locked
找不到 Active Directory 整合 DNS 區域 _msdcs.xxx.com、DNS: 區域 TrustAnchors 次要伺服器必須回應區域的查詢。 RRS feed

  • 問題

  • 2008 R2 ROOTDC 上的dns 出現了幾個Best Practices Analyzer 錯誤,請見底下:

    標題:
    DNS: 區域 TrustAnchors 次要伺服器必須回應區域的查詢。

    嚴重性:
    錯誤

    日期:
    2012/11/19 下午 05:11:54

    類別:
    設定

    問題:
    為區域 TrustAnchors 設定的次要伺服器均沒有回應。

    影響:
    次要伺服器對區域 TrustAnchors 的 DNS 查詢失敗。

    解析度:
    驗證區域 TrustAnchors 的次要伺服器。

    此最佳作法與詳細解決方案程序的詳細資訊: http://go.microsoft.com/fwlink/?LinkId=188791

    ========================================================================

    標題:
    DNS: 區域 _msdcs.csi.com 為 Active Directory 整合 DNS 區域,且必須可供使用。

    嚴重性:
    錯誤

    日期:
    2012/11/19 下午 05:11:54

    類別:
    設定

    問題:
    找不到 Active Directory 整合 DNS 區域 _msdcs.csi.com。

    影響:
    Active Directory 整合區域 _msdcs.csi.com 的 DNS 查詢可能會失敗。

    解析度:
    還原 Active Directory 整合 DNS 區域 _msdcs.csi.com。

    此最佳作法與詳細解決方案程序的詳細資訊: http://go.microsoft.com/fwlink/?LinkId=189238

    =========================================================

    按照 Best Practices Analyzer  的指示到了

    http://technet.microsoft.com/en-us/library/ff807384(WS.10).aspx

    http://technet.microsoft.com/en-us/library/ff807395(WS.10).aspx

    按照步驟操作,重新Best Practices Analyzer  問題依舊。

    目前看來DC間的運作好像沒有影響,就是看到裡面有那些錯誤警告心理會毛毛的,想請問各位先進幫忙判斷一下是哪邊出了錯?謝謝。

    環境說明: Windows 2008 R2 A.D

    站台A: rootdc (192.168.1.10)、dc2(192.168.1.11)

    站台B:dc3 (192.168.2.1)

    站台C:dc4 (192.168.7.1)

    在rootdc上使用 dcdiag /test:dns 指令通過測試,dc2 則出現一堆錯誤

    ==========================================

    正在執行初始的必要測試

       正在測試伺服器: XXX\DC2
          正在啟動測試: Connectivity
             ......................... DC2 通過測試 Connectivity

    正在執行主要測試

       正在測試伺服器: XXX\DC2

          正在啟動測試: DNS

             DNS 測試正在執行,且並非沒有反應。請稍候幾分鐘...
             ......................... DC2 通過測試 DNS

       正在執行分割測試的位置 : ForestDnsZones

       正在執行分割測試的位置 : DomainDnsZones

       正在執行分割測試的位置 : Schema

       正在執行分割測試的位置 : Configuration

       正在執行分割測試的位置 : xxx

       正在執行企業測試的位置 : xxx.com
          正在啟動測試: DNS
             網域控制站的測試結果:

                DC: DC2.xxx.com
                網域: xxx.com


                   TEST: Dynamic update (Dyn)
                      Warning: Failed to add the test record dcdiag-test-record in z
    one xxx.com

             上述網域控制站使用的 DNS 伺服器測試結果摘要:

                DNS 伺服器: 2001:500:1::803f:235 (h.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:1::803f:235

                DNS 伺服器: 2001:500:2d::d (d.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:2d::d

                DNS 伺服器: 2001:500:2f::f (f.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:2f::f

                DNS 伺服器: 2001:500:3::42 (l.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:500:3::42

                DNS 伺服器: 2001:503:ba3e::2:30 (a.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:503:ba3e::2:30

                DNS 伺服器: 2001:503:c27::2:30 (j.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:503:c27::2:30

                DNS 伺服器: 2001:7fd::1 (k.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:7fd::1

                DNS 伺服器: 2001:7fe::53 (i.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:7fe::53

                DNS 伺服器: 2001:dc3::35 (m.root-servers.net.)
                   這部 DNS 伺服器上有 1 個測試失敗
                   PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
    0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server 2001:dc3::35

                   DC2                          PASS PASS PASS PASS WARN PASS n/a
             ......................... xxx.com 通過測試 DNS

    C:\Users\administrator.CSI>

    =====================================================================

    在rootdc 上的 dcdiag 測試:

    目錄伺服器診斷

    正在執行初始安裝程式:
      嘗試尋找主伺服器...
      主伺服器 = rootdc
      * 識別的 AD 樹系。
      已完成收集初始資訊。

    正在執行初始的必要測試

      正在測試伺服器: CSI\ROOTDC
         正在啟動測試: Connectivity
            ......................... ROOTDC 通過測試 Connectivity

    正在執行主要測試

      正在測試伺服器: CSI\ROOTDC
         正在啟動測試: Advertising
            ......................... ROOTDC 通過測試 Advertising
         正在啟動測試: FrsEvent
            ......................... ROOTDC 通過測試 FrsEvent
         正在啟動測試: DFSREvent
            ......................... ROOTDC 通過測試 DFSREvent
         正在啟動測試: SysVolCheck
            ......................... ROOTDC 通過測試 SysVolCheck
         正在啟動測試: KccEvent
            ......................... ROOTDC 通過測試 KccEvent
         正在啟動測試: KnowsOfRoleHolders
            ......................... ROOTDC 通過測試 KnowsOfRoleHolders
         正在啟動測試: MachineAccount
            ......................... ROOTDC 通過測試 MachineAccount
         正在啟動測試: NCSecDesc
            ......................... ROOTDC 通過測試 NCSecDesc
         正在啟動測試: NetLogons
            ......................... ROOTDC 通過測試 NetLogons
         正在啟動測試: ObjectsReplicated
            ......................... ROOTDC 通過測試 ObjectsReplicated
         正在啟動測試: Replications
            ......................... ROOTDC 通過測試 Replications
         正在啟動測試: RidManager
            ......................... ROOTDC 通過測試 RidManager
         正在啟動測試: Services
            ......................... ROOTDC 通過測試 Services
         正在啟動測試: SystemLog
            發生錯誤事件。EventID: 0x00003006
               產生時間: 11/19/2012   17:13:06
               事件字串: SAM 資料庫無法鎖定帳戶 Administrator,因為資源發生錯誤,例如硬碟寫入失敗 (資料中包含指定錯誤碼)。在您提供了數次錯誤的密碼之後,
    帳戶會被鎖定。請重新設定上述帳戶的密碼。
            發生錯誤事件。EventID: 0x00003006
               產生時間: 11/19/2012   17:15:11
               事件字串: SAM 資料庫無法鎖定帳戶 Administrator,因為資源發生錯誤,例如硬碟寫入失敗 (資料中包含指定錯誤碼)。在您提供了數次錯誤的密碼之後,
    帳戶會被鎖定。請重新設定上述帳戶的密碼。
            發生警告事件。EventID: 0x0000168D
               產生時間: 11/19/2012   17:15:51
               事件字串: 對於這個網域控制站的 DNS 網域控制站定位程式記錄,擁有管理權限 的下列 DNS 伺服器,不支援動態 DNS 更新:
            發生警告事件。EventID: 0x0000168D
               產生時間: 11/19/2012   17:26:46
               事件字串: 對於這個網域控制站的 DNS 網域控制站定位程式記錄,擁有管理權限 的下列 DNS 伺服器,不支援動態 DNS 更新:
            發生錯誤事件。EventID: 0xC0002719
               產生時間: 11/19/2012   17:49:35
               事件字串: DCOM 無法使用任何已設定的通訊協定與電腦 168.95.1.1  通訊。
            發生錯誤事件。EventID: 0xC0002719
               產生時間: 11/19/2012   17:49:56
               事件字串: DCOM 無法使用任何已設定的通訊協定與電腦 168.95.192.1  通訊。
            發生錯誤事件。EventID: 0xC0002719
               產生時間: 11/19/2012   17:50:17
               事件字串: DCOM 無法使用任何已設定的通訊協定與電腦 8.8.8.8  通訊。
            發生警告事件。EventID: 0x8000001D
               產生時間: 11/19/2012   17:58:00
               事件字串: 金鑰發佈中心 (KDC) 找不到合適的憑證供智慧卡登入使用,或是無法確認該 KDC 憑證。如果沒有解決這個問題,智慧卡登入可能無法正常運作
    若要修正這個問題,請使用 certutil.exe 來確認現有的 KDC 憑證,或是註冊新的 KDC 憑證。
            ......................... ROOTDC 未通過測試 SystemLog
         正在啟動測試: VerifyReferences
            ......................... ROOTDC 通過測試 VerifyReferences


      正在執行分割測試的位置 : ForestDnsZones
         正在啟動測試: CheckSDRefDom
            ......................... ForestDnsZones 通過測試 CheckSDRefDom
         正在啟動測試: CrossRefValidation
            ......................... ForestDnsZones 通過測試 CrossRefValidation

      正在執行分割測試的位置 : DomainDnsZones
         正在啟動測試: CheckSDRefDom
            ......................... DomainDnsZones 通過測試 CheckSDRefDom
         正在啟動測試: CrossRefValidation
            ......................... DomainDnsZones 通過測試 CrossRefValidation

      正在執行分割測試的位置 : Schema
         正在啟動測試: CheckSDRefDom
            ......................... Schema 通過測試 CheckSDRefDom
         正在啟動測試: CrossRefValidation
            ......................... Schema 通過測試 CrossRefValidation

      正在執行分割測試的位置 : Configuration
         正在啟動測試: CheckSDRefDom
            ......................... Configuration 通過測試 CheckSDRefDom
         正在啟動測試: CrossRefValidation
            ......................... Configuration 通過測試 CrossRefValidation

      正在執行分割測試的位置 : csi
         正在啟動測試: CheckSDRefDom
            ......................... csi 通過測試 CheckSDRefDom
         正在啟動測試: CrossRefValidation
            ......................... csi 通過測試 CrossRefValidation

      正在執行企業測試的位置 : csi.com
         正在啟動測試: LocatorCheck
            ......................... csi.com 通過測試 LocatorCheck
         正在啟動測試: Intersite
            ......................... csi.com 通過測試 Intersite

    :\Windows\System32\dns>

    ================================================================

    dc2 是站台A的第二部DC,之前曾經發生過硬碟壞掉,沒有退出網域。換了一台新的機器就直接重新dcpromo 上去(電腦名稱、IP都沿用),不知道這樣會不會有問題?

    2012年11月19日 上午 10:11

解答

所有回覆

  • 你是否在 DC 的網卡設定中指定中華電信及 Google 的 DNS?
    如果是,請將這些設定拿掉,並將 DNS 指向自己及同 Site 的第二台 DC。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2012年11月20日 上午 03:00
    版主
  • 謝謝您的回覆。

    rootdc網卡的DNS一直是指定192.168.1.11、192.168.1.10

    dc2 為192.168.1.10、192.168.11

    發生錯誤事件。EventID: 0xC0002719
               產生時間: 11/19/2012   17:49:35
               事件字串: DCOM 無法使用任何已設定的通訊協定與電腦 168.95.1.1