Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
MZH
К слову о птичках, вот что получилось после добавления второго:
Name Type Data

(same as parent folder) Start of Authority (SOA) [41], ad-vm1.ad-test.com., hostmaster.ad-test.com.
(same as parent folder) Name Server (NS) ad-vm1.ad-test.com.
(same as parent folder) Host (A) 192.168.247.130
(same as parent folder) Host (A) 192.168.247.3
ad-vm1 Host (A) 192.168.247.3
AD-VM2 Host (A) 192.168.247.130

По-моему, у тебя немного не так.
Но все остальное завтра :)

В какой зоне?
17 апр 07, 23:42    [4033985]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
автор
с трудом осилил топик и вот мои 2 копейки:
подозреваю "dns island" ибо в днс на обоих контроллерах д.б. одинаковые зоны и сервисные записи в основном должны содержать оба контроллера ... исключение - записи ролей ...
кроме того смущает присутствие в записях вместо "DC1" имён "DC" ...
непонятны описатели в разных днс-партишнах .. днс контроллеров интегрированы через один и тот же партишн в AD ?
в прямой зоне также не хватает a-записи другого контроллера ...
непонятно вообще как репликация работает ...
---
при поднятии второго контроллера не поторопилися ему личный днс поставить до момента када прошла репликация зон с первого контроллера ?

Зоны одинаковые, но многое в твоих словах не понятно, можно более конкретно, например не понятно что имеется в виду под ролями и насчет записей контроллера, предлагаешь так, например для _msdcs.domain.local/dc/_tcp предлагаешь сделать такие записи
_ldap  SRV [0][100][389] adc1.domain.local
_ldap  SRV [0][100][389] adc2.domain.local
_kerberos  SRV [0][100][88] adc1.domain.local
_kerberos  SRV [0][100][88] adc2.domain.local
и так далее?
А если какие нибудь варианты с уничтожением зон? Создадутся и реплицируются?

Вообще какой путь правильный в данной ситуации?
Но выключение контроллера не меняет ситуацию.
Насчет DC1 и DC это просто описки, имеются ввиду ADC1 и ADC2
Что имеется ввиду под паритишеными и интегрированием в один и тотже паритишн. ДНС - AD integrated в единственный домен domain.local и расположены на обеих контролерах.
Насчет прямой зоны, их же по крайней мере две (у меня три) и в каждой зоне есть папки, какую конкретно и в каком месте A запись ты имеешь ввиду, можно как ни будь более конкретно?

Насчет поторопился, возможно, я поднял контроллер и дал ему роль, при этом создал зону. Может стоит убрать роль и снова дать ДНС роль второму контроллеру, не создавая при этом зон.
Я не могу сообразить какой путь и какую последовательность надо сделать в данный момент.
Могу при необходимости понизить роль до сервера и потом снова поднять, если это будет более быстрый и более простой вариант.
И как именно поднимать ДНС, роль сама создастся - врядли, могу дать роль и ничего не трогать - зоны сами создадутся через репликацию или как.

Я лично дал роль и создал доменную прямую и обратную зону, ввел пару записей, остальное само реплицировалось, но были ошибки.

Мне нужна стратегия, как сейчас поступить.
Домен рабочий, пользователи работают уже несколько недель, проблема возникла вчера. Причина непонятна, иначе было бы проще.

Можно дать какие либо конкретные советы, как мне выйти из ситуации, точный рецепт не нужен, если только не о введение дополнительных, отсутствующих записей в существующий ДНС.

Я просто не представляю что мне сейчас делать, как восстановить работу малой кровью и чтобы ситуация не повторилась через некоторое время.

Если можно, то очень нужна помощь. Без нее я могу потратить много времени, которое в данном случае золото.
18 апр 07, 00:12    [4034019]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Вот информация об ошибки при установке дополнительного контроллера, может это подскажет где у меня ошибка.

DNS was successfully queries for the service location (SRV) resource used to locate a dfomain controller foe domain nitrofert.local

The query was foer the SRV record for _ldap._tcp.dc/_msdcs.nitrofert.local

The following domain controller were identified by the query:

adc1.nitrofert.local

Common causes of this error include:

- Host (A) record that map the name of the domain controller to its IP addresses are missing or contain incorrect addresses/

- Domain controller registerd in DNS are not connected to the network or are not running.

