none
Ztracený DNS záznam

    Dotaz

  • Dobrý den,

    u počítače s OS Vista připojeném do domény se Server2003 vznikl problém s tím, že uživatel se po přihlášení do domény musel přihlašovat znovu i ke každé další činnosti v doméně jako je připojení k Intranetu, Exchange serveru atd.

     

    Zjistil jsem, že při změně IP adresy se tato nepromítne v DNS záznamu v nslookup. I po dlouhé době nslookup  na tom zmíněném počítači vypisoval stále původní adresu. Nepomohl ani reset winsock.

     

    Zkusil jsem pak změnit doménové jméno PC přes netdom renamecomputer %PUVODNIJMENOPC% /newname:%NOVEJMENOPC% a výsledkem je, že se vytvořil nový DNS záznam v dnsmgmt. Starý s původním jménem (už nefunkční) jsem smazal a PC znovu stejnou cestou přejmenoval na původní jméno.

    Teď už vše funguje jak má.

     

    Otázka zní - neexistuje elegantnější způsob, jak DNS záznam obnovit než ten, který jsem popsal?

     

    Předpokládám, že kdybych přímo "jen" vymazal záznam se jménem počítače v dnsmgmt, tak bych si asi nepomohl a po restartu PC a novém přihlášení do domény by se asi nový záznam nevytvořil. Nebo ano?

     

    středa 28. dubna 2010 15:04

Odpovědi

  • Dobrý den,

    Domnívám se, že uvedený problém souvisí se ztrátou důvěryhodnosti účtu počítače vůči doméně Active Directory, resp. vůči řadiči domény. Výsledkem je stav, kdy se uživatel může do počítače zalogovat (ono to normálně nejde, ale s pevnými IP zřejmě ano), nicméně při přístupu ke zdrojům v síti (sdílené složky, Exchange, atd.) je vždy nutné znovu a znovu zadávat jméno/heslo. Tento stav je možné ověřit na řadiči domény v bezpečnostním logu (eventvwr.msc - security), bude tam něco jako: lost trust relationship... Pokud máte v konfiguraci příslušné DNS zóny nastaveno, že dynamické updaty jsou povoleny jen pro "secure" klienty, pak by to přesně odpovídalo vaší situaci. Ten počítač prostě neposkytne správné "computer credentials" a tudíž ke změně v DNS zóně nedojde. Vedle Vašeho uvedeného řešení je také možné počítač z domény odebrat, smazat účet počítače v AD, počkat na replikaci mezi všemi řadiči domény a pak znovu počítač do domény přidat. Ono se to stává, i když by se to nemělo stávat moc často, jinak je nutné zjistit skutečnou příčinu tohoto stavu. Tam ten problém může být zakopaný kdekoliv, např. vadná síťovka na PC či DC, problém na switchi, atd.

    S pozdravem

    -pt-

    středa 19. ledna 2011 22:52

Všechny reakce

  • Zdravim,

     Chcel by som sa opytat ci mate DHCP sluzbu vo svojom prostredi. DHCP totiz vie spolupracovat s DNS. Ked PC dostane IP adresu, automaticky "updatne" DNS zaznam. Tak bude mat PC stale aktualny DNS zaznam.

     Mate zaskrtnutu volbu v nastaveniach setoveho pripojenia "Register this connection's addresses in DNS"?

     Poznamka na okraj: Mate nastavene Aging/Scavening zony v DNS? (DNS zaznam ma svoj "vek" resp. Time to Live (TTL). Ked je zaznam stary, uz je neplatny a moze poskytovat matuce vysledky dotazovania) (Scavening tieto stare zaznamy automaticky vymaze).

     S pozdravom,

    Peter Rajcinov

    středa 28. dubna 2010 15:26
  • Omlouvám se za neúplný popis.

    Používáme pevné IP adresy jak pro IP, tak pro adresy DNS serverů. IP adresy nejsou veřejné a jsou B s C maskou (typicky něco jako 172.31.1.1/255.255.255.0).

    "Register this connection's addresses in DNS" je standardně zatrženo jako default hodnota a neměníme ji. V tomto případě ale nevím, nekontroloval jsem to. Po přejmenování na dočasné jméno a návratu na jméno původní to ale fungovalo bez jakékoliv další změny v nastavení síťového připojení.

    ad "Aging/Scavening zony v DNS" - DNS nám spravuje externí cerifikovaná firma, tak daleko do nastavení já nevidím. Jedná o ojedinělý problém a DNS server je určitě nastaven správně.

    Je-li myšleno tím "Ked je zaznam stary" to, že se počítač dlouhou dobu nepoužíval, tak to ne. Ten počítač se používá denně.

    Ještě se vrátím k původní otázce, která by mě zajímala - existuje rozumnější způsob, jak nekorespondující DNS záznam obnovit než změnou doménového jména?

     

    středa 28. dubna 2010 18:36
  • Dobrý den,

    Domnívám se, že uvedený problém souvisí se ztrátou důvěryhodnosti účtu počítače vůči doméně Active Directory, resp. vůči řadiči domény. Výsledkem je stav, kdy se uživatel může do počítače zalogovat (ono to normálně nejde, ale s pevnými IP zřejmě ano), nicméně při přístupu ke zdrojům v síti (sdílené složky, Exchange, atd.) je vždy nutné znovu a znovu zadávat jméno/heslo. Tento stav je možné ověřit na řadiči domény v bezpečnostním logu (eventvwr.msc - security), bude tam něco jako: lost trust relationship... Pokud máte v konfiguraci příslušné DNS zóny nastaveno, že dynamické updaty jsou povoleny jen pro "secure" klienty, pak by to přesně odpovídalo vaší situaci. Ten počítač prostě neposkytne správné "computer credentials" a tudíž ke změně v DNS zóně nedojde. Vedle Vašeho uvedeného řešení je také možné počítač z domény odebrat, smazat účet počítače v AD, počkat na replikaci mezi všemi řadiči domény a pak znovu počítač do domény přidat. Ono se to stává, i když by se to nemělo stávat moc často, jinak je nutné zjistit skutečnou příčinu tohoto stavu. Tam ten problém může být zakopaný kdekoliv, např. vadná síťovka na PC či DC, problém na switchi, atd.

    S pozdravem

    -pt-

    středa 19. ledna 2011 22:52