none
Проблемы с DNS интегрированной зоной RRS feed

  • Вопрос

  • Добрый день!!!!

    Было 2 КД, 1 КД был Primary Zone ( Была включена галочка Zone transfer )

    2 КД,  был Secondary и забирал данные с 1.

    Вводим 2 новых кд, принимаем решение, о интегрированной ДНС.

    Сначала, вводим все КД, делаем снять инфу с 1 КД, в итоге Primary 1 КД и 3 КД Secondary.

    Затем меняем на integrated Zone Active Directory ( одна из возможно ошибок, что нужно было удалить везде ДНС, сделать интегрированной на 1 КД, а затем подождать репликации ? )

    Вообщем, делаю 1 КД, интегрированным в АД. Затем 2 3 4 и тп, отвечая на вопрос, что зона уже существует? использовать текущую или перезаписть? я выбирал текущую ( так как думал, имеется ввиду, про зону, которую я интегрировал на 1 КД )

    Потом вроде с виду, все работает хорошо, репликация проходит успешно, записи между КД транслируются....

    Но, ПТР записи почему то работают не корректно...  начал копать что произошло..

    1. После добавление новой ПТР зоны для некой сети ( начало выдывать ошибку, что x.x.x.app.addr будет попробовано загружено снова, после некоторого времени )

    2. Затем увидел ошибки 4515,506 появляются синхронно

    3. Дело в том, что в обратнон зоне, из пункта 1, зарегистрировалось пару станций ( видимо из DHCP ) а остальные из прямой зоны тупо игнорировались, хотя их там с пол сотни....

    4. Далее, начал копать....

    dsa -> Advanced view -> System -> MicrosoftDNS -> вижу x.x.x.app.addr и exmaple.com и rootDNS

    запускаем adsii

    Контекст наименования DC=domainDNSzones,dc=example,dc=com

    DC=..InProgress-532B0E9650A3CBE4-x.x.x.in-addr.arpa dnsZone DC=..InProgress-532B0E9650A3CBE4-x.x.x.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=example,DC=com
    DC=..InProgress-532B0EA450A402F2-x.x.x.in-addr.arpa dnsZone DC=..InProgress-532B0EA450A402F2-x.x.x.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=example,DC=com
    DC=..InProgress-532B0EE349D13C34-x.x.x.in-addr.arpa dnsZone DC=..InProgress-532B0EE349D13C34-x.x.x.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=example,DC=com
    DC=..InProgress-5330254D6484719E-x.x.x.in-addr.arpa dnsZone DC=..InProgress-5330254D6484719E-x.x.x.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=example,DC=com
    DC=..InProgress-533025BE64862818-x.x.x.in-addr.arpa dnsZone DC=..InProgress-533025BE64862818-x.x.x.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=example,DC=com
    DC=..InProgress-533025C064862F4C-x.x.x.in-addr.arpa dnsZone DC=..InProgress-533025C064862F4C-x.x.x.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=example,DC=com
    DC=x.x.x.in-addr.arpa dnsZone DC=x.x.x.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=example,DC=com
    DC=RootDNSServers dnsZone DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=example,DC=com

    Контекст наименования DC=forestDNSzones,dc=example,dc=com

    пусто....

    Вопрос??? что делать? почему в adsii я вижу ТОЛЬКО обратную зону и rootDNS и еще записи InProgress 

    Почему в forestDNSzones вообще пусто? и нет msdsc ?

    Не могу понять, как правильно решить проблему с задвоением, а так же определить, что зоны днс лежат в правильных местах.

    Переставить галки 

    To all DNS servers in the AD forest example.com

    To all DNS servers in the AD domain example.com

    To all domain controllers in the AD domain example.com

    Нельзя, галка щас стоить у To all domain controllers in the AD domain example.com

    24 марта 2014 г. 14:51

Ответы

  • Правильно было делать следующим образом:

    1. Убрать все вторичные зоны для первичной зоны

    2. Изменить место хранения первичной зоны на Active Directory с нужной областью репликации (если лес небольшой, то можно не заморачиваться, а указать  "Все DNS-серверы в лесу").