Вроде как где то надо проставить адрес этого контроллера, адреса (A) есть в следующих местах в доменной зоне, в DoьainDnsZone, в ForestDnsZone

Где у меня ошибка?
18 апр 07, 00:45    [4034055]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
В доменной зоне () есть запись об adc1.nitrofert.local и об

        A  192.168.1.32
adc1    A  192.168.1.32
adc2    A  192.168.1.33
Соответсвенно есть и обратные записи для зоны 192.16.1.x
18 апр 07, 00:52    [4034062]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
автор
предлагаешь сделать такие записи

_ldap SRV [0][100][389] adc1.domain.local
_ldap SRV [0][100][389] adc2.domain.local
_kerberos SRV [0][100][88] adc1.domain.local
_kerberos SRV [0][100][88] adc2.domain.local
и так далее?

именно ... в вашем случае только в pdc дб 1 запись на dc с заданной ролью.

автор
A 192.168.1.32
adc1 A 192.168.1.32
adc2 A 192.168.1.33

нужна ещё
автор
A 192.168.1.33
18 апр 07, 08:21    [4034350]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
насчёт партишнов гляньте в остнастке днс там где задаётся интеграция зон в AD ... там 3 варианта репликации ... выберите одинаковый вариант на обоих днс ...
18 апр 07, 08:40    [4034373]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Biz©
автор
предлагаешь сделать такие записи

_ldap SRV [0][100][389] adc1.domain.local
_ldap SRV [0][100][389] adc2.domain.local
_kerberos SRV [0][100][88] adc1.domain.local
_kerberos SRV [0][100][88] adc2.domain.local
и так далее?

именно ... в вашем случае только в pdc дб 1 запись на dc с заданной ролью.

автор
A 192.168.1.32
adc1 A 192.168.1.32
adc2 A 192.168.1.33

нужна ещё
автор
A 192.168.1.33

Не думаю, что дело в этом, по существующей схема система отработало несколько недель.
Конечно не добавить, но как это будет работать, ведь один раз будет выдавать .32, второй раз .33, аналогично и для _ldap записей.
А у тебя именно так сделано, продублированы все записи _ldap, _kerberos во всех ветках _msdsc и доменной зоны?

Если опирать на последнею информацию при попытке установки дополнительного контроллера, то выходит, что из _msdsc получается запись об adc1, а вот запись об adc1 как бы получить не может, хотя запись есть в ДНС и nslookup нормально резолвит. Тут что то другое, может быть в керберос или с глобальным каталогом. Хотя время везде совпадает, да и отпал целый домен (кстати не совсем отпал, если долго ждать, то в сетевом окружении появляется ссылка DFS on nitrofert.local, дальше правда не удается пройти, только изредка, но вчера моя рабочая станция смогла подключиться почти ко всем серверам, по крайней мере на первый уровень дерева, на второй уровень опять или отказ или большая пауза).

Сейчас проверяю все связаное, например нашел проблему в реестре по W32Time, после смены роли PDC осталась запись NT5DS вместо NTP, исправил, но это не дало результата.

Сейчас еще проверю политики контроллеров и кербероса, может там что найду, по крайней мере временно снижу уровень безопасности до NTLM, может будет временное решение, а то людям надо работать, а доступа к серверу нет, уже вторые сутки. Посмотрю сетевым монитором повнимательнее, пока ничего плохого не нашел.

Восстановил вторые сетевые карты, тоже без результата.

По WINS - вот здесь вижу не порядок, запись 1С только дляя первого контроллера, а по идее должны быть две. Кроме того после подключения второй карты собственником записей стала вторая карта, а адрес у нее публичный, не знаю только на что влияет поле OWNER. WINS на данный момент один, второй остановлен, но когда запущет, то есть непорядок, запись 1С ссылается только на свой контроллер, а должно быть две записи, по одной на контролер.
Но WINS включен только временно, пока не разрешу проблему.
18 апр 07, 09:06    [4034446]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Biz©
насчёт партишнов гляньте в остнастке днс там где задаётся интеграция зон в AD ... там 3 варианта репликации ... выберите одинаковый вариант на обоих днс ...

