none
Конфигурация клиента DNS в многосайтовой среде RRS feed

  • Общие обсуждения

  • Коллеги, доброго времени суток. Подскажите, как корректно настроить конфигурацию DNS клиента в топологии пhиведенной на схеме?

    В каждом сайте по одному контроллеру домена. Каждый из контроллеров домена является сервером DNS, глобальным каталогом. Все контроллеры домена - RW. Уровни леса и домена 2012 R2. Файервол выключен на всех контроллерах домена.  BASL отключен. Создан сайт-линк между сайтами COL и DET. Интервал репликации - 15 минут. На DNS сервере одна forward зона lab.local и три reverse lookup зоны - для каждой из подсетей соответственно. Каждая зона поддерживается тремя серверами. Зоны интегрированные в AD. DNS forwarding откключен.

    На данный момент времени на каждом из контроллеров домена клиент DNS настроен следующим ообразом: в качестве единственного сервера DNS на каждом из контроллеров домена указан его собственный IP адрес.

    Все штатно работает до тех пор, пока принудительно не отключить от сети сайт DEN (контролллер домена не доступен по сети). После отключения в логах DNS сервера на контроллерах домена в сайтах COL и DET с периодичностью 5 минут появляется ошибка DNS с кодом 4015. При этом разрешение имен продолжает работать штатно. Через два часа, согласно настроенному сайт линку создаются inbound connections:

    Сайт COL: Inbound from det-dc01.lab.local

    Сайт ВУЕ: Inbound from col-dc01.lab.local

    что является корректным. После восстановления доступа к сайту DEN, данные connections удаляются.

    Смущает два момента. Первое: насколько я понимаю, ISTG после трех неудачных попыток репликации должно создать резервные Inbound Connections, и оно это делает, но только почему через два часа вместо 45 минут (т.к. интерваол репликации 15 минут, то следовательно 3х15=45)?

    Второе: генирируемая раз в 5 минут ошибка 4015 в Event Log DNS.

    Заранее спасибо.


    12 апреля 2016 г. 19:49

Все ответы

  • В настройках DNS собственный сервер должен быть указан самым последним. Первыми в списке DNS-серверов должны стоять адреса партнеров по репликации. Подробнее тут.

    Запустите хотя бы best practice analyzer из консоли Server Manager, он выдаст все рекомендации по настройке. Заодно и киньте скриншот результата сюда.

    13 апреля 2016 г. 5:11
  • Вы имеете ввиду что настройки DNS в TCP/IP должны быть следующими?

    den-dc01.lab.local

    DNS1 - 10.10.1.2

    DNS2 - 10.10.1.3

    DNS3 - 127.0.0.1

    det-dc01.lab.local

    DNS1 - 10.10.1.1

    DNS2 - 10.10.2.1

    DNS3 - 127.0.0.1

    col-dc01.lab.local

    DNS1 - 10.10.1.1

    DNS2 - 10.10.3.1

    DNS3 - 127.0.0.1

    Я Вас правильньо понял?

    13 апреля 2016 г. 8:58
  • да. bpa роли ad ds и dns запускали? может быть ещё что-то у вас не супер, о чем вы не сказали.

    Кстати, немного не по теме - почему отключили брандмауэр? есть какая-то другая защита?

    13 апреля 2016 г. 9:09
  • Доброго времени суток. Файервол отключен в виду того, что это абсолютно изолированная лабораторная топология работающая в среде VMWare Workstation 12. Давайте я внесу большие подробности в топологию и суть проблемы. На картинке ниже приведена обновленная схема топологии

    Сетевая среда представляет собой три Linux сервера (CentOS 6.7 x64) на которых работает пакет Zebra, выполняющий динамическую маршрутизацию. Согласно стоиости каналов, основным машрутом из сайта DET в сайт COL является:

    C:\Windows\system32>tracert col-dc01

    Tracing route to col-dc01.lab.local [10.10.2.1]
    over a maximum of 30 hops:

      1    <1 ms    26 ms    <1 ms  10.10.3.100
      2    <1 ms    <1 ms    <1 ms  192.168.252.1
      3     1 ms    <1 ms    <1 ms  192.168.254.2
      4     1 ms     1 ms     1 ms  col-dc01.lab.local [10.10.2.1]

    Trace complete.

    При отсутствии проблем в сети, все работает штатно, а именно: маршрутизация, размрешение именЮ репликаия. Все connections созданы верно. Все листинги ниже выполнены на контроллере домена det-dc01.lab.local

    C:\Windows\system32>repadmin /showrepl * /errorsonly

    Repadmin: running command /showrepl against full DC den-dc01.lab.local
    Den\DEN-DC01
    DSA Options: IS_GC
    Site Options: (none)
    DSA object GUID: 067cee14-c221-4845-b28d-37cfc3437a36
    DSA invocationID: 067cee14-c221-4845-b28d-37cfc3437a36

    ==== INBOUND NEIGHBORS ======================================

    Repadmin: running command /showrepl against full DC col-dc01.lab.local
    Col\COL-DC01
    DSA Options: IS_GC
    Site Options: (none)
    DSA object GUID: 40a3af39-f136-43d4-8ea2-390312f4ec20
    DSA invocationID: e8fd34a5-6103-42d8-85ca-c8fb980ab839

    ==== INBOUND NEIGHBORS ======================================

    Repadmin: running command /showrepl against full DC det-dc01.lab.local
    Det\DET-DC01
    DSA Options: IS_GC
    Site Options: (none)
    DSA object GUID: 5124dc4e-2af4-400e-bce9-93e1ee664e06
    DSA invocationID: 10bde2c4-01e9-49ff-a3b4-6f300a6a39f6

    ==== INBOUND NEIGHBORS ======================================

    Вывод nslookup

    C:\Windows\system32>nslookup col-dc01
    Server:  den-dc01.lab.local
    Address:  10.10.1.1

    Name:    col-dc01.lab.local
    Address:  10.10.2.1

    Вывод ipconfig /all

    C:\Windows\system32>ipconfig /all

    Windows IP Configuration

       Host Name . . . . . . . . . . . . : det-dc01
       Primary Dns Suffix  . . . . . . . : lab.local
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : lab.local

    Ethernet adapter Ethernet0:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Intel(R) 82574L Gigabit
    n
       Physical Address. . . . . . . . . : 00-0C-29-88-2D-97
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv4 Address. . . . . . . . . . . : 10.10.3.1(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 10.10.3.100
       DNS Servers . . . . . . . . . . . : 10.10.1.1
                                           10.10.2.1
                                           127.0.0.1
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.{3005CAF5-0D41-46DC-A6BD-FA970587854F}:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes

    Вывод BPA для служб DNS и AD DS

    После моделирования отказа среды передачи данных, а именно отключения маршрутизатора в сайте DEN перестраивается сетевая топология, и сетевой трафик направляется по резервному каналу, о чем свидетельствует вывод tracerote:

    C:\Windows\system32>tracert 10.10.2.1

    Tracing route to col-dc01.lab.local [10.10.2.1]
    over a maximum of 30 hops:

      1    <1 ms    <1 ms    <1 ms  10.10.3.100
      2    <1 ms    <1 ms    <1 ms  192.168.253.1
      3    32 ms    <1 ms    <1 ms  col-dc01.lab.local [10.10.2.1]

    Trace complete.

    C:\Windows\system32>

    но перестает работать разрешение имен, о чем свидетельствует вывод nslookup

    C:\Windows\system32>nslookup lab.local
    DNS request timed out.
        timeout was 2 seconds.
    Server:  UnKnown
    Address:  10.10.1.1

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Request to UnKnown timed-out

    C:\Windows\system32>

    Я предполагаю, что это связано с кэшем DNS для контроллера домена den-dc01.lab.local, поэтому я выполняю команду ipconfig /flushdns, но после очистки кеша DNS записей, и повторного выполнения команды nslookup lab.local в кеше я снова вижу запись для den-dc01.lab.local с TTL равным 1 час (это значение корректно, согласно настройкам зоны).

    C:\Windows\system32>ipconfig /displaydns

    Windows IP Configuration

        den-dc01.lab.local
        ----------------------------------------
        Record Name . . . . . : den-dc01.lab.local
        Record Type . . . . . : 1
        Time To Live  . . . . : 3555
        Data Length . . . . . : 4
        Section . . . . . . . : Answer
        A (Host) Record . . . : 10.10.1.1

    Как я понимаю, пока  в кэше DNS содержится запись о прдпочтительном сервере DNS, клиент не произведет обращение к вторичному и последующим серверам.

    На мой взгляд, после либо истечения TTL записи, либо после очистки кеша DNS, либо после перезагрузки сервера клиент должен использовать вторичную запись DNS, потом он должен по истечении трех интервалов репликации (в случае их неуспешного завершения) создать новые connections и  возобновить репликационный процесс, но в моем случае этого не происходит, и я честно говоря не очень понимаю почему.

    Так что, коллеги, выручате советом, пожалуйста.

    14 апреля 2016 г. 8:54