    3. Дождаться, когда все зоны среплицируются.

    Для зоны домена D и ее подзоны _msdcs (если есть): чтобы репликация прошла без проблем, в качестве сервера DNS на всех КД должен быть настроен только сервер с первичной зоной; после репликации можно будет сделать более надежные настройки серверов DNS на место (указать в качестве серверов DNS минимум два КД - себя и еще какой-то один).

    Сейчас я рекомендую не воевать с дублями, а изменить место хранения зоны на выбранном для нее первичном сервере на хранение в файле. Если эта зона - зона домена или подзона _msdcs, то упомянутые выше настройки серверов DNS нужно сделать до изменения места хранения.


    Слава России!

    • Помечено в качестве ответа SharpQ 27 марта 2014 г. 11:40
    24 марта 2014 г. 22:16
  • Пропишите клиенту ip статикой и запустите ipconfig /registerdns. 

    Проверьте появился ли он в обратной зоне. Если появился проблема в DHCP.

    • Помечено в качестве ответа SharpQ 27 марта 2014 г. 11:39
    27 марта 2014 г. 6:42

Все ответы

  • Правильно было делать следующим образом:

    1. Убрать все вторичные зоны для первичной зоны

    2. Изменить место хранения первичной зоны на Active Directory с нужной областью репликации (если лес небольшой, то можно не заморачиваться, а указать  "Все DNS-серверы в лесу").

    3. Дождаться, когда все зоны среплицируются.

    Для зоны домена D и ее подзоны _msdcs (если есть): чтобы репликация прошла без проблем, в качестве сервера DNS на всех КД должен быть настроен только сервер с первичной зоной; после репликации можно будет сделать более надежные настройки серверов DNS на место (указать в качестве серверов DNS минимум два КД - себя и еще какой-то один).

    Сейчас я рекомендую не воевать с дублями, а изменить место хранения зоны на выбранном для нее первичном сервере на хранение в файле. Если эта зона - зона домена или подзона _msdcs, то упомянутые выше настройки серверов DNS нужно сделать до изменения места хранения.


    Слава России!

    • Помечено в качестве ответа SharpQ 27 марта 2014 г. 11:40
    24 марта 2014 г. 22:16
  • Теперь по порядку

    Есть 4 КД, сейчас на всех настройка Primary\Integrated

    Отображение через adsii текущий ситуации я описал в 1 посте

    Идем на 1 КД

    Начинаем работать с обратной зоной

    При попытке поменять на To all DNS servers in the AD domain example.com

    Вот такая ошибка

    Поменяв на To all DNS servers in the AD forest example.com

    Получилось без ошибок, это что касается обратной зоны. ( что очевидно, так как там все было пусто и ничего не мешало, что меня автоматом наводит на мысль, о том что ошибка возникающая выше, из за того, что при переключение в этот режим, там УЖЕ присутствует запись о обратной зоне этой... поэтому, если у меня режим например To all domain controllers in the AD domain example.com  который нужен для 2000 доменов, то записи там вообще не хранятся ни в каком виде? и я могу смело грохать в MirosoftDNS в контексте domainDNSzones ? и потом уже переключать. ) в любом варианте варианте в уровень леса я переключил уже.

    Как теперь, мне убедиться, что я все правильно сделал? и где теперь стоит подчистить от старых проблем?

    Захожу в adsii DC=ForestDNszone контексте

    Вижу что на 1 КД появилась моя обратная зона, жду репликации на другие КД.

    Что делать теперь с зонами DC=..InProgress-532B0E9

    и так же еще осталась запись о обратной зоне в контексте DC=domainDNSzones

    Потом перейду к прямой зоне.