Перерыл все меню и ничего не нашел, есть единственный пункт Create Default ... на этот пункт ругается, говорит уже есть. Может ты имеешь ввиду Zone Transfer для каждой зоны, так у меня везде стоит - Only tо servers on the Name Servers tab
18 апр 07, 09:30    [4034522]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Biz©
автор
предлагаешь сделать такие записи

_ldap SRV [0][100][389] adc1.domain.local
_ldap SRV [0][100][389] adc2.domain.local
_kerberos SRV [0][100][88] adc1.domain.local
_kerberos SRV [0][100][88] adc2.domain.local
и так далее?

именно ... в вашем случае только в pdc дб 1 запись на dc с заданной ролью.

автор
A 192.168.1.32
adc1 A 192.168.1.32
adc2 A 192.168.1.33

нужна ещё
автор
A 192.168.1.33

Не думаю, что дело в этом, по существующей схема система отработало несколько недель.
Конечно не добавить, но как это будет работать, ведь один раз будет выдавать .32, второй раз .33, аналогично и для _ldap записей.
А у тебя именно так сделано, продублированы все записи _ldap, _kerberos во всех ветках _msdsc и доменной зоны?

Если опирать на последнею информацию при попытке установки дополнительного контроллера, то выходит, что из _msdsc получается запись об adc1, а вот запись об adc1 как бы получить не может, хотя запись есть в ДНС и nslookup нормально резолвит. Тут что то другое, может быть в керберос или с глобальным каталогом. Хотя время везде совпадает, да и отпал целый домен (кстати не совсем отпал, если долго ждать, то в сетевом окружении появляется ссылка DFS on nitrofert.local, дальше правда не удается пройти, только изредка, но вчера моя рабочая станция смогла подключиться почти ко всем серверам, по крайней мере на первый уровень дерева, на второй уровень опять или отказ или большая пауза).

Сейчас проверяю все связаное, например нашел проблему в реестре по W32Time, после смены роли PDC осталась запись NT5DS вместо NTP, исправил, но это не дало результата.

Сейчас еще проверю политики контроллеров и кербероса, может там что найду, по крайней мере временно снижу уровень безопасности до NTLM, может будет временное решение, а то людям надо работать, а доступа к серверу нет, уже вторые сутки. Посмотрю сетевым монитором повнимательнее, пока ничего плохого не нашел.

Восстановил вторые сетевые карты, тоже без результата.

По WINS - вот здесь вижу не порядок, запись 1С только дляя первого контроллера, а по идее должны быть две. Кроме того после подключения второй карты собственником записей стала вторая карта, а адрес у нее публичный, не знаю только на что влияет поле OWNER. WINS на данный момент один, второй остановлен, но когда запущет, то есть непорядок, запись 1С ссылается только на свой контроллер, а должно быть две записи, по одной на контролер.
Но WINS включен только временно, пока не разрешу проблему.
18 апр 07, 09:50    [4034605]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Сделал дублированые записи, во всех зонах и папках на adc1/adc2, кроме _tcp._pdc._msdsc
Результата конечно не дало, но может так правильнее.
18 апр 07, 09:52    [4034615]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Anatoly Podgoretsky
Biz©
насчёт партишнов гляньте в остнастке днс там где задаётся интеграция зон в AD ... там 3 варианта репликации ... выберите одинаковый вариант на обоих днс ...

Перерыл все меню и ничего не нашел, есть единственный пункт Create Default ... на этот пункт ругается, говорит уже есть. Может ты имеешь ввиду Zone Transfer для каждой зоны, так у меня везде стоит - Only tо servers on the Name Servers tab

в свойствах зон
18 апр 07, 10:03    [4034678]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
автор
Конечно не добавить, но как это будет работать, ведь один раз будет выдавать .32, второй раз .33, аналогично и для _ldap записей.
А у тебя именно так сделано, продублированы все записи _ldap, _kerberos во всех ветках _msdsc и доменной зоны?

