none
Ошибка в DNS на контроллере домена. RRS feed

  • Вопрос

  • Добрый день.

    Имеются два контроллера домена. На них же DNS серверы. Они виртуальные на Hyper-V.

    Один сервер с адресом 192.168.30.11

    второй сервер с адресом 192.168.31.11

    Они смотрят друг на друга в настройках DNS.

    Сегодня обновил серверы. И у меня отвалилась почта, профили. Полез копаться, нашел ошибку:

    176.99.13.11 это адрес с хостинга REG.Ru где у меня домен заведен.

    полез копаться в интернете.

    первое что нашел это что может быть просрочена лицензия. Но у меня лицензия официальная. 

    второе что нашел это что неверно прописаны DNS в сетевых настройках. Но они верно прописаны. смотрите скриншоты.

    Подскажите пожалуйста что делать?

    16 сентября 2020 г. 10:08

Все ответы

  • Сервера должны смотреть сами на себя, потом на партнёра, и потом на петлю.

    176.99.13.11 это адрес с хостинга REG.Ru где у меня домен заведен.
    где в настройках прописан этот адрес и зачем? Вы что, делегируете AD зону на внешние сервера?
    Какой ДНС прописан у клиентов?
    16 сентября 2020 г. 10:26
  • "где в настройках прописан этот адрес и зачем? Вы что, делегируете AD зону на внешние сервера?"

    Нигде он не прописан. У меня прописаны адреса пересылки, там DNS провайдеров. И включено Динамическое обновление "Только безопасные".

    "Сервера должны смотреть сами на себя, потом на партнёра, и потом на петлю."

    Хм. 4 года так работало. И что вдруг поменялось?

    "Какой ДНС прописан у клиентов?"

    На клиентах прописаны DNS: 192.168.30.11 и 192.168.31.11

    16 сентября 2020 г. 10:41
  • Я сейчас хотел посмотреть настройки второго сервера DNS и увидел следующее:

    Потом проверил еще раз События на серверах и там похожая ошибка. Только адрес контроллера партнера указаны.



    16 сентября 2020 г. 10:46
  • Хм. 4 года так работало. И что вдруг поменялось?

    это нужно было для решение проблемы "островов" - ссылка. Решена в далёком 2003 году.

    Нигде он не прописан. У меня прописаны адреса пересылки, там DNS провайдеров. И включено Динамическое обновление "Только безопасные".

    покажите вкладку ДНС - свойства зоны - передача зоны. Есть там что?

    покажите вывод команды:

    nslookup -type=ns ваш.домен


    Я сейчас хотел посмотреть настройки второго сервера DNS и увидел следующее:

    Проверьте, что А запись этого контоллера домена правильная, а не указывает на 176.99.13.11

    Покажите вывод команды:

    get-ADReplicationSubnet -Filter * | ft name
    16 сентября 2020 г. 10:51
  • это нужно было для решение проблемы "островов" - ссылка. Решена в далёком 2003 году.

    А как настроить чтобы сервер указывал сам на себя?

    покажите вкладку ДНС - свойства зоны - передача зоны. Есть там что?

    вывод команды с моего ПК:

    вывод команды с контроллера:

    16 сентября 2020 г. 11:24
  • почему я не могу зайти в настройки DNS на втором сервере?

    нажимаю ДА а дальше вот:

    Этот сервер был главным у меня. может поэтому все и не работает? 

    16 сентября 2020 г. 11:26
  • А как настроить чтобы сервер указывал сам на себя?

    на сервере 30.11 первый ДНС 30.11, второй 31.11, третий 127.0.0.1
    на сервере 31.11 первый ДНС 31.11, второй 30.11, третий 127.0.0.1

    вывод команды с моего ПК:

    не те команды, и выполнить их в PowerShell на контроллере домена

    Как называется у вас домен Active Directory? покажите вывод команды PowerShell c контроллера домена:

    Get-ADDomain | fl DNSRoot,Forest,DistinguishedName,PDCEmulator

    Этот сервер был главным у меня. может поэтому все и не работает?
    главных северов давно нет, но есть владельцы ролей и служб.
    16 сентября 2020 г. 11:36
  • на сервере 30.11 первый ДНС 30.11, второй 31.11, третий 127.0.0.1

    так?:

    nslookup -type=ns encorefitness.ru

    Get-ADDomain | fl DNSRoot,Forest,DistinguishedName,PDCEmulator

    команда 

    get-ADReplicationSubnet -Filter * | ft name
    ничего не выводит
    16 сентября 2020 г. 11:54
  • вот А-записи

    16 сентября 2020 г. 11:59
  • на сервере 30.11 первый ДНС 30.11, второй 31.11, третий 127.0.0.1

    так?:

    да.

    Похоже, что какой-то косяк с зоной AD... Вместо выдачи адресов контроллеров домена, вы получаете данные интернет домена, который никак не связан с AD. Дайте вывод команды с контроллера домена из PowerShell запущеного из под администратора:

    Get-DnsServerZone
    Netdom query fsmo

    get-ADReplicationSubnet -Filter * | ft name ничего не выводит

    Выполните команды:

    New-ADReplicationSubnet -Name "192.168.30.0/24" -Site default-first-site-name
    New-ADReplicationSubnet -Name "192.168.31.0/24" -Site default-first-site-name 
    16 сентября 2020 г. 13:56
  • Похоже беда была с AD на втором контроллере. У него там были ошибки всякие. Из-за них не было репликации между контроллерами. Из-за них не запускался DNS сервер на этом контроллере. 

    В общем я восстановил этот контроллер из бэкапа. Провел принудительную репликацию. DNS на нем запустился и почта заработала.

    Помониторю еще. Через пару дней отпишу как работает.

    16 сентября 2020 г. 14:49
  • А служба DNS вообще сейчас запущена?
    Выглядит так, как будто он не может получить доступ к внутренним DNS и потому через форвардеров находит внешнюю зону с этим именем.
    16 сентября 2020 г. 14:54
  • и какие обновления вы установили на контроллеры перед тем как все это случилось?
    16 сентября 2020 г. 14:56
  • И вы выполнили все рекомендации MVV из предыдущего поста?

    Там где он советовал отключить регистрацию имени .encorefitness.ru и удаление этой записи из внутренних dns?

    16 сентября 2020 г. 14:58
  • И вы выполнили все рекомендации MVV из предыдущего поста

    теперь понятно, откуда ноги растут...
    16 сентября 2020 г. 15:02
  • Похоже беда была с AD на втором контроллере. У него там были ошибки всякие. Из-за них не было репликации между контроллерами. Из-за них не запускался DNS сервер на этом контроллере. 

    В общем я восстановил этот контроллер из бэкапа. Провел принудительную репликацию. DNS на нем запустился и почта заработала.

    Помониторю еще. Через пару дней отпишу как работает.

    Если есть подозрение на ошибки, то надо начинать с проверки на них с помощью dcdiag - иначе разные возможны чудеса. Чаще всего, можно починить ошибки и без восстановления из резервной копии, но восстановление - это действительно надежный вариант, хуже точно не будет.

    В общем, если что-то будет не работать, начните проверку с dcdiag


    Слава России!

    16 сентября 2020 г. 15:50
  • Сэнсэй, M.V.V. _

    А скажите пожалуйста, как это возможно, что AD DNS разрешает имена интернет домена без явных настроек на это? Или я не всё спросил? Почему nslookup не "ищет" данные в своей AD зоне, а "лезет" в интернет зону? и всё это длилось аж 4 года...


    Спасибо!
    16 сентября 2020 г. 23:51
  • Сервер DNS от Microsoft (как идругие серверы DNS) умеет разрешать имена в интернете через итеративные запросы, которые делаются начиная скорневых ссылок - то есть серверов имен корневой зоны DNS (её обычно обозначают точкой) и далее, согласно записям делегирования - полномочные серверы соответствующих зон, вплоть до конечной.

    Для нахождения корневых ссылок сервер DNS изначально снабжен их списком, с именами и адресами. Cписок хранится в файле cache.dns и его можно увидеть (и, при необходимости, отредактировать) на вкладке Root Hints свойств сервера DNS. Сервер Microsoft DNS такжеспособен актуализовывать этот список, обращаясь к любому из корневых серверов (впрочем, меняется этот список довольно редко).

     А по поводу nslookup - это надо смотреть конкретный случай: случаи разные бывают.    

    Слава России!


    • Изменено M.V.V. _ 17 сентября 2020 г. 1:30
    17 сентября 2020 г. 1:29
  • вот эти

    17 сентября 2020 г. 9:58
  • не выполнил. а надо?
    17 сентября 2020 г. 9:59
  • не выполнил. а надо?

    Чисто по желанию.

    А с этой проблемой они вряд ли связаны (если сделать аккуратно, конечно).


    Слава России!


    • Изменено M.V.V. _ 17 сентября 2020 г. 10:52
    17 сентября 2020 г. 10:41