none
Долго грузятся резервный и основной контроллеры домена RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    В сети есть два контроллера DC1 и DC2. Когда оба в сети, то перезагрузка одного из контроллеров проходит быстро, а когда один из контроллеров выключен, то перезагрузка одного из них занимает большое количество времени. А при попытки входа через терминал у пользователя на экране сообщение "Клиент групповой политики" и висит минуты 2-3. В логах куча ошибок. Это нормально?

    14 ноября 2012 г. 3:43
    |

Ответы

  • Question
    Нужно войти
    1
    Нужно войти

    Да, нормально. Когда один DC выключен, а второй - только-только загружается, получается, что в сети нет ни одного работающего DC (и, соответственно, DNS'а, знающего о том, где и какие службы живут). Поэтому, загружающийся контроллер пытается разрешить имена бродкастами.

    Замечу, что ситуация, когда в домене НЕТ НИ ОДНОГО ЖИВОГО контроллера очень неприятна и может потащить за собой проблемы. Особенно, если контроллеры были выключены нештатно. Всегда оставляйте один DC включенным, пока что-то делаете с другим.

    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 4:10
    14 ноября 2012 г. 4:02
    |
  • Question
    Нужно войти
    1
    Нужно войти

    127.0.0.1 - это отдельный, специализированный интерфейс (можно сказать, виртуальный). Он существует даже если в системе нет ни одного реального интерфейса. Так что, нельзя говорить, что 127.0.0.1==192.168.0.1. 

    Указывать, наверное, лучше 127.0.0.1. Во-первых, это соответствует рекомендациям Microsoft. Во-вторых, когда-нибудь, через N лет, возможно, что Вы измените адресацию в сети и вместо 192.168.0.1 у вас будет адрес типа 172.16.99.214. А адрес 127.0.0.1 всегда прибит к loopback-интерфейсу.

    Ну и надо убедиться, что служба DNS привязана к loopback-интерфейсу.

    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 8:17
    14 ноября 2012 г. 8:05
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Понятно, спасибо. А как убедиться что служба DNS привязана к loopback-интерфейсу?

    Зайти в оснастку DNS, по правой кнопке мыши на нужном сервере - "Свойства", там закладка "Интерфейсы". Но, похоже. microsoft'овский DNS всегда привязан к 127.0.0.1. Убедиться на нужном сервер можно так:

    C:\Windows\system32>netstat -an | findstr "LISTEN" | findstr ":53"
...
  TCP    127.0.0.1:53           0.0.0.0:0              LISTENING
...

    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 8:31
    14 ноября 2012 г. 8:25
    |

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти

    Да, нормально. Когда один DC выключен, а второй - только-только загружается, получается, что в сети нет ни одного работающего DC (и, соответственно, DNS'а, знающего о том, где и какие службы живут). Поэтому, загружающийся контроллер пытается разрешить имена бродкастами.

    Замечу, что ситуация, когда в домене НЕТ НИ ОДНОГО ЖИВОГО контроллера очень неприятна и может потащить за собой проблемы. Особенно, если контроллеры были выключены нештатно. Всегда оставляйте один DC включенным, пока что-то делаете с другим.

    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 4:10
    14 ноября 2012 г. 4:02
    |
  • Question
    Нужно войти
    0
    Нужно войти

    DNS'а, знающего о том, где и какие службы живут)

    Как так?! А копия зоны DNS, мы посмотрели, все зоны полностью идентичны друг-другу

    И еще вопрос про DNS. В нашей же сети пусть будет DC1(192.168.0.1) и DC2(192.168.0.2). ДНС сервера для DC1 прописаны так: 192.168.0.2, 192.168.0.1, для DC2 - наоборот. На копьютерах в ЛВС: 192.168.0.2, 192.168.0.1. Так вот, если DC2 отключен, то почему при NSLOOKUP, которая запускается из любого копьютера ЛВС пишет нет DNS, должен по списку взять ДНС DC1, т.е. тот который работает? Если в компьютере прописать вначале 192.168.0.1, то начинает работать.
    14 ноября 2012 г. 5:09
    |
  • Question
    Нужно войти
    1
    Нужно войти

    Зоны DNS, которые имеют отношение к AD, хранятся в AD. Поэтому, прежде, чем поднять DNS, нужно поднять AD. А чтобы поднять AD, нужно найти партнёра по репликации: ведь пока сервер был в дауне AD могла измениться и нужно среплицировать последнюю версию базы AD! Партнёр по репликации ищется через DNS. Поэтому, кстати, и рекомендуется на DC первым в списке DNS указывать партнёра по репликации, а уж потом - себя самого (но не через loopback интерфейс!).

    Теперь про nslookup. При запуске nslookup берёт DNS, который указан первым в списке DNS. И до тех пор, пока вы вручную (в командной строке при запуске или командой SERVER) не укажете nslookup'у, что нужно общаться с иным DNS'ом, он на другой не переключится. Резольвер же операционки работает немного иначе: если через таймаут от первого DNS не получен ответ, будет запрашиваться второй DNS (и этот второй DNS будет с этого момента запрашиваться до тех пор, пока второй DNS отвечает).

    Сергей Панченко

    • Предложено в качестве ответа Faven 23 апреля 2017 г. 9:20
    14 ноября 2012 г. 5:28
    |
  • Question
    Нужно войти
    0
    Нужно войти

    но не через loopback интерфейс

          Можете уточнить, что такое loopback интерфейс и где он находится? Мы всегда ДНС указываем в свойствах сетевого адаптера, делаем неправильно?
    14 ноября 2012 г. 5:51
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Вам об этом Best Practice Analyzer рассказывает, когда вы проверяете роль на соответствие рекомендациям. В частности, есть рекомендация включать в настройку ДНС адрес 127.0.0.1 вторым или третьим в списке.

    14 ноября 2012 г. 6:12
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти

    Если 127.0.0.1 = 192.168.0.1, указывать нужно 127.0.0.1 или 192.168.0.1?

    14 ноября 2012 г. 7:05
    |
  • Question
    Нужно войти
    1
    Нужно войти

    127.0.0.1 - это отдельный, специализированный интерфейс (можно сказать, виртуальный). Он существует даже если в системе нет ни одного реального интерфейса. Так что, нельзя говорить, что 127.0.0.1==192.168.0.1. 

    Указывать, наверное, лучше 127.0.0.1. Во-первых, это соответствует рекомендациям Microsoft. Во-вторых, когда-нибудь, через N лет, возможно, что Вы измените адресацию в сети и вместо 192.168.0.1 у вас будет адрес типа 172.16.99.214. А адрес 127.0.0.1 всегда прибит к loopback-интерфейсу.

    Ну и надо убедиться, что служба DNS привязана к loopback-интерфейсу.

    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 8:17
    14 ноября 2012 г. 8:05
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Понятно, спасибо. А как убедиться что служба DNS привязана к loopback-интерфейсу?

    14 ноября 2012 г. 8:17
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Понятно, спасибо. А как убедиться что служба DNS привязана к loopback-интерфейсу?

    Зайти в оснастку DNS, по правой кнопке мыши на нужном сервере - "Свойства", там закладка "Интерфейсы". Но, похоже. microsoft'овский DNS всегда привязан к 127.0.0.1. Убедиться на нужном сервер можно так:

    C:\Windows\system32>netstat -an | findstr "LISTEN" | findstr ":53"
...
  TCP    127.0.0.1:53           0.0.0.0:0              LISTENING
...

    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 8:31
    14 ноября 2012 г. 8:25
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Да, все понятно, спасибо.

    14 ноября 2012 г. 8:31
    |