Домен R2 Active Directory сервера 2012 года SRV записи DNS внезапно исчез
У меня есть тестовый домен, который я недавно настроил. Внезапно, никакие пользователи не могут войти в систему кроме тех, которые имеют кэшируемые учетные данные. Домен включает два контроллера домена, которые являются оба глобальными каталогами, которые копируют друг в друга.
После исследования проблемы я обнаружил, что на все _mcdcs доменные записи полностью идут оба из серверов DNS. Это лишает возможности определять местоположение контроллера домена, потому что записи SRV, такие как _ldap и _kerberos неразрешимы.
Я не совсем уверен, как это произошло... это что-то, что вызвала бы очистка кэша DNS или очистки DNS?
В этой точке я должен восстановить записи так или иначе. Я посмотрел на настройки другого домена, и похоже, что они могут быть воссозданы вручную..., но я заметил, что некоторые записи DNS, кажется, имеют имена SID в них..., и я понятия не имею, какой идентификатор должен был бы использоваться для воссоздания их.
Есть ли существует лучший процесс, который можно использовать для выхода из такой ситуации?
1. Перезапустите сервис Netlogon на одном из контроллеров домена
Или
2. Запустите DCDiag /fix
Или
3. Вручную создайте записи из файла netlogon.dns с одного из контроллеров домена
Удаление записей DNS необычно (если только их не удалил человек). Обычно это dnsTombstoned, поэтому записи все равно могут появляться при использовании другого инструмента, такого как ADSIEdit, даже если они не видны в DNS Manager или nslookup.
Есть крайние случаи, когда уборка мусора может вызвать это (и много других проблем, если уборка мусора не настроена должным образом).
http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx
Я перезапустил службу NetLogon и запустил dcdiag /fix , но не получилось. После 3-4 часов поиска и чтения я решил удалить Active Directory Services и установить ее снова, но установка тоже не удалась!
Затем я решил добавить DNS записи вручную в соответствии с this и this, поэтому я удалил зону домена и добавил ее снова, а при добавлении зоны я заметил Allow only secure dynamic updates, и откуда-то вспомнил, что эта настройка должна быть включена, поэтому я поставил галочку и перезапустил службу netlogon и tadaaa !!! Он добавил все записи. Также я запустил dcdiag /fix, а затем dcdiag. Прошли все тесты, кроме одного (кажется, SystemLog), который я проигнорировал. После этого я мог присоединить другие ПК к домену. Может быть, так же обстоит дело и с другими. Просто нужно было включить безопасные динамические обновления в зоне моего домена.
Надеюсь, это не позволит другим пройти через все те неприятности, которые я прошел.
.