none
Replicacion de zonas DNS en DC adicional RRS feed

  • Pregunta

  • Hola amigos,

    He configurado un DC adicional, el AD se ha replicado bien pero la zona directa del DNS no se replica, ademas las zonas inversas se replicaron todas excepto el segmento de red donde se encuentra el DC1.

    En el registro de eventod del DC1 aparece el error ID 13568 aunque pude notar que este error lo daba mucho antes de añadir el DC2

    Los DCs estan resolviendo ambos correctamente sus nombres, en el DNS del DC1 en name server estan agregados los dos servidores.

     

    viernes, 3 de junio de 2011 13:59

Respuestas

  • Raro que sea Primary, porque lo normal y recomendable es que sea AD Integrated ya que así permite actualizaciones dinámicas seguras. Si es Primary, o no permite actualizaciones y tienes que mantener todo a mano, o configurar que acepte actualizaciones seguras y no seguras, lo que es peligroso.

    Al no estar integrada la zona, y si tienes configurada la opción de transfer "only server list..." entonces para que transfiera, hay que crear primero el registro NS correspondiente a DC2, y luego en DC2 crear una zona Secondary, apuntando como Master a DC1

    DC2 debe apuntar como DNS a DC1 como preferido, ya que en DC2 la zona Secondary es Read-Only

    Salvo que exista alguna condición particuar, en lugar de hacer lo anterior, te diría que te conviene pasa la zona a AD Integrated permitiendo sólo actualizaciones seguras, y ámbito de replicación como sigue:

    tudominio.sufijo: para todos los servidores DNS que se ejecutan en controladores de dominio en este dominio: tudominio.sufijo

    _msdcs.tudominio.sufijo: para todos los servidores DNS que se ejecutan en controladores de dominio en este bosque: tudominio.sufijo


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta shalom06 lunes, 6 de junio de 2011 19:43
    viernes, 3 de junio de 2011 20:59
    Moderador
  • Hola Shalom,

    Es un procedimiento bastante sencillo. Te dejo este link donde explican como hacerlo.

    http://support.microsoft.com/kb/816101

    Puedes hacer la zona integrada y que se almacene en todos los Dcs que tienes DNS.


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    • Marcado como respuesta shalom06 lunes, 6 de junio de 2011 19:43
    lunes, 6 de junio de 2011 17:21
  • La zona inversa tambien la convertiste a AD integrated?

    Que tipo de replicación has configurado? Todos los DCs del dominio, los DCs con sevicio DNS, etc.

     

    Para las zonas inversas:

    http://support.microsoft.com/kb/323445/es

     

    Debe existir una zona inversa del segmento de los DCs, en la consola de DNS

    revisa la configuración:

    http://technet.microsoft.com/en-us/library/cc959303.aspx

     

    nslookup "ip del domain controller" te debe devolver el nombre de los DCs. 

     


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    • Marcado como respuesta shalom06 lunes, 6 de junio de 2011 19:43
    lunes, 6 de junio de 2011 19:30

Todas las respuestas

  • Hola Shalom06,

    Que sistema operativo tienen tus DCs?

    Desde el DC al que no le ha llegado la zona (hay veces que tarda y hay que refrescar la consola) ejecuta DCDIAG y coméntanos el resultado, si ha fallado algún test.

     

    Con respecto al evento danos más detalles, puedes verlo en el visor de sucesos.

     

     

     

     

     

     


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    viernes, 3 de junio de 2011 18:43
  • shalom06, descuento que en el segundo DC se ha instalado el servicio DNS ¿si?

    Si fuera así, en el DC con DNS que ya tienes, entra a las propiedades de las zonas, y revisa las propiedades.

    Si están integradas en AD, revisa el ámbito de replicación

    Si no están integradas en AD, no replican automáticamente, sino que hay que configurarlas para permitir transferencia, y en el otro DNS crear la correspondiente zona secundaria.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 3 de junio de 2011 20:05
    Moderador
  • Los DCs son Win 2003 stand.

    He replicado y reiniciado el servicio de DNS varias veces.

    Aqui le copio el resultado del dcdiag

    DC02

     

    C:\Program Files\Support Tools>dcdiag

     

    Domain Controller Diagnosis

     

    Performing initial setup:

       Done gathering initial info.

     

    Doing initial required tests

     

       Testing server: Default-First-Site\DC02

          Starting test: Connectivity

             ......................... DC02 passed test Connectivity

     

    Doing primary tests

     

       Testing server: Default-First-Site\DC02

          Starting test: Replications

             ......................... DC02 passed test Replications

          Starting test: NCSecDesc

             ......................... DC02 passed test NCSecDesc

          Starting test: NetLogons

             ......................... DC02 passed test NetLogons

          Starting test: Advertising

             Warning: DsGetDcName returned information for \\dc01..LOCAL, when

     we were trying to reach DC02.

             Server is not responding or is not considered suitable.

             ......................... DC02 failed test Advertising

          Starting test: KnowsOfRoleHolders

             ......................... DC02 passed test KnowsOfRoleHolders

          Starting test: RidManager

             ......................... DC02 passed test RidManager

          Starting test: MachineAccount

             ......................... DC02 passed test MachineAccount

          Starting test: Services

             ......................... DC02 passed test Services

          Starting test: ObjectsReplicated

             ......................... DC02 passed test ObjectsReplicated

          Starting test: frssysvol

             ......................... DC02 passed test frssysvol

          Starting test: frsevent

             There are warning or error events within the last 24 hours after the

             SYSVOL has been shared.  Failing SYSVOL replication problems may cause

             Group Policy problems.

             ......................... DC02 failed test frsevent

          Starting test: kccevent

             ......................... DC02 passed test kccevent

          Starting test: systemlog

             ......................... DC02 passed test systemlog

          Starting test: VerifyReferences

             ......................... DC02 passed test VerifyReferences

     

       Running partition tests on : ForestDnsZones

          Starting test: CrossRefValidation

             ......................... ForestDnsZones passed test CrossRefValidation

     

          Starting test: CheckSDRefDom

             ......................... ForestDnsZones passed test CheckSDRefDom

     

       Running partition tests on : DomainDnsZones

          Starting test: CrossRefValidation

             ......................... DomainDnsZones passed test CrossRefValidation

     

          Starting test: CheckSDRefDom

             ......................... DomainDnsZones passed test CheckSDRefDom

     

       Running partition tests on : Schema

          Starting test: CrossRefValidation

             ......................... Schema passed test CrossRefValidation

          Starting test: CheckSDRefDom

             ......................... Schema passed test CheckSDRefDom

     

       Running partition tests on : Configuration

          Starting test: CrossRefValidation

             ......................... Configuration passed test CrossRefValidation

          Starting test: CheckSDRefDom

             ......................... Configuration passed test CheckSDRefDom

     

       Running partition tests on : 

          Starting test: CrossRefValidation

             .........................  passed test CrossRefValidation

          Starting test: CheckSDRefDom

             .........................  passed test CheckSDRefDom

     

       Running enterprise tests on : .LOCAL

          Starting test: Intersite

             ......................... .LOCAL passed test Intersite

          Starting test: FsmoCheck

    viernes, 3 de junio de 2011 20:26
  • El tipo de zona del DC01 es primary, revise los parametros del zone transfer y esta marcado la opcion "Only server list on name server tab"

    En el name server tab estan los dos servidores DC.

    Como la zona no esta integrada deberia tomar algo mas en consideracion?

    viernes, 3 de junio de 2011 20:41
  • Raro que sea Primary, porque lo normal y recomendable es que sea AD Integrated ya que así permite actualizaciones dinámicas seguras. Si es Primary, o no permite actualizaciones y tienes que mantener todo a mano, o configurar que acepte actualizaciones seguras y no seguras, lo que es peligroso.

    Al no estar integrada la zona, y si tienes configurada la opción de transfer "only server list..." entonces para que transfiera, hay que crear primero el registro NS correspondiente a DC2, y luego en DC2 crear una zona Secondary, apuntando como Master a DC1

    DC2 debe apuntar como DNS a DC1 como preferido, ya que en DC2 la zona Secondary es Read-Only

    Salvo que exista alguna condición particuar, en lugar de hacer lo anterior, te diría que te conviene pasa la zona a AD Integrated permitiendo sólo actualizaciones seguras, y ámbito de replicación como sigue:

    tudominio.sufijo: para todos los servidores DNS que se ejecutan en controladores de dominio en este dominio: tudominio.sufijo

    _msdcs.tudominio.sufijo: para todos los servidores DNS que se ejecutan en controladores de dominio en este bosque: tudominio.sufijo


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta shalom06 lunes, 6 de junio de 2011 19:43
    viernes, 3 de junio de 2011 20:59
    Moderador
  • Como puedo paso la zona del DC1 a AD integrated?
    lunes, 6 de junio de 2011 17:06
  • Hola Shalom,

    Es un procedimiento bastante sencillo. Te dejo este link donde explican como hacerlo.

    http://support.microsoft.com/kb/816101

    Puedes hacer la zona integrada y que se almacene en todos los Dcs que tienes DNS.


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    • Marcado como respuesta shalom06 lunes, 6 de junio de 2011 19:43
    lunes, 6 de junio de 2011 17:21
  • Ok.

    Ya converti la zona AD Integrated.

    Y se me replico la zona directa correctamente.

    De la zona reversa aun me falta que se replique el segmento de red donde estan los DCs.

    Force la replicacion manualmente y aun no se replica.

    Debo crear segmento manualmente?

    lunes, 6 de junio de 2011 19:15
  • La zona inversa tambien la convertiste a AD integrated?

    Que tipo de replicación has configurado? Todos los DCs del dominio, los DCs con sevicio DNS, etc.

     

    Para las zonas inversas:

    http://support.microsoft.com/kb/323445/es

     

    Debe existir una zona inversa del segmento de los DCs, en la consola de DNS

    revisa la configuración:

    http://technet.microsoft.com/en-us/library/cc959303.aspx

     

    nslookup "ip del domain controller" te debe devolver el nombre de los DCs. 

     


    Salu2!, Dani Gracia MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    • Marcado como respuesta shalom06 lunes, 6 de junio de 2011 19:43
    lunes, 6 de junio de 2011 19:30
  • Ok, 

    Me falto convetir la zona reversa.

    Ya esta todo replicando correctamente.

    Muchas gracias Guillermo y Dani por su ayuda

    lunes, 6 de junio de 2011 19:43