ну ессно так сделано ...
да просто представь, што .32 лежит ... у тя ж инфо днс на обоих контроллерах одинаковая д.б. ...
гхм ... или как раз она у тебя в днс на adc2 выглядит иначе ?
18 апр 07, 10:09    [4034722]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 51772

Анатолий, извини за глупый вопрос, а ты dcdiag /fix не пробовал? Он по
идее должен зарегистрировать все необходимые DNS записи...

Posted via ActualForum NNTP Server 1.4

18 апр 07, 10:10    [4034728]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Anatoly Podgoretsky
Сделал дублированые записи, во всех зонах и папках на adc1/adc2, кроме _tcp._pdc._msdsc
Результата конечно не дало, но может так правильнее.

на всякий случай, напоминаю про /flushdns при резких изменениях в днс ...
18 апр 07, 11:09    [4035185]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Dimitry Sibiryakov

Анатолий, извини за глупый вопрос, а ты dcdiag /fix не пробовал? Он по
идее должен зарегистрировать все необходимые DNS записи...

Спасибо за совет, не пробовал, но взял на воружение.
18 апр 07, 15:06    [4037402]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Сначала о проблеме - проблема решана, оказалось, что файрвол клиент и контроллер противопоказаны, убрал клиента, все заработало.
Огромное спасибо всем кто помогал советами.

По ДНС
появилась ожидаемая "проблема", при nslookup 192.168.1.33 получаю по кругу (round robin)
adc2.
domaindnszones.
forestdnszones.
gc._msdsc.
но только для adc2
18 апр 07, 15:14    [4037483]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Dimitry Sibiryakov

Анатолий, извини за глупый вопрос, а ты dcdiag /fix не пробовал? Он по
идее должен зарегистрировать все необходимые DNS записи...

Проверил, новых не зарегистрировал, но разрегистрировал все WINS Lookup
мне осталось только убрать эту роль.
18 апр 07, 15:25    [4037587]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Возвращаюсь обратно к этой теме.
Вчера обнаружил, что в ДНС разрегистрировались почти все записи, которые относились к первому контроллеру, на котором как раз все роли.
Сеть работала, но временами некоторые подвисания.
Восстановил все или почти все и теперь надо понаблюдать, случайность это или закономерность.
16 авг 07, 10:30    [4532915]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
aleks2
Guest
Anatoly Podgoretsky
Возвращаюсь обратно к этой теме.
Вчера обнаружил, что в ДНС разрегистрировались почти все записи, которые относились к первому контроллеру, на котором как раз все роли.
Сеть работала, но временами некоторые подвисания.
Восстановил все или почти все и теперь надо понаблюдать, случайность это или закономерность.


Контроллер должен сам себя регистрировать... на крайний случай пнуть его
ipconfig /registerdns
16 авг 07, 11:54    [4533594]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Да пробовал я все это и registerdns и dcdiag/fix
Просто интересно куда все это делось.
Вероятность рук не исключаю.
16 авг 07, 12:47    [4534118]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
А если включить расгиренный логгинг DNS и посмотреть, чем он занимается?
16 авг 07, 12:48    [4534125]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
MZH
А если включить расгиренный логгинг DNS и посмотреть, чем он занимается?

Ну сейчас поздно смотреть, пока все в норме.
16 авг 07, 14:02    [4534797]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Anatoly Podgoretsky
MZH
А если включить расгиренный логгинг DNS и посмотреть, чем он занимается?

Ну сейчас поздно смотреть, пока все в норме.

Тогда самое время начать собирать логи, чтобы было, что смотреть, когда снова появятся проблемы.
16 авг 07, 14:07    [4534861]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Если повторится, то придется включить, хотя представляю размер помойки.
16 авг 07, 15:06    [4535396]     Ответить | Цитировать Сообщить модератору
 Re: NETLOGON  [new]
aleks2
Guest
Anatoly Podgoretsky
Возвращаюсь обратно к этой теме.
Вчера обнаружил, что в ДНС разрегистрировались почти все записи, которые относились к первому контроллеру, на котором как раз все роли.
Сеть работала, но временами некоторые подвисания.
Восстановил все или почти все и теперь надо понаблюдать, случайность это или закономерность.


Дык у тебя ДВА контроллера и ОДИН DNS?
Мазохист...
16 авг 07, 15:11    [4535443]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
Все форумы / Windows Ответить