    • Изменено SharpQ 25 марта 2014 г. 7:40
    25 марта 2014 г. 7:31
  • Убедиться, что все в порядке, можно, подключившись через оснастку DNS к каждому из серверов и проверив, что на каждом них есть все нужные зоны, области репликации зон совпадают и номера версий в записи SOA совпадают либо различаются на малое число из-за изменений в зоне, но при этом репликация работает (номера растут).

    Обратную зону из контекста domainDNSZones (т.е. с областью репликации  All DNS Servers in AD Domain), а также все лишние отображаемые в оснастке DNS зоны  нужно удалить через оснастку на том сервере, где они отображаются. 

    PS Для области репликации To all domain controllers in the AD domain example.com  записи зон хранятся в разделе домена, в контейнере System.


    Слава России!

    25 марта 2014 г. 10:56
  • Убедиться, что все в порядке, можно, подключившись через оснастку DNS к каждому из серверов и проверив, что на каждом них есть все нужные зоны, области репликации зон совпадают и номера версий в записи SOA совпадают либо различаются на малое число из-за изменений в зоне, но при этом репликация работает (номера растут).

    Обратную зону из контекста domainDNSZones (т.е. с областью репликации  All DNS Servers in AD Domain), а также все лишние отображаемые в оснастке DNS зоны  нужно удалить через оснастку на том сервере, где они отображаются. 

    PS Для области репликации To all domain controllers in the AD domain example.com  записи зон хранятся в разделе домена, в контейнере System.


    Слава России!

    Спасибо за помощь, вопрос, сейчас у меня на 1 КД сделано To all DNS servers in the AD forest example.com

    Вижу, что данные в контексте DC=ForestDNSzone реплицировались на все 4 КД.

    Но на остальных галочки остались в положение To all domain controllers in the AD domain example.com  

    Мне нужно зону эту удалить? ( на остальных КД )  и подождать? 


    • Изменено SharpQ 25 марта 2014 г. 12:40
    25 марта 2014 г. 12:37
  • Если что вопрос, к тому, что если я щас удалю зону на 2\3\4 КД ( где не правильно ) не повлечет ли это удаление этой зоны у всех КД, ведь репликация то щас проходит нормально между всеми.... тоесть не пойму как выйти из ситуации, если поменять галочку нельзя, но и удалять зону нельзя. так как она в продакшане

    PS

    Вообщем в итоге

    Есть оснастка DNS в ней отображается например зона 10.10.10.0 ( обратная )

    Например есть 3 КД

    У всех трех разные галочки стоят

    To all DNS servers in the AD forest example.com

    To all DNS servers in the AD domain example.com

    To all domain controllers in the AD domain example.com

    В данном случае, галочка означает лишь МЕСТО хранение записей ДНС.

    Репликация данных будет происходить между КД, запись созданная на одном, появится на другом, но будут появлятся вские inprogress записи если смотреть через ADSII

    Почему появляется inprogress записи ? ведь репликация происходит.... то что висит в этих inprogress... можно в принципе сравнить их, увидить не совпадения, но было бы ясно, если сделал на 1, не появилось на другом, ясно что они застряли в inprogress, а так получается запись появляется везде новая, а inpgoress запись так же висит в MicrosoftDNS их увелечение 5 6 штук тоже не ясно из за чего множаться.

    Что я сделал? я удалил все из контекста domainDNSzones вообще все записи

    Через время, на всех DNS ( 4 КД ) пропала обратная зона

    Затем, минуты через 3 -4 она появилась ( но уже загрузилась из forestDNSzones )

    Теперь, на всех 4 КД, обратная зона работает и галочка стоит To all DNS servers in the AD forest example.com

    Теперь? ошибка 4515 ушла, ошибка 506 осталась... не пойму с чем связана? 

    The DNS server has invalid or corrupted registry parameter SecondaryServers.  To correct the problem, you can delete the applicable registry value, located under DNS server parameters in the registry.  You can then recreate it using the DNS console.  For more information, see the online Help.

