Никакое интернет-соединение и forward-Lookup-Zone в моем AD DNS?
В зависимости от Вашей среды можно хотеть знать, когда определенные группы изменяют членство (как отдел платежной ведомости), я предлагаю найти инструмент/метод, которым Вы довольны. Я имел некоторые сценарии и выполню windiff для визуального наблюдения изменений.
Безопасность Microsoft Baseline, которую Анализатор был бы хорошим способом отслеживать количество патчей, необходима.
Active Directory (NTP, DNS, LDAP, NTFRS)
NTP - убедитесь, что Ваш эмулятор PDC синхронизировал время из Интернета.
DNS - Мне сказали на DCS, имеют все goto основной DC рабочий DNS как первый DNS serer перечисленный для них, имеют второй адрес DNS собственным IP сервера.
LDAP - У меня было 14 DCS для заботы о так, я создал OU, и создайте контакты для каждого DCS, у меня были сценарии на DC, выполняемом каждые 10 минут для обновления поля описания с GMT и местное время. Тот путь, если мой администратор Exchange или кто-либо еще хотели знать, когда DCS длятся полученное изменение репликации от другого сайта, они могли посмотреть на dc локального сайта в ADUC в этой ОС и видеть изменения времени.
NTFRS - это - то, что копирует информацию о групповой политике. Я видел p2v на DC (не поддерживаемый) проблемы причины для репликации групповой политики, после этого я хотел знать, когда групповая политика не копировала так, я обновлю txt файл в тестовой папке политики, затем надеются видеть, обновил ли тот файл через мои контроллеры домена.
Besure для хранения примечаний, на котором DC также GC, где ролевые держатели FSMO - и какие шаги должны быть сделаны, если один из DCS должен перестать работать.
Если Вы блокируете учетную запись после определенного числа недопустимых попыток или имеете системную установку для принятия мер для событий как этот, можно хотеть инициировать их периодически, чтобы видеть, что они работают как ожидалось.
Мне также нравится, сохраняют аудит ключа удаления, IP информации о конфигурации, компоненты окон установленный.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OcManager\Subcomponents ipconfig / все> ip_info.txt
Mark
ЭВРИКА!!!!
Я нашел ошибку (от курса, это - я), по некоторым причинам, шлюз по умолчанию на сервере был установлен на свой собственный (192.168.0.2), в то время как это должно быть - 192.168.0.254!!!
Я также проверю все другие настройки и удостоверюсь все работы хорошо. спасибо за все Ваши подсказки и поддержка.
У меня все еще есть проблема с моим netdiag/l, но я запущу новый Q для этого.
Еще раз спасибо
Вы не должны использовать средства передачи. Сервер Microsoft DNS способен к разрешению через корневые подсказки "из поля". Однако можно использовать средства передачи, также.
У Вас должен только быть Active Directory сервер DNS, указанный как сервер DNS для всех доменных участников (включая DCS, рядовые серверы и клиент ПК). Согласно Вашему ipconfig вывод выше у Вас есть ISP сервер DNS, указанный в DHCP, который будет роздан клиентам. Это не хорошо. Клиенты должны только использовать AD сервер DNS. Удостоверьтесь, что у Вас нет сервера DNS ISP указанным ни для каких устройств со статическими IP-адресами (включая весь DCS и серверы).
netdiag вывод заставляет меня думать, что Вам не установили DC, чтобы быть его собственным сервером DNS (без других указанных серверов DNS). Я удостоверился бы, что Вы имеете тот набор и делаете a net stop netlogon и net start netlogon, сопровождаемый ipconfig /registerdns и, наконец, повторно выполненный netdiag и посмотрите, как плохо это смотрит.
Использовать nslookup и проверьте запросы на интернет-имена против сервера DNS Вашего DC (используйте команду server 192.168.0.2 в nslookup чтобы быть уверенными, запросы работают против сервера DNS DC). Если это не разрешит, что Интернет называет использование nslookup перепроверьте свой брандмауэр (и осуществите сниффинг трафика там по мере необходимости) быть уверенным, что запросам DNS от DC разрешают посещать на Интернет, и ответы возвращаются.
Как в стороне:Черт! у Вас есть единственная маркировка имя DNS (OptiTex). Если это будет новым доменом и новой установкой, то Вы сделаете себе ГЛАВНОЕ одолжение для изменения этого на мультимаркировать имя DNS теперь. (Существуют некоторые хорошие вопросы на Отказе сервера об именовании домена AD, включая:
- Windows Active Directory, называющий лучшие практики?
- Выбор локального по сравнению с общественным достоянием называет для Active Directory
Единственная маркировка AD доменные имена DNS является плохими новостями! Microsoft рекомендует против них, потому что некоторые приложения не поддерживают их, и миграция далеко может стать невозможной (подразумевать, что необходимо будет выбросить весь AD лес и запуститься).
Ваши AD клиенты и серверы, включая весь DCS должны иметь только AD серверы DNS в своем клиенте установка DNS. Единственный вопрос состоит в том, имеет ли сервер DNS средства передачи или корневые подсказки твердости самостоятельно. Мое предпочтение состоит в том, чтобы использовать средства передачи для моего ISP, OpenDNS или Google так, чтобы эта работа была разгружена к хорошо выполненному DNS.
Проверьте, что у Вас есть установка средств передачи в Вашем сервере DNS.
Откройте свое управление DNS, щелкните правой кнопкой по своему Серверу и перейдите к Свойствам. Перейдите к Вкладке Средств передачи, удостоверьтесь, что Вам перечислили Ваши серверы DNS там. 
Также посмотрите на эту базу знаний Microsoft, чтобы видеть, устраняет ли это Вашу проблему с dcdiag ошибкой