none
Долго грузятся резервный и основной контроллеры домена RRS feed

  • Вопрос

  • В сети есть два контроллера DC1 и DC2. Когда оба в сети, то перезагрузка одного из контроллеров проходит быстро, а когда один из контроллеров выключен, то перезагрузка одного из них занимает большое количество времени. А при попытки входа через терминал у пользователя на экране сообщение "Клиент групповой политики" и висит минуты 2-3. В логах куча ошибок. Это нормально?

    14 ноября 2012 г. 3:43

Ответы

  • Да, нормально. Когда один DC выключен, а второй - только-только загружается, получается, что в сети нет ни одного работающего DC (и, соответственно, DNS'а, знающего о том, где и какие службы живут). Поэтому, загружающийся контроллер пытается разрешить имена бродкастами.

    Замечу, что ситуация, когда в домене НЕТ НИ ОДНОГО ЖИВОГО контроллера очень неприятна и может потащить за собой проблемы. Особенно, если контроллеры были выключены нештатно. Всегда оставляйте один DC включенным, пока что-то делаете с другим.


    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 4:10
    14 ноября 2012 г. 4:02
  • 127.0.0.1 - это отдельный, специализированный интерфейс (можно сказать, виртуальный). Он существует даже если в системе нет ни одного реального интерфейса. Так что, нельзя говорить, что 127.0.0.1==192.168.0.1. 

    Указывать, наверное, лучше 127.0.0.1. Во-первых, это соответствует рекомендациям Microsoft. Во-вторых, когда-нибудь, через N лет, возможно, что Вы измените адресацию в сети и вместо 192.168.0.1 у вас будет адрес типа 172.16.99.214. А адрес 127.0.0.1 всегда прибит к loopback-интерфейсу.

    Ну и надо убедиться, что служба DNS привязана к loopback-интерфейсу.


    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 8:17
    14 ноября 2012 г. 8:05
  • Понятно, спасибо. А как убедиться что служба DNS привязана к loopback-интерфейсу?

    Зайти в оснастку DNS, по правой кнопке мыши на нужном сервере - "Свойства", там закладка "Интерфейсы". Но, похоже. microsoft'овский DNS всегда привязан к 127.0.0.1. Убедиться на нужном сервер можно так:

    C:\Windows\system32>netstat -an | findstr "LISTEN" | findstr ":53"
    ...
      TCP    127.0.0.1:53           0.0.0.0:0              LISTENING
    ...
    


    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 8:31
    14 ноября 2012 г. 8:25

Все ответы

  • Да, нормально. Когда один DC выключен, а второй - только-только загружается, получается, что в сети нет ни одного работающего DC (и, соответственно, DNS'а, знающего о том, где и какие службы живут). Поэтому, загружающийся контроллер пытается разрешить имена бродкастами.

    Замечу, что ситуация, когда в домене НЕТ НИ ОДНОГО ЖИВОГО контроллера очень неприятна и может потащить за собой проблемы. Особенно, если контроллеры были выключены нештатно. Всегда оставляйте один DC включенным, пока что-то делаете с другим.


    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 4:10
    14 ноября 2012 г. 4:02
  • DNS'а, знающего о том, где и какие службы живут)

    Как так?! А копия зоны DNS, мы посмотрели, все зоны полностью идентичны друг-другу

    И еще вопрос про DNS. В нашей же сети пусть будет DC1(192.168.0.1) и DC2(192.168.0.2). ДНС сервера для DC1 прописаны так: 192.168.0.2, 192.168.0.1, для DC2 - наоборот. На копьютерах в ЛВС: 192.168.0.2, 192.168.0.1. Так вот, если DC2 отключен, то почему при NSLOOKUP, которая запускается из любого копьютера ЛВС пишет нет DNS, должен по списку взять ДНС DC1, т.е. тот который работает? Если в компьютере прописать вначале 192.168.0.1, то начинает работать.
    14 ноября 2012 г. 5:09
  • Зоны DNS, которые имеют отношение к AD, хранятся в AD. Поэтому, прежде, чем поднять DNS, нужно поднять AD. А чтобы поднять AD, нужно найти партнёра по репликации: ведь пока сервер был в дауне AD могла измениться и нужно среплицировать последнюю версию базы AD! Партнёр по репликации ищется через DNS. Поэтому, кстати, и рекомендуется на DC первым в списке DNS указывать партнёра по репликации, а уж потом - себя самого (но не через loopback интерфейс!).

    Теперь про nslookup. При запуске nslookup берёт DNS, который указан первым в списке DNS. И до тех пор, пока вы вручную (в командной строке при запуске или командой SERVER) не укажете nslookup'у, что нужно общаться с иным DNS'ом, он на другой не переключится. Резольвер же операционки работает немного иначе: если через таймаут от первого DNS не получен ответ, будет запрашиваться второй DNS (и этот второй DNS будет с этого момента запрашиваться до тех пор, пока второй DNS отвечает).


    Сергей Панченко

    • Предложено в качестве ответа Faven 23 апреля 2017 г. 9:20
    14 ноября 2012 г. 5:28
  • но не через loopback интерфейс

          Можете уточнить, что такое loopback интерфейс и где он находится? Мы всегда ДНС указываем в свойствах сетевого адаптера, делаем неправильно?
    14 ноября 2012 г. 5:51
  • Вам об этом Best Practice Analyzer рассказывает, когда вы проверяете роль на соответствие рекомендациям. В частности, есть рекомендация включать в настройку ДНС адрес 127.0.0.1 вторым или третьим в списке.

    14 ноября 2012 г. 6:12
    Отвечающий
  • Если 127.0.0.1 = 192.168.0.1, указывать нужно 127.0.0.1 или 192.168.0.1?

    14 ноября 2012 г. 7:05
  • 127.0.0.1 - это отдельный, специализированный интерфейс (можно сказать, виртуальный). Он существует даже если в системе нет ни одного реального интерфейса. Так что, нельзя говорить, что 127.0.0.1==192.168.0.1. 

    Указывать, наверное, лучше 127.0.0.1. Во-первых, это соответствует рекомендациям Microsoft. Во-вторых, когда-нибудь, через N лет, возможно, что Вы измените адресацию в сети и вместо 192.168.0.1 у вас будет адрес типа 172.16.99.214. А адрес 127.0.0.1 всегда прибит к loopback-интерфейсу.

    Ну и надо убедиться, что служба DNS привязана к loopback-интерфейсу.


    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 8:17
    14 ноября 2012 г. 8:05
  • Понятно, спасибо. А как убедиться что служба DNS привязана к loopback-интерфейсу?

    14 ноября 2012 г. 8:17
  • Понятно, спасибо. А как убедиться что служба DNS привязана к loopback-интерфейсу?

    Зайти в оснастку DNS, по правой кнопке мыши на нужном сервере - "Свойства", там закладка "Интерфейсы". Но, похоже. microsoft'овский DNS всегда привязан к 127.0.0.1. Убедиться на нужном сервер можно так:

    C:\Windows\system32>netstat -an | findstr "LISTEN" | findstr ":53"
    ...
      TCP    127.0.0.1:53           0.0.0.0:0              LISTENING
    ...
    


    Сергей Панченко

    • Помечено в качестве ответа Ivan [F.] Petrov 14 ноября 2012 г. 8:31
    14 ноября 2012 г. 8:25
  • Да, все понятно, спасибо.

    14 ноября 2012 г. 8:31