none
Active Directory - Проблемы с DNS

    Вопрос

  • Здравствуйте!

    Буду очень благодарен за помощь. Пару дней назад на контроллере домена (единственный кд) в тестовой инфраструктуре начались проблемы.

    Изначально пошел небольшой рассинхрон времени с кд (2 минуты), оказалось он перестал объявлять себя источником точного времени (предупреждение 142. Источник события: Time-Service). Проблемы поправил, создав отдельную GPO для кд, в которой все настроил по статье https://social.technet.microsoft.com/wiki/contents/articles/18573.time-synchronization-in-active-directory-forests.aspx Другие проблемы описываю ниже.

    Симптомы на кд:

    - предупреждение 134, источник Time-Service: NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения DNS-имен на "1.ru.pool.ntp.org,". NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Этот хост неизвестен. (0x80072AF9)

    - предупреждение 10154, источник Windows Remote Management: 

    Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/DC01.sc.local, WSMAN/DC01. 
     Дополнительные данные 
     Была получена ошибка "1355": %%1355.
     Действия пользователя 
     Имена участников-служб можно создать под учетной записью администратора с помощью служебной программы setspn.exe.

    - предупреждение 1014, источник DNS Client Events: Разрешение имен для имени _ldap._tcp.dc._msdcs.sc.local. истекло после отсутствия ответа от настроенных серверов DNS.

    Но это все только после загрузки системы, дальше ни ошибок, ни предупреждений нет.

    На клиентах

    - предупреждение 8015, источник DNS Client Events (каждую минуту или чаще):

                 

    Системе не удалось зарегистрировать записи ресурсов узла (А или АААА) для сетевого адаптера
    со следующими параметрами:
               Имя адаптера: {436CFD34-B0FB-4EBC-A0A8-E6A630D4F5DC}
               Имя узла: RRAS01
               Суффикс основного домена: sc.local
               Список DNS-серверов:
    172.16.0.10
               Отправка обновления на сервер: <?>
               IP-адреса:
                 172.16.0.2
    Не удалось зарегистрировать эти записи ресурсов, так как для запроса на обновление, отправленного на DNS-сервер, истекло время ожидания. Наиболее вероятная причина: сейчас не работает DNS-сервер, полномочный для имени, которое подлежит регистрации или обновлению.
    Вы можете попробовать зарегистрировать в DNS сетевой адаптер и его параметры вручную; для этого введите в командной строке команду "ipconfig /registerdns". Если проблему устранить не удастся, обратитесь к администратору DNS-сервера или сети.

    - предупреждение 1014, источник DNS Client Events (каждую минуту или чаще): Разрешение имен для имени _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.sc.local. истекло после отсутствия ответа от настроенных серверов DNS.

    - предупреждение 129, источник Time-Service: NTP-клиенту не удалось задать узел домена в качестве источника времени из-за ошибки обнаружения. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент не найден. (0x800706E1)

    При попытке выполнить gpupdate:

    Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки: Сбой обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Как только компьютеру удастся подключиться к контроллеру домена и групповая политика будет обработана успешно, будет создано сообщение об успехе. Если это сообщение не появляется в течение не скольких часов, обратитесь к администратору.

    ...

    Клиенты (имеется в виду другие серверы, не кд) как будто находятся вообще вне домена, у них даже профиль брандмауэра выставлен как частный, а не доменный. При этом адрес с dhcp (который расположен на кд) они получают, пропинговать по адресу тоже могут (при пингах по домену имена, в том числе и самого кд, разрешаются не всегда, но через nslookup все нормально)

    Вывод dcdiag с кд:

    Диагностика сервера каталогов
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = DC01
       * Определен лес AD. 
       Сбор начальных данных завершен.
    Выполнение обязательных начальных проверок
       Сервер проверки: Default-First-Site-Name\DC01
          Запуск проверки: Connectivity
             ......................... DC01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
       Сервер проверки: Default-First-Site-Name\DC01
          Запуск проверки: Advertising
             ......................... DC01 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... DC01 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... DC01 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... DC01 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             Возникло предупреждение. Код события (EventID): 0x80000603
                Время создания: 03/29/2017   19:02:34
                Строка события:
                Доменным службам Active Directory не удается отключить программный кэш записи на следующий жесткий диск. 
             Возникло предупреждение. Код события (EventID): 0x80000B46
                Время создания: 03/29/2017   19:02:46
                Строка события:
                Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые  выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность. 
    