    For more information, see Help and Support Center at 

    • Изменено SharpQ 25 марта 2014 г. 15:29
    25 марта 2014 г. 14:52
  • Но главная проблема, из за чего я вообще начал капать DNS осталась

    Я создал 2 зону обратного просмотра, для 2 сети...

    Она создалась, реплицировалась на все КД. вроде все хорошо.

    Но записи там не появляются... то есть в прямой зоне они есть, а там нет.... ошибок не вижу

    Я проверил, в DHCP нет записи, он ее выдал, вижу в DNS появилась запись ( прямого просмотра ) а обратной нифига... хоть убей...

    я понимаю, что сопутствующих косяков много, но основной этот, мне нужно что бы нетфлоу нормально резолвил все пк в сети, а днс сволочь мешает)))

    Вот что пишет, при создание новой обратной зоны

    The DNS server encountered error 32 attempting to load zone x.x.x.in-addr.arpa from Active Directory. The DNS server will attempt to load this zone again on the next timeout cycle. This can be caused by high Active Directory load and may be a transient condition.

    • Изменено SharpQ 25 марта 2014 г. 16:01
    25 марта 2014 г. 15:56
  • По поводу события с кодом 506 см. рекомендацию в Technet Library.

    Error 32 означает отсутствие нужного объекта в AD и разбираться с этой ошибкой нужно, только если она не исчезает по завершении репликации и последующего перезапуска сервера DNS.

    Насчет регистрации в обратной зоне:

    - как у вас настроена регистрация в DNS на сервере DHCP

    - как настроена зона: на безопасные динамические обновления, или как-то еще?

    - проходит ли регистрация для совсем нового клиента, адреса которого в DHCP еще не было?


    Слава России!

    25 марта 2014 г. 20:08
  • - как у вас настроена регистрация в DNS на сервере DHCP

    - как настроена зона: на безопасные динамические обновления, или как-то еще?

    При создание зоны регистрируется такая ошибка 

    The DNS server encountered error 32 attempting to load zone x.x.x.in-addr.arpa from Active Directory. The DNS server will attempt to load this zone again on the next timeout cycle. This can be caused by high Active Directory load and may be a transient condition.

    4521

    - проходит ли регистрация для совсем нового клиента, адреса которого в DHCP еще не было?

    Если например напрямую через галку, обновить ПТР запись, ничего не появляетяс, хотя должно моментально. с прямой зоной вроде нет проблем по регистрации, а вот обратная вообще никак, от куда то там появляются  1 2 клиента, но затем все, висит мертвым грузом.

    • Изменено SharpQ 26 марта 2014 г. 5:19
    26 марта 2014 г. 5:16
  • Так всё-таки, я не понял ответ на последний вопрос: выполняется ли регистрация PTR для нового клиента, для которого не было аренды в DHCP?


    Слава России!

    26 марта 2014 г. 20:26
  • Пропишите клиенту ip статикой и запустите ipconfig /registerdns. 

    Проверьте появился ли он в обратной зоне. Если появился проблема в DHCP.

    • Помечено в качестве ответа SharpQ 27 марта 2014 г. 11:39
    27 марта 2014 г. 6:42
  • Посмотрел, видимо кредентиалы небыли поставлены в DHCP, поставил админа вроде что то начало регистрироваться!

    Теперь вопрос, у меня есть регион, DHCP на циске, как мне зарегистрировать обратную ПТР зону ??

    ДНС используют наш, все регионы, в прямой зоне они есть! но в обратной не появляются видимо из за ДЧСП. может какие то опцию добавить? или только ipconfig /registerdns поможет?

    ПС Добавляются я так понимаю только из за DCHP

    Галка обновить PTR зону так же не работает =(

    • Изменено SharpQ 27 марта 2014 г. 11:56
    27 марта 2014 г. 11:34