none
Problemas ao adicionar servidor DNS

    Question

  • Caros,

    estou tentando adicionar um servidor DNS em um windows 2003 Server a um domínio já existente.
    O servidor subiu sem problemas, o serviço foi instalado e já recebeu os dados do servidor primário. Porém, ao tentar acessar o DNS do servidor primário pelo servidor secundário primeiro recebo a mensagem de acesso negado. As permissões de segurança estão configuradas para que os administradores do domínio tenham controle total, porém ainda assim o erro persiste.

    Alguém poderia me ajudar?

    Obrigado desde já,
    Felipe
    Wednesday, December 05, 2007 5:22 PM

Answers

  • Oi Felipe, desculpa a demora para responder. Carnaval...

     

    olha, a mensagem é acesso negado, ou nenhum servidor encontrado?

     

    Se for acesso negado, verifica qual a permissão do usuário que voce está tentando acessar de um server a outro. Tenha certeza que você está no grupo Admins. do Domínio.

    De qualquer forma, testa a comunicacao entre os dois server através do nslookup. pois se ele nao achar o servidor, é preciso "setar" alguns registros soa e srv nos servidores.

     

    A ferramenta NTDSUTIL eu aconselho ser a ultima tentantiva. Mas mesmo assim nao dando certo as tentativas acima e voce nao estiver seguro com a NTDSUTIL, posso te ajudar com ela.

    Thursday, February 07, 2008 3:33 AM

All replies

  • O problema está nas configurações DNS do servidor secundário.

    Provavelmente elas estão apontando para o servidor errado.

    Quais são as configurações que estão em ambos os servidores?

    Saturday, January 05, 2008 5:24 PM
  • Artur, que configurações você deseja saber?

    Em tempo: descobri que há um problema de replicação dentro do AD do servidor original que está causando problemas entre os servidores. Aos usar o "repadmin /shoreps" ele indica que "o servidor de destino está recusando pedidos de duplicação" e acusa o erro 8457 (0x2109).

    Será que isso está causando o problema no DNS?


    Muito obrigado,
    Felipe

    Monday, January 21, 2008 8:24 PM
  • Com certeza você terá problemas não somente de DNS mas de outros serviços que necessitam de autenticação e autorização para funcionarem.

     

    O DNS precisa ter autorização do AD para funcionar. Pelo erro, já está ocorrendo um erro dentro do AD que está bloqueando o acesso ao mesmo. Pode ser inclusive um erro no DNS primário.

     

    Que erros está acusando no Log?

     

    Monday, January 21, 2008 8:31 PM
  • Artur,

    abaixo coloquei as entradas que mais aparecem no log de eventos, dividias pelo tipo de evento e os erros.
    Estou descobrindo aos poucos os problemas que tenho aqui, já que sou novo na empresa. Descobri que a conta de administrador no primeiro servidor tem 2 senhas, já que ela foi trocada pelo administrador antigo, porém ambas são aceitas no primeiro servidor. No segundo apenas a segunda é aceita, não reconhecendo a primeira.

    A minha intenção é migrar o AD e o DNS para o segundo servidor (DHCP e SQL já estão lá) e remover o primeiro servidor do domínio, já que está apresentando tantos problemas.




    - Serviço de diretório:
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------
    - Erro
    - Fonte: NTDS Replication
    - Categoria: Duplicação
    - Evento: 1864
    - Descrição: Este é o status de duplicação para a partição de diretório a seguir no controlador de domínio local.
     
    Partição de diretório:
    CN=Schema,CN=Configuration,DC=fij,DC=local
     
    O controlador de domínio local não recebeu recentemente informações de duplicação de diversos controladores de domínio.   A contagem de controladores de domínio é mostrada, dividida nos intervalos a seguir.
     
    Mais de 24 horas:
    1
    Mais de uma semana:
    1
    Mais de um mês:
    1
    Mais de dois meses:
    1
    Mais de um período de desativação:
    1
    Período de desativação (dias):
    180
     Os controladores de domínio que não são duplicados temporariamente podem sofrer erros. Podem não obter alterações de senha e podem não conseguir executar a autenticação. Um controlador de domínio que não é duplicado em um período de desativação pode não ter registrado a exclusão de alguns objetos e pode ser bloqueado automaticamente de duplicações futuras até que seja reconciliado.
     
    Para identificar os controladores de domínio por nome, instale as ferramentas de suporte incluídas no CD de instalação  e execute dcdiag.exe.
    Você também pode usar a ferramenta de suporte repadmin.exe para exibir as latências de duplicação dos controladores de domínio na floresta.   O comando é "repadmin /showvector /latency <partition-dn>".

    Para obter mais informações, visite o Centro de ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------

    - Aviso
    - Fonte: NTDS Replication
    - Tipo: Duplicação
    - Evento: 2092
    - Descrição: Este servidor é proprietário da função FSMO a seguir, mas não a considera válida. Para a partição que contém a FSMO, este servidor não foi replicado com êxito em nenhum de seus parceiros desde que foi reiniciado. Erros de replicação estão impedindo a validação desta função.
     
    Operações que exigirem o contato com um mestre de operações FSMO falharão até que esta condição seja corrigida.
     
    Função FSMO: CN=Schema,CN=Configuration,DC=fij,DC=local
     
    Ação do Usuário:
     
    1. A sincronização inicial é a primeira das replicações iniciais realizadas por um sistema quando é iniciado. Uma falha ao inicializar a sincronização pode explicar o motivo pelo qual a função FSMO não pode ser validada. Esse processo é explicado no artigo 305476 da KB.
    2. Este servidor tem um ou mais parceiros de replicação, e a replicação está falhando em todos esses parceiros. Use o comando repadmin /showrepl para exibir os erros de replicação.  Corrija o erro em questão. Por exemplo, pode haver problemas de conectividade IP, resolução de nomes DNS, ou de autenticação de segurança que estão impedindo o êxito da replicação.
    3. No caso raro da indisponibilidade de todos os parceiros de replicação ser esperada, talvez por conta de manutenção ou recuperação de desastre, é possível forçar a validação da função. Isso pode ser feito utilizando-se NTDSUTIL.EXE para forçar a função para o mesmo servidor. Isso pode ser feito através das etapas apresentadas nos artigos 255504 e 324801 da KB, em http://support.microsoft.com.
     
    Pode haver impacto nas operações a seguir:
    Esquema: Não será mais possível modificar o esquema dessa floresta.
    Nomeação de domínios: Não será mais possível adicionar ou remover domínios desta floresta.
    PDC: Não será mais possível realizar operações no controlador de domínio principal, como atualizações de diretivas de grupo e redefinições de senhas de contas que não estejam no Active Directory.
    RID: Não será possível alocar novos identificadores de segurança para novas contas de usuário, de computador ou grupos de segurança.
    Infra-estrutura: Referências de nome entre domínios, como participações em grupos universais, não serão atualizadas corretamente se os objetos de destino forem movidos ou renomeados.

    Para obter mais informações, visite o Centro de ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------


    - Servidor DNS:

    ----------------------------------------------------------------------------------------------------------------------------------------------------------------
    - Erro
    - Fonte: DNS
    - Categoria:Nenhuma
    - Evento: 4004 e 4015
    - Descrição: O servidor DNS não pôde concluir a enumeração do serviço de diretório da zona fij.local. Este servidor DNS está configurado para usar as informações obtidas do Active Directory para esta zona e não pode carregar a zona sem elas. Verifique se o Active Directory está funcionando corretamente e repita a enumeração da zona. As estendidas informações de depuração de erro (que podem estar em branco) são "". Os dados do evento contêm o erro.
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------

    - Erro
    - Fonte: DNS
    - Categoria:Nenhuma
    - Evento: 4000
    - Descrição: O servidor DNS não pôde abrir o Active Directory. O servidor DNS está configurado para obter e usar informações do diretório para esta zona e não pode carregar a zona sem elas. Verifique se o Active Directory está funcionando corretamente e recarregue a zona. Os dados do evento são o código de erro.



    Wednesday, January 23, 2008 3:55 PM
  • DNS resolvido!

    Fui no segundo servidor e desinstalei o DNS.
    Fui no primeiro e removi as autorizações do segundo servidor dentro do DNS.
    Após reiniciar o segundo servidor reinstalei o DNS.
    No primeiro refiz as autorizações para o segundo servidor.
    Mandei criar a zona primária no segundo servidor e funcionou perfeitamente.

    Resumindo, as configurações estão iguais às anteriores.

    O problema agora se resume ao AD, que precisa ser migrado para o segundo servidor. =/
    Thursday, January 24, 2008 2:58 PM
  • Para voce migrar o AD para o outro servidor, basta voce usar a ferramenta de backup do windows. Faça apenas da opção SYSTEM STATE e restaure no outro servidor.

     

     

    Dica: uma vez configurado o server da maneira ideal, faça um script para rodar esse backup diariamente, pois qualquer bronca que voce tiver com o AD, basta restaura-lo.

    Thursday, January 31, 2008 2:45 PM
  • Artur,

    o problema é que a máquina onde o AD está agora está cheia de problemas. Não fiz a cópia do System State pensando em evitar que estes problemas sejam propagados para o servidor novo.

    Estou agora passando as funções FSMO para o servidor novo, mas o servidor com problemas se recusa a contatá-lo, aparece apenas "Acesso negado". Já pondero a idéia de forçar a troca do FSMO forçosamente pelo "ntdsutil".
    Você acha que poderia haver algum problema nisso?

    Muito obrigado desde já,
    Felipe

    Friday, February 01, 2008 2:01 PM
  • Oi Felipe, desculpa a demora para responder. Carnaval...

     

    olha, a mensagem é acesso negado, ou nenhum servidor encontrado?

     

    Se for acesso negado, verifica qual a permissão do usuário que voce está tentando acessar de um server a outro. Tenha certeza que você está no grupo Admins. do Domínio.

    De qualquer forma, testa a comunicacao entre os dois server através do nslookup. pois se ele nao achar o servidor, é preciso "setar" alguns registros soa e srv nos servidores.

     

    A ferramenta NTDSUTIL eu aconselho ser a ultima tentantiva. Mas mesmo assim nao dando certo as tentativas acima e voce nao estiver seguro com a NTDSUTIL, posso te ajudar com ela.

    Thursday, February 07, 2008 3:33 AM