             ......................... DC01 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... DC01 - пройдена проверка KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... DC01 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             ......................... DC01 - пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... DC01 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... DC01 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... DC01 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... DC01 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... DC01 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x80040020
                Время создания: 03/29/2017   19:02:34
                Строка события:
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен буфер записи. В результате возможно повреждение данных.
             Возникло предупреждение. Код события (EventID): 0x80040020
                Время создания: 03/29/2017   19:02:34
                Строка события:
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен буфер записи. В результате возможно повреждение данных.
             Возникло предупреждение. Код события (EventID): 0x80040020
                Время создания: 03/29/2017   19:02:34
                Строка события:
                Драйвер обнаружил, что для устройства \Device\Harddisk0\DR0 включен буфер записи. В результате возможно повреждение данных.
             Возникло предупреждение. Код события (EventID): 0x000003F6
                Время создания: 03/29/2017   19:02:37
                Строка события:
                Разрешение имен для имени _ldap._tcp.dc._msdcs.sc.local. истекло после отсутствия ответа от настроенных серверов DNS.
             Возникло предупреждение. Код события (EventID): 0x000727AA
                Время создания: 03/29/2017   19:03:05
                Строка события:
                Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/DC01.sc.local, WSMAN/DC01. 
             Возникло предупреждение. Код события (EventID): 0x00000086
                Время создания: 03/29/2017   19:03:05
                Строка события:
                NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения DNS-имен на "0.ru.pool.ntp.org,". NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Этот хост неизвестен. (0x80072AF9)
             Возникло предупреждение. Код события (EventID): 0x00000086
                Время создания: 03/29/2017   19:03:05
                Строка события:
                NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения DNS-имен на "1.ru.pool.ntp.org,". NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Этот хост неизвестен. (0x80072AF9)
             Возникло предупреждение. Код события (EventID): 0x00002724
                Время создания: 03/29/2017   19:03:09
                Строка события:
                Этому компьютеру назначен по крайней мере один динамический IPv6-адрес. Для надежной работы DHCPv6-сервера следует использовать только статические IPv6-адреса.
             ......................... DC01 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... DC01 - пройдена проверка VerifyReferences
       
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
       
       Выполнение проверок разделов на: sc
          Запуск проверки: CheckSDRefDom
             ......................... sc - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... sc - пройдена проверка CrossRefValidation
       
       Выполнение проверок предприятия на: sc.local
          Запуск проверки: LocatorCheck
             ......................... sc.local - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... sc.local - пройдена проверка Intersite


    29 марта 2017 г. 17:12

Ответы

  • nslookup работает. На кд с портами все хорошо - проблемы стали появляться 3 дня назад, при этом никаких изменений на кд не выполнялось (был лишь перезагружен хост виртуализации с установкой обновлений системы. Виртуалки при этом сохранялись, как вариант может быть это могло повлиять).

    nslookup на клиенте ответ возвращает:

    _ldap._tcp.dc._msdcs.sc.local   SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = dc01.sc.local
    dc01.sc.local   internet address = 172.16.0.10

    Resolve-DNSName - нет (сброс кэша днс результата не дает):

    Resolve-DNSName : _ldap._tcp.dc._msdcs.sc.local : Возврат из операции произошел из-за превышения времени ожидания
    строка:1 знак:1
    + Resolve-DNSName -Name _ldap._tcp.dc._msdcs.sc.local -Type SRV
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OperationTimeout: (_ldap._tcp.dc._msdcs.sc.local:String) [Resolve-DnsName], Win32Excepti
       on
        + FullyQualifiedErrorId : ERROR_TIMEOUT,Microsoft.DnsClient.Commands.ResolveDnsName
    На кд разрешение имен обоими способами работает.


    Налицо либо использование резолвером некоего другого механизма поиска, либо просто глюк.

    Другой механизм - это Name Resolution Policy Table (NRPT), настраивается он обычно через политику. Проверьте командой Get-DNSClientNRPTPolicy из powershell, не используется ли он у вас.

    Ну, а первый способ борьбы с глюком - перезагрузка. Делали?


    Слава России!

    • Помечено в качестве ответа newbieuser 30 марта 2017 г. 18:50
    30 марта 2017 г. 9:05

Все ответы

  • 1. Выполните dcdiag /test:DNS /v на контроллере домена для проверки работы DNS

    2. Уточните в событии на клиенте есть IP-адреса: что это за адреса? Неплохо было бы, кстати, посмотреть настройки серверов DNS на клиенте - нет ли там серверов, не знающих про домен?


    Слава России!

    29 марта 2017 г. 19:06
  • 1. Вывод команды:

    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       * Проверка, является ли локальный компьютер DC01 сервером каталогов. 
       Основной сервер = DC01
       * Подключение к службе каталога на сервере DC01.
       * Определен лес AD. 
       Collecting AD specific global data 
       * Сбор сведений о сайте.
    
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=sc,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded 
       Iterating through the sites 
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sc,DC=local
       Getting ISTG and options for the site
       * Выполнение идентификации всех серверов.
    
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=sc,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers 
       Getting information for the server CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sc,DC=local 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * Идентификация всех перекрестных ссылок NC.
       * Найдено 1 DC (контроллеров домена). Проверка 1 из них.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
       
       Сервер проверки: Default-First-Site-Name\DC01
          Запуск проверки: Connectivity
             * Active Directory LDAP Services Check
             Determining IP4 connectivity 
             * Active Directory RPC Services Check
             ......................... DC01 - пройдена проверка Connectivity
    
    Выполнение основных проверок
       
       Сервер проверки: Default-First-Site-Name\DC01
          Проверка пропущена по запросу пользователя: Advertising
          Проверка пропущена по запросу пользователя: CheckSecurityError
          Проверка пропущена по запросу пользователя: CutoffServers
          Проверка пропущена по запросу пользователя: FrsEvent
          Проверка пропущена по запросу пользователя: DFSREvent
          Проверка пропущена по запросу пользователя: SysVolCheck
          Проверка пропущена по запросу пользователя: KccEvent
          Проверка пропущена по запросу пользователя: KnowsOfRoleHolders
          Проверка пропущена по запросу пользователя: MachineAccount
          Проверка пропущена по запросу пользователя: NCSecDesc
          Проверка пропущена по запросу пользователя: NetLogons
          Проверка пропущена по запросу пользователя: ObjectsReplicated
          Проверка пропущена по запросу пользователя: OutboundSecureChannels
          Проверка пропущена по запросу пользователя: Replications
          Проверка пропущена по запросу пользователя: RidManager
          Проверка пропущена по запросу пользователя: Services
          Проверка пропущена по запросу пользователя: SystemLog
          Проверка пропущена по запросу пользователя: Topology
          Проверка пропущена по запросу пользователя: VerifyEnterpriseReferences
          Проверка пропущена по запросу пользователя: VerifyReferences
          Проверка пропущена по запросу пользователя: VerifyReplicas
       
          Запуск проверки: DNS
    
             Проверки DNS выполняются без зависания. Подождите несколько минут...
             See DNS test in enterprise tests section for results
             ......................... DC01 - пройдена проверка DNS
    
       Выполнение проверок разделов на: ForestDnsZones
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок разделов на: DomainDnsZones
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок разделов на: Schema
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок разделов на: Configuration
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок разделов на: sc
          Проверка пропущена по запросу пользователя: CheckSDRefDom
          Проверка пропущена по запросу пользователя: CrossRefValidation
       
       Выполнение проверок предприятия на: sc.local
          Запуск проверки: DNS
             Результаты проверки контроллеров домена:
                Контроллер домена: DC01.sc.local
                Домен: sc.local
                      
                   TEST: Authentication (Auth)
                      Тест проверки подлинности: завершен успешно
                      
                   TEST: Basic (Basc)
                      ОС
                      Microsoft Windows Server 2012 R2 Datacenter (Service Pack level: 0.0)
                      поддерживается.
                      NETLOGON служба запущена.
                      kdc служба запущена.
                      DNSCACHE служба запущена.
                      DNS служба запущена.
                      DC является DNS-сервером
                      Сведения о сетевых адаптерах:
                      Адаптер [00000009] Сетевой адаптер Hyper-V (Майкрософт):
                         MAC address is 00:15:5D:18:9D:1E
                         IP-адрес является статическим 
                         IP address: 172.16.0.10
                         DNS-серверы:
    
                            172.16.0.10 (dc01.sc.local.) [Valid]
                      The A host record(s) for this DC was found
                      The SOA record for the Active Directory zone was found
                      The Active Directory zone on this DC/DNS server was found primary
                      Root zone on this DC/DNS server was not found
                      
                   TEST: Forwarders/Root hints (Forw)
                      Recursion is enabled
                      Forwarders Information: 
                         77.72.120.6 (<name unavailable>) [Valid] 
                         77.72.121.6 (<name unavailable>) [Valid] 
                      
                   TEST: Delegations (Del)
                      Delegation information for the zone: sc.local.
                         Delegated domain name: _msdcs.sc.local.
                            DNS server: dc01.sc.local. IP:172.16.0.10 [Valid]
                      
                   TEST: Dynamic update (Dyn)
                      Test record dcdiag-test-record added successfully in zone sc.local
                      Warning: Failed to delete the test record dcdiag-test-record in zone sc.local
                      [Error details: 9505 (Type: Win32 - Description: Небезопасный пакет DNS.)]
                      
                   TEST: Records registration (RReg)
                      Сетевой адаптер
    
                      [00000009] Сетевой адаптер Hyper-V (Майкрософт):
    
                         Matching CNAME record found at DNS server 172.16.0.10:
                         dc77fbbd-aa27-4e41-95b5-477c512e108b._msdcs.sc.local
    
                         Matching A record found at DNS server 172.16.0.10:
                         DC01.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _ldap._tcp.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _ldap._tcp.f01b7f23-4a71-4cf5-b519-7a003418009a.domains._msdcs.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _kerberos._tcp.dc._msdcs.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _ldap._tcp.dc._msdcs.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _kerberos._tcp.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _kerberos._udp.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _kpasswd._tcp.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _ldap._tcp.Default-First-Site-Name._sites.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _kerberos._tcp.Default-First-Site-Name._sites.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _ldap._tcp.gc._msdcs.sc.local
    
                         Matching A record found at DNS server 172.16.0.10:
                         gc._msdcs.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _gc._tcp.Default-First-Site-Name._sites.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.sc.local
    
                         Matching  SRV record found at DNS server 172.16.0.10:
                         _ldap._tcp.pdc._msdcs.sc.local
    
             Отчет о результатах проверки DNS-серверов, используемых приведенными
    
             выше контроллерами домена:
    
                DNS-сервер: 172.16.0.10 (dc01.sc.local.)
                   Все проверки для данного DNS-сервера пройдены
                   Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered 
                   DNS delegation for the domain  _msdcs.sc.local. is operational on IP 172.16.0.10
                   
                DNS-сервер: 77.72.120.6 (<name unavailable>)
    
                   Все проверки для данного DNS-сервера пройдены
                  
                DNS-сервер: 77.72.121.6 (<name unavailable>)
    
                   Все проверки для данного DNS-сервера пройдены
                   
             Отчет по результатам проверки DNS:
             
                                                Auth Basc Forw Del  Dyn  RReg Ext
                _________________________________________________________________
                Домен: sc.local
    
                   DC01                         PASS PASS PASS PASS WARN PASS n/a  
             
             ......................... sc.local - пройдена проверка DNS
    
          Проверка пропущена по запросу пользователя: LocatorCheck
          Проверка пропущена по запросу пользователя: Intersite

    2. В событиях на клиенте только предупреждения 1014, 8015 от DNS Client Events, и предупреждения 129 от Time-Service. Никаких адресов там не фигурирует. Если нужно, могу скинуть более подробные описания событий, но частично я уже их вставлял выше.

    часть вывода ipconfig /all с клиента:

    Ethernet adapter Ethernet:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт) #3
       Физический адрес. . . . . . . . . : 00-15-5D-18-9D-1B
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 172.16.0.2(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.128
       Основной шлюз. . . . . . . . . : 172.16.0.1
       DNS-серверы. . . . . . . . . . . : 172.16.0.10
       NetBios через TCP/IP. . . . . . . . : Включен

    Вот конфигурация на сервере:

    Ethernet adapter Ethernet:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)
       Физический адрес. . . . . . . . . : 00-15-5D-18-9D-1E
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 172.16.0.10(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.128
       Основной шлюз. . . . . . . . . : 172.16.0.1
       DNS-серверы. . . . . . . . . . . : 172.16.0.10
       NetBios через TCP/IP. . . . . . . . : Включен

    29 марта 2017 г. 19:20
  • С клиента работает разрешение имен через nslookup например или отваливается по таймауту?
    На dc01 случайно ничего не блокирует обращения по udp 53?
    29 марта 2017 г. 21:36
  • Все настройки выглядят правильно, но ошибки всё равно почему-то присутствуют. Надо рыть дальше.

    Проверьте разрешение того имени, на которое ругается служба DNSClient через nslookup:

    nslookup -type=SRV _ldap._tcp.dc._msdcs.sc.local

    А если клиент имеет версию Win8/Win2012 и выше, то можно проверить разрешение этого имени и через системный резолвер (nslookup им не пользуется, у него свой):

    Resolve-DNSName -Name '_ldap._tcp.dc._msdcs.sc.local ' -Type 'SRV'

    Если проверка через Resolve-DNSName не проходит, попробуйте сбросить кэш DNS (ipconfig /flushdns) и повторить проверку.

    PS Ошибки с применением политики и определением типа сети (сеть 'доменная ' определяется по факту доступности шаблона политики на SYSVOL) - они наведённые, из-за неисправности DNS.


    Слава России!

    29 марта 2017 г. 22:49
  • nslookup работает. На кд с портами все хорошо - проблемы стали появляться 3 дня назад, при этом никаких изменений на кд не выполнялось (был лишь перезагружен хост виртуализации с установкой обновлений системы. Виртуалки при этом сохранялись, как вариант может быть это могло повлиять).

    nslookup на клиенте ответ возвращает:

    _ldap._tcp.dc._msdcs.sc.local   SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = dc01.sc.local
    dc01.sc.local   internet address = 172.16.0.10

    Resolve-DNSName - нет (сброс кэша днс результата не дает):

    Resolve-DNSName : _ldap._tcp.dc._msdcs.sc.local : Возврат из операции произошел из-за превышения времени ожидания
    строка:1 знак:1
    + Resolve-DNSName -Name _ldap._tcp.dc._msdcs.sc.local -Type SRV
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OperationTimeout: (_ldap._tcp.dc._msdcs.sc.local:String) [Resolve-DnsName], Win32Excepti
       on
        + FullyQualifiedErrorId : ERROR_TIMEOUT,Microsoft.DnsClient.Commands.ResolveDnsName
    На кд разрешение имен обоими способами работает.


    • Изменено newbieuser 30 марта 2017 г. 6:21
    30 марта 2017 г. 6:11
  • В каталоге SYSVOL файлы шаблонов политик присутствуют  - не зашифровало их случайно ?  сейчас возросла активность почтовых рассылок с вирусом шифровальщиком

    MCSE:Productivity / MCSA:2012 / MCPS:Exchange2013

    30 марта 2017 г. 7:08
  • Шифрованных файлов нет.

    Если это как-то поможет диагностике (команды выполнялись на рядовом сервере):

    C:\Windows\system32>nltest /dclist:sc.local
    Не удается найти контроллер домена для получения с него списка контроллеров домена.Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
    Команда выполнена успешно.
    
    C:\Windows\system32>nltest /SC_QUERY:sc.local
    Флаги: 0
    Имя доверенного контроллера домена
    Состояние подключения доверенного контроллера домена Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
    Команда выполнена успешно.

    30 марта 2017 г. 7:18
  • nslookup работает. На кд с портами все хорошо - проблемы стали появляться 3 дня назад, при этом никаких изменений на кд не выполнялось (был лишь перезагружен хост виртуализации с установкой обновлений системы. Виртуалки при этом сохранялись, как вариант может быть это могло повлиять).

    nslookup на клиенте ответ возвращает:

    _ldap._tcp.dc._msdcs.sc.local   SRV service location:
              priority       = 0
              weight         = 100
              port           = 389
              svr hostname   = dc01.sc.local
    dc01.sc.local   internet address = 172.16.0.10

    Resolve-DNSName - нет (сброс кэша днс результата не дает):

    Resolve-DNSName : _ldap._tcp.dc._msdcs.sc.local : Возврат из операции произошел из-за превышения времени ожидания
    строка:1 знак:1
    + Resolve-DNSName -Name _ldap._tcp.dc._msdcs.sc.local -Type SRV
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OperationTimeout: (_ldap._tcp.dc._msdcs.sc.local:String) [Resolve-DnsName], Win32Excepti
       on
        + FullyQualifiedErrorId : ERROR_TIMEOUT,Microsoft.DnsClient.Commands.ResolveDnsName
    На кд разрешение имен обоими способами работает.


    Налицо либо использование резолвером некоего другого механизма поиска, либо просто глюк.

    Другой механизм - это Name Resolution Policy Table (NRPT), настраивается он обычно через политику. Проверьте командой Get-DNSClientNRPTPolicy из powershell, не используется ли он у вас.

    Ну, а первый способ борьбы с глюком - перезагрузка. Делали?


    Слава России!

    • Помечено в качестве ответа newbieuser 30 марта 2017 г. 18:50
    30 марта 2017 г. 9:05
  • Добрый вечер!

    Разобрался в чем было дело - криво настроенные политики directaccess, которые были развернуты некоторое время назад перед проявлением проблем.

    Для устранения проблем на рядовых серверах выполнил команду:

    Get-ChildItem -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig' | ForEach {Remove-Item $_.pspath}
    M.V.V. _, большое спасибо за помощь! Проблема решена благодаря вам!

    30 марта 2017 г. 18:49