none
Přestala fungovat aktualizace DNS ze serveru Windows 2008 r2 Active Directory, služba netlogon nemůže registrovat záznamy

    Dotaz

  • Dobrý den, měnil jsem v síti některé počítače a zjistil jsem, že nemají dns adresu. Po prohlédnutí logů jsem zjistil, že od 24.3. nefunguje DDNS aktualizace. V (pouze IPv4 privátní rozsahy) heterogenní počítačové síti máme 2 DNS server isc bind běžící na centos 6 linuxu, 2 Windows Server s Active Directory a PC klienti jsou tak 30% windows, 70% ostatní OS. Licencí máme tak akorát, takže DNS neběží na Windows. DNS záznamy se aktualizují pomocí bezpečného GSS-TSIG. Jenže od toho 24.3. to nefunguje a v logu je:

    Dynamická registrace záznamu DNS gc._msdcs.mojedomena.cz. 600 IN A X.X.X.X na následujícím serveru DNS se nezdařila:  

    IP adresa serveru DNS: ::
    Vrácený kód odpovědi (RCODE): 0
    Vrácený stavový kód: 9017  

    Tento záznam je nutné registrovat ve službě DNS, aby počítače a uživatelé tento řadič domény nalezli.  

    AKCE UŽIVATELE  
    Zjistěte pravděpodobnou příčinu chyby, odstraňte problém a spusťte registraci záznamů DNS řadičem domény. Pravděpodobnou příčinu chyby zjistíte spuštěním nástroje DCDiag.exe. Další informace o nástroji DCDiag.exe naleznete v Centru pro nápovědu a podporu. Registraci záznamů DNS tímto řadičem domény zahájíte spuštěním příkazu nltest.exe /dsregdns z příkazového řádku v řadiči domény nebo restartováním služby Přihlašování k síti.
     Tento záznam lze do služby DNS přidat také ručně, ale tento postup se nedoporučuje.  

    DALŠÍ DATA
    Hodnota chyby: Server DNS obdržel chybný klíč.

    atp. pro další záznamy. Podle logu z dns serveru a podle sledování provozu v síti wiresharkem to vypadá, že se windows server nepokouší vůbec s dns serverem komunikovat. I ta "IP adresa serveru DNS: ::" je divná. Běžná komunikace s DNS (query) z Windows funguje, ale připadá mi, že nějak ztratil DNS ip adresu pro aktualizaci DNS. Toho 24.3. jsem v síti žádné změny nedělal, možná je to důsledek nějaké MS aktualizace. Mimochodem tou dobou také přestala fungovat aktualizace DNS záznamů z klientů, takže to spolu musí nějak souviset (v logu DNS serveru je ale vidět neúspěšné pokusy o aktualizaci z klientů). Jak se to dá spravit?

    27. června 2013 13:23

Odpovědi

Všechny reakce

  • Jak se to dá spravit nevím, ale v případě AD bych DNS určitě provozoval na Win serveru.

    Nějak jsem nepochopil tu větu "Licencí máme tak akorát, takže DNS neběží na Windows". Když už máte Windows server, tak instalace role DNS server nevyžaduje žádné další licence.


    BB

    27. června 2013 13:29
  • Máme tak akorát CAL licencí na Win stanice, takže ostatní PC by nesměly Win DNS používat. Kromě toho se počítá i s tím, že by do budoucna "Win oddělení" nemuselo běžet pořád aby se ušetřila elektřina.
    27. června 2013 14:07
  • To je co za hlupost, ze ked mate len CAL licencie, tak nemozete pouzivat DNS sluzby servera, ktory ma licenciu?!

    Mate DHCP? Bezi vam na Win ci inom OS? U Windows DHCP sa da zapnut aktualizacia DNS zaznamov pri DHCP servery.


    ---------- Ondrej Zilinec - Cievo ----------

    28. června 2013 11:37
  • To OZ: VaclavS se snazi rict, ze ma CAL licence pro svych 30% PC. => pokud by pouzivaly windows server DNS vsechna PC, musel by mit CAL licence pro celych 100% PC.

    To VaclavS: A proc Windows PC nepouzivaji DNS z Windows a Linux PC z jineho OS? asi by nemel byt problem nastavit zonove transfery.

    28. června 2013 11:57
  • To som netusil. Takze ked mam jeden DNS server (len DNS server, nie DC) a mam 100% linuxovych klientov, tak aj tak potrebujem CALy? :)


    ---------- Ondrej Zilinec - Cievo ----------

    28. června 2013 12:04
  • CAL je potreba vzdy, pokud pouzivate Windows. Tj. i DNS, DHCP. Jedinou vyjimkou je anonymni pristup na WEB sluzbu. A Anonymni se rozumi totalne anonymni = pokud je uzivatel JAKYMKOLIV zpusobem autentikovan (napr. loklani DB a nejakym scriptem na WEBu), pak take musi mit CAL.

    Takove souhrne cteni o licencich.

    http://www.daquas.cz/articles/227-licence-windows-server-2008-jako-na-taliri

    MS nedava nic zdarma :)

    28. června 2013 13:40
  • Dakujem za vysvetlenie :)


    ---------- Ondrej Zilinec - Cievo ----------

    28. června 2013 18:44
  • 1. Prekvapuje mne, ze 3 mesice nevadilo, ze system nepracoval s DNS zaznamy. V cem je problem, kdyz to tak dlouho nevadilo?

    2. Pripada mi, ze se system buduje systemem vlastovciho hnizda a musi se doladovat. Ani z popisu neni zrejme, jaka je hierachie a vazby.

    3. Neni zrejma hierarchie vsech DNS v systemu. Mozna bude tady zakopany pes.

    4. Zrejme by bylo dobre systemy oddelit (VLAN), pricemz by linuxove servery byly sekundarni a odkazovaly by se na DNS na domenovem radici a klienti, kteri nejsou Windows by se odkazovali na linuxove DNS. (Neznam vsechny aspekty a proto je to jen prvni pohled na organizaci systemu.)

    5. Jak dopadl test s dcdiag?

    M.

    28. června 2013 19:24