none
Пропадает доверие между доменами/лесами после перезагрузки RRS feed

  • Вопрос

  • Добрый день, подскажите.

    Имеется два домена - контроллеры на Windows Server 2008 R2.

    Ситуация в том, что при перезагрузке конроллеров первого домена напрочь пропадает доверие, то есть если после перезагрузки контроллера первого домена попытаться зайти на шару какую-либо на этом контроллере возникает ошибка:

    Нет доступа к \\192.168.30.3", Возможно у вас нет прав на использование этого сетевого ресурса. 
    
    Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. 
    

    Далее если зайти на оснастку Домены и доверия этого контроллеры (перезапущенного) и нажать просто на кнопку Доверие - доверие восстанавливается и зайти на шару получается! 

    При этом со вторым доменом проблем нет - перезагрузка контроллеров второго домена не приводит к краху доверия!

    Подскажите как сделать чтобы после перезагрузки снова не нужно было доверие поднимать  ?

    В логах ошибок нет - по команде dcdiag /q все чисто!

    23 марта 2015 г. 16:07

Ответы

  • Тогда подозреваю, что в дополнительной зоне домена fbuz86.local содержатся неправильные записи делегирования (типа NS с именем поддомена)  для зоны поддомена _msdcs этого домена (именно этот поддомен содержит записи SRV, с помощью которых происходит обнаружение контроллера домена).

    Проверьте через консоль управления DNS или командой

    nslookup -type=ns _msdcs.fbuz86.local


    Слава России!

    23 марта 2015 г. 21:52

Все ответы

  • Для начала - проверить разрешение имён DNS из другого домена на  коннтроллерах домена. Это лучше сделать, проверив поиск КД в DNS командой

    nslookup /dnsgetdc:имя.другого.домена


    Слава России!

    23 марта 2015 г. 16:37
  • Имеем из первого домена gsen-xm.local   :

    nslookup
    ╤хЁтхЁ яю єьюыўрэш■:  srv-dc01.gsen-xm.local
    Address:  192.168.0.2
    
    > fbuz86.local
    ╤хЁтхЁ:  srv-dc01.gsen-xm.local
    Address:  192.168.0.2
    
    ╚ь :     fbuz86.local
    Addresses:  192.168.30.1
              192.168.30.2

    Из второго домена fbuz86.local:

    nslookup
    ╤хЁтхЁ яю єьюыўрэш■:  dc01.fbuz86.local
    Address:  192.168.30.1
    
    > gsen-xm.local
    ╤хЁтхЁ:  dc01.fbuz86.local
    Address:  192.168.30.1
    
    ╚ь :     gsen-xm.local
    Addresses:  192.168.0.2
              192.168.0.4

    Указанная команда

    nslookup /dnsgetdc:имя.другого.домена

    не хочет выполняться в консоли!




    23 марта 2015 г. 17:00
  • А вот команда  nltest выдает любопытные результаты:

    nltest /dnsgetdc:fbuz86.local
    Список контроллеров домена в псевдослучайном порядке с учетом приоритетов и весо
    в SRV:
    Не специфический для сайта:
       dc01.fbuz86.local  192.168.30.1
       dc2.fbuz86.local  192.168.30.2
    Команда выполнена успешно.
    
    nltest /dnsgetdc:gsen-xm.local
    ОШИБКА. Сбой DNS-сервера: Status = 9002 0x232a DNS_ERROR_RCODE_SERVER_FAILURE


    23 марта 2015 г. 17:24
  • Результат команды dcdiag /test:dns на контроллере проблемного домена fbuz86.local

    dcdiag /test:dns
    
    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC01
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Default-First-Site-Name\DC01
          Запуск проверки: Connectivity
             ......................... DC01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Default-First-Site-Name\DC01
    
          Запуск проверки: DNS
    
             Проверки DNS выполняются без зависания. Подождите несколько минут...
             ......................... DC01 - пройдена проверка DNS
    
       Выполнение проверок разделов на: ForestDnsZones
    
       Выполнение проверок разделов на: DomainDnsZones
    
       Выполнение проверок разделов на: Schema
    
       Выполнение проверок разделов на: Configuration
    
       Выполнение проверок разделов на: fbuz86
    
       Выполнение проверок предприятия на: fbuz86.local
          Запуск проверки: DNS
             Результаты проверки контроллеров домена:
    
                Контроллер домена: DC01.fbuz86.local
                Домен: fbuz86.local
    
    
                   TEST: Forwarders/Root hints (Forw)
                      Ошибка. Корневые ссылки и серверы пересылки не настроены или
                      повреждены. Убедитесь, что хотя бы один из них работает.
    
             Отчет о результатах проверки DNS-серверов, используемых приведенными
             выше контроллерами домена:
    
                DNS-сервер: 128.63.2.53 (h.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 128.63.2.53
                DNS-сервер: 128.8.10.90 (d.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 128.8.10.90
                DNS-сервер: 192.112.36.4 (g.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.112.36.4
                DNS-сервер: 192.203.230.10 (e.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.203.230.10
                DNS-сервер: 192.228.79.201 (b.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.228.79.201
                DNS-сервер: 192.33.4.12 (c.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.33.4.12
                DNS-сервер: 192.36.148.17 (i.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.36.148.17
                DNS-сервер: 192.5.5.241 (f.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.5.5.241
                DNS-сервер: 192.58.128.30 (j.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 192.58.128.30
                DNS-сервер: 193.0.14.129 (k.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 193.0.14.129
                DNS-сервер: 198.41.0.4 (a.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 198.41.0.4
                DNS-сервер: 199.7.83.42 (l.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 199.7.83.42
                DNS-сервер: 202.12.27.33 (m.root-servers.net.)
                   1 - проверка на данном DNS-сервере не пройдена
                   PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
    S server 202.12.27.33
             Отчет по результатам проверки DNS:
    
                                                Auth Basc Forw Del  Dyn  RReg Ext

    23 марта 2015 г. 18:01
  • Указанная команда

    nslookup /dnsgetdc:имя.другого.домена

    не хочет выполняться в консоли!

    Прошу прощения:

    nltest /dnsgetdc:имя.другого.домена

    PS Впрочем, вы и сами догадались.


    Слава России!



    • Изменено M.V.V. _ 23 марта 2015 г. 19:09
    23 марта 2015 г. 19:04
  • Как настроено разрешение имён для домена gsen-xm.local на DNS-серверах домена fbuz86.local - условная пересылка, зона-заглушка, вторичная зона?

    Слава России!

    23 марта 2015 г. 19:09
  • Как настроено разрешение имён для домена gsen-xm.local на DNS-серверах домена fbuz86.local - условная пересылка, зона-заглушка, вторичная зона?

    Слава России!

    Тип - Дополнительная зона!


    23 марта 2015 г. 19:27
  • Тогда подозреваю, что в дополнительной зоне домена fbuz86.local содержатся неправильные записи делегирования (типа NS с именем поддомена)  для зоны поддомена _msdcs этого домена (именно этот поддомен содержит записи SRV, с помощью которых происходит обнаружение контроллера домена).

    Проверьте через консоль управления DNS или командой

    nslookup -type=ns _msdcs.fbuz86.local


    Слава России!

    23 марта 2015 г. 21:52
  • Тогда подозреваю, что в дополнительной зоне домена fbuz86.local содержатся неправильные записи делегирования (типа NS с именем поддомена)  для зоны поддомена _msdcs этого домена (именно этот поддомен содержит записи SRV, с помощью которых происходит обнаружение контроллера домена).

    Проверьте через консоль управления DNS или командой

    nslookup -type=ns _msdcs.fbuz86.local


    Слава России!

    Очень интересные результаты получаю: 

    Выполняю на контроллере домена gsen-xm.local

    > set q=ns
    > _msdcs.fbuz86.local
    ╤хЁтхЁ:  srv-dc01.gsen-xm.local
    Address:  192.168.0.2
    Не заслуживающий доверия ответ:
    _msdcs.fbuz86.local     nameserver = dc01.fbuz86.local
    dc01.fbuz86.local       internet address = 192.168.30.1

    Выполняю на контроллере домена fbuz86.local

    nslookup
    ╤хЁтхЁ яю єьюыўрэш■:  dc01.fbuz86.local
    Address:  192.168.30.1
    
    > set q=ns
    > _msdcs.gsen-xm.local
    ╤хЁтхЁ:  dc01.fbuz86.local
    Address:  192.168.30.1
    
    Не заслуживающий доверия ответ:
    _msdcs.gsen-xm.local    nameserver = server-ty.gsen-xm.local
    Где server-ty.gsen-xm.local - это старый DC контоллера домена gsen-xm - от которого я давненько избавился понизив до рядового, перенеся все роли fsmo и очистив метаданные. Его можно просто удалить из субдомена _msdcs ?
    24 марта 2015 г. 4:28
  • Вот теперь исправил,

    Выполняю на контроллере домена fbuz86.local

    > set q=ns
    > _msdcs.gsen-xm.local
    ╤хЁтхЁ:  dc01.fbuz86.local
    Address:  192.168.30.1
    
    Не заслуживающий доверия ответ:
    _msdcs.gsen-xm.local    nameserver = srv-dc01.gsen-xm.local
    
    srv-dc01.gsen-xm.local  internet address = 192.168.0.2
    >
    M.V.V. _, вопрос в списке должны быть все контроллеры домена в данном запросе или достаточно одного ?



    24 марта 2015 г. 4:46
  • Вот теперь исправил,

    Выполняю на контроллере домена fbuz86.local

    > set q=ns
    > _msdcs.gsen-xm.local
    ╤хЁтхЁ:  dc01.fbuz86.local
    Address:  192.168.30.1
    
    Не заслуживающий доверия ответ:
    _msdcs.gsen-xm.local    nameserver = srv-dc01.gsen-xm.local
    
    srv-dc01.gsen-xm.local  internet address = 192.168.0.2
    >
    M.V.V. _, вопрос в списке должны быть все контроллеры домена в данном запросе или достаточно одного ?



    P/S После этого начала проходить проверка

    nltest /dnsgetdc:gsen-xm.local
    Список контроллеров домена в псевдослучайном порядке с учетом приоритетов и весо
    в SRV:
    Не специфический для сайта:
       srv-dc02.gsen-xm.local  192.168.0.4
       srv-dc01.gsen-xm.local  192.168.0.2
    Команда выполнена успешно.

    24 марта 2015 г. 6:08

  • M.V.V

    Огромное спасибо за решение вопроса!

    Разобрался теперь все работает как положено и после перезагрузки!!!

    Плюсанул вам и ответ поставил! 

    Огромное спасибо!

    24 марта 2015 г. 7:05