none
Проблема с заведением в домен. RRS feed

  • Вопрос

  • Всем привет!!

    Спецы имеется проблема, точного решения конечно не жду, ниже опишу почему.

    Организовался у нас филиальчик недалеко. Подключение по ipsec(cisco<>cisco). Изначально завели в домен всего пару ПК в новой подсети. Всем норм. Но как только привезли туда порядка 30 машин и начали вводить их в домен проявилась странная проблема - ввод в домен происходил либо с первого либо с пятого раза. Периодически возникала ошибка "не найден сетевой путь".

    Подсеть выделенная для этого филиала, ранее использовалась в другом филиале(ликвидированном). Сайт под эту сеть также был заведен ранее. ДНС-записи относящиеся к этому сайту(т.е. контроллеры домена в старом филиале) были удалены. Все равно ошибка проявляется. Во вновь образованном филиале КД нет. DHCP на маршрутизаторе раздает ip-адреса ДНС в основном филилале.

    23 сентября 2016 г. 6:40

Ответы

  • Ваше лекарство может оказаться хуже болезни.

    Недавно в этой теме обсуждалось такое глобальное решение - точнее, его последствия в виде невозможности ввода в домен компьютеров в сайте, для которого политикой регистрации запрещена регистрация записей обнаружения на общедоменном уровне (не на уровне сайта) в случае обрыва связи с сайтом, для которых регистрация разрешена.

    PS Кстати, не надо бы вводить других в заблуждение: записи локатора контроллера домена - это не те которые "same as parent folder", а вовсе даже записи типа SRV с соответствующим именем (отнюдь не совпадающим с именем домена), а термин glue record вообще относится к записям, нужным не для поиска контроллеров домена, а для обнаружения серверов делегированной подзоны DNS.


    Слава России!

    25 сентября 2016 г. 23:28

Все ответы

  • каким образом удалялся старые КД и что конретно удалялось из ДНС при удалении контроллера?
    • Изменено Svolotch 23 сентября 2016 г. 8:10
    23 сентября 2016 г. 8:09
  • Возможно, у вас проблема с маршрутизацией. Воспроизведите проблему с запущенным сниффером (например, Wireshark) на ПК, который вводите в домен. Посмотрите, куда он пытается получить доступ и какой ответ получает.
    23 сентября 2016 г. 8:15
  • Вкратце NTDSUtil,потом удаление записей в ДНС.

    Я тоже больше к проблеме с маршрутизацией склоняюсь. Но все равно есть сомнения, когда не понимаешь ситуацию до конца.

    23 сентября 2016 г. 11:29
  • У вас, случаем, не та ситуация, когда в домене много контроллеров, но большинство из них недоступно из-за отсутствия маршрутизации к тем подсетям, где они расположены?

    В таком случае проблема вполне ожидаемая. При вводе в домен контроллер выбирается случайно из всего списка для всех сайтов: Windows ещё не знает в этот момент, в каком сайте находится компьютер, т.к. получает она эту информацию от контроллера домена. Если большая часть контроллеров недоступна, то велика вероятность, что при поиске будет выбрано несколько подряд недоступных контроллеров, и операция ввода завершится неуспешно.


    Слава России!

    23 сентября 2016 г. 12:46
  • Вот блин мысль, близкая. Спасибо огромное.Ситуацию правильно описываете,походу так оно и есть. Просто не знал эту деталь, что поиск идет по списку всех ДК домена.
    23 сентября 2016 г. 14:16
  • Можете попробовать добавлять компьютеры в домен через Powershell - там в команде Add-Computer есть параметр Server, указывающий контроллер домена, используемый для добавления:

    Add-Computer имя.домена -Server имя.контроллера.домена


    Слава России!

    23 сентября 2016 г. 15:02
  • Глобально проблема решается настройкой политик регистрации DNS записей службой NetLogon на контроллерах. При вводе в домен компьютеры используют контроллеры для которых есть DNS записи same as parent folder (glue records). Подробно почитать можно погуглив "netlogon site specific records".
    25 сентября 2016 г. 15:54
  • Ваше лекарство может оказаться хуже болезни.

    Недавно в этой теме обсуждалось такое глобальное решение - точнее, его последствия в виде невозможности ввода в домен компьютеров в сайте, для которого политикой регистрации запрещена регистрация записей обнаружения на общедоменном уровне (не на уровне сайта) в случае обрыва связи с сайтом, для которых регистрация разрешена.

    PS Кстати, не надо бы вводить других в заблуждение: записи локатора контроллера домена - это не те которые "same as parent folder", а вовсе даже записи типа SRV с соответствующим именем (отнюдь не совпадающим с именем домена), а термин glue record вообще относится к записям, нужным не для поиска контроллеров домена, а для обнаружения серверов делегированной подзоны DNS.


    Слава России!

    25 сентября 2016 г. 23:28
  • Спасибо!!

    Наверное буду какую-нибудь машинку ставить в том филиале.Организую им КД.

    26 сентября 2016 г. 5:56