none
msdcsゾーンとドメインゾーンのレコードが異なる RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows2008にて下記のようなドメイン環境を構築していました。

    サーバー1:DC1

    サーバー2:DC2

    ドメイン名:sample.com

    DNSはActive Dircetory統合で構築しており、前方参照ゾーンには_msdcs.sample.comとsample.comが存在し

    内容についても同一でした。

    今回Windows2012R2にて新規サーバー3をDC3として構築し、DC1を降格し撤去しました。

    すると_msdcs.sample.comのレコードについては更新されているのですが、sapmle.comのレコードについては

    更新されていません。

    DNSのゾーンの仕様が理解できていないので、この状態が正しい状態なのか、もしくは問題があるのか

    ご教授いただけないでしょうか。

    なおコマンドrepadminやdcdiagでの確認はsuccessufulと表示されていますので、DNSの動作については

    問題ないと推測しております。

    2015年3月3日 9:18
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ですが[sample.com]-[_sites]-[Default-First-Site-Name]-[_tcp]に登録されています_kerberosや_ldapのSRVレコードについては以前のDC1並びにDC2が登録されています。

    この部分ですがDC2とDC3の情報に更新されている必要があります。まず、ドメインコントローラDC2やDC3でnetlogonサービスの再起動→DNS Serverサービスの再起動、を行い、自分自身(または参照先DNSサーバ)のゾーンの情報が変更されていることを確認してください。

    もしここで変更自体が行えていない場合、C:\Windows\System32\config\netlogon.dnsの内容を確認し、SRVレコードが自分自身(DC2ならDC2.example.comのFQDNであること)になっていることを確認してください。そうなっていなかった場合、netlogonサービスをいったん停止し、netlogon.dnsとnetlogon.dnbファイルを削除して、再度netlogonサービスを起動してください。netlogon.dnsの内容がFQDNでない(DC2.とだけある)場合は「プライマリDNSサフィックス」がおかしい可能性が高いので、適切に修正してください。

    • 回答としてマーク 佐伯玲 2015年3月13日 6:04
    2015年3月11日 4:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    返信いただいたnetlogonサービスの再起動DNS Serverサービスの再起動により状況が改善されたことを確認致しました。

    本件についてご教授ありがとうございました。

    • 回答としてマーク masuevo 2015年3月13日 5:39
    2015年3月13日 5:39
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、

    すると_msdcs.sample.comのレコードについては更新されているのですが、sapmle.comのレコードについては
    更新されていません。

    ですが、本当にこの状態であればですが、もちろん問題があります。すべてのドメインコントローラ間でそれぞれのゾーンが(複製関係に基づいて)同一である必要があります。ドメインコントローラの入れ替わりがあれば、<ドメイン名>側のAレコードの内容が当然変更されるためです。念のためにコメントしますが、_msdcs.<フォレストルート名>ゾーンはフォレスト全体でのドメインコントローラの役割(ホストしているサービス名)を表したもので、通常のドメイン名ゾーンとはもちろん内容は異なります。

    ちなみに「更新された・されない」はどちらをご覧になって判断されているのでしょうか?状況によってDNS管理ツールからは「内部的には更新されているのにサーバとして反映されていない」ことがあるので、DNSサーバサービスを再起動し、内容を再読み込みして確認されることをお奨めします。

    もし本当に反映されていない場合、反映されていない(古い情報をもつ)ドメインコントローラ側で、以下のコマンドを実行して、再度確認してみてください(DNSサーバサービスの再起動)。

    repadmin /replicate localhost <複製パートナDC名> DC=DomainDNSZones,DC=example,DC=com /force


    2015年3月4日 2:10
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    返信ありがとうございました。

    DNSサービスの再起動を実施し状況を確認致します。

    また現在の確認方法はご指摘のDNSマネージャーにて確認しております。

    返答いただいた内容にて追加でご教授いただきたいのですが、_msdcsゾーンでの役割と通常ドメインのサブドメインであるForestDNSZonesとの役割の違いはどこになるのでしょうか。

    以上、宜しくお願い致します。

    2015年3月4日 8:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    返答いただいた内容にて追加でご教授いただきたいのですが、_msdcsゾーンでの役割と通常ドメインのサブドメインであるForestDNSZonesとの役割の違いはどこになるのでしょうか。

    まず、本件とは別の質問をされたい場合、別のスレッドを上げてください。

    質問の背景がわからないのですが、ドメイン名ゾーン内のForestDNSZonesとDomainDNSZonesサブドメインには、「該当ディレクトリパーティションを持っているサーバのIPアドレス」が記録されると理解しています。つまりDNSサーバを持っているドメインコントローラだけが記録されます。よって_msdcsドメインとは直接の関係はありません。_msdcsドメインをホストしているDNSサーバのIPアドレスが記録される、ということはいえますが。


    2015年3月7日 7:57
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    返信ありがとうございました。

    また別スレッドについてのご指摘につきましても、ありがとうございました。

    現在の状況について改めて記載しますと、[_msdcs.sample.com]-[dc]-[_sites]-[Default-First-Site-Name]-[_tcp]に登録されています_kerberosや_ldapのSRVレコードについては現行のDC2並びにDC3が登録されています。

    ですが[sample.com]-[_sites]-[Default-First-Site-Name]-[_tcp]に登録されています_kerberosや_ldapのSRVレコードについては以前のDC1並びにDC2が登録されています。

    どちらのゾーンについても動的更新は「セキュリティ保護のみ」になっているため、更新されるという認識でおりますが

    認識に誤りがあるでしょうか。

    以上、宜しくお願い致します。

    2015年3月9日 6:24
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ですが[sample.com]-[_sites]-[Default-First-Site-Name]-[_tcp]に登録されています_kerberosや_ldapのSRVレコードについては以前のDC1並びにDC2が登録されています。

    この部分ですがDC2とDC3の情報に更新されている必要があります。まず、ドメインコントローラDC2やDC3でnetlogonサービスの再起動→DNS Serverサービスの再起動、を行い、自分自身(または参照先DNSサーバ)のゾーンの情報が変更されていることを確認してください。

    もしここで変更自体が行えていない場合、C:\Windows\System32\config\netlogon.dnsの内容を確認し、SRVレコードが自分自身(DC2ならDC2.example.comのFQDNであること)になっていることを確認してください。そうなっていなかった場合、netlogonサービスをいったん停止し、netlogon.dnsとnetlogon.dnbファイルを削除して、再度netlogonサービスを起動してください。netlogon.dnsの内容がFQDNでない(DC2.とだけある)場合は「プライマリDNSサフィックス」がおかしい可能性が高いので、適切に修正してください。

    • 回答としてマーク 佐伯玲 2015年3月13日 6:04
    2015年3月11日 4:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    返信ありがとうございました。

    ご指摘いただいた内容について確認致します。

    2015年3月12日 7:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    返信いただいたnetlogonサービスの再起動DNS Serverサービスの再起動により状況が改善されたことを確認致しました。

    本件についてご教授ありがとうございました。

    • 回答としてマーク masuevo 2015年3月13日 5:39
    2015年3月13日 5:39
    |