuri) - E ora posso collegarmi al mio dominio! Grazie!

— Piotr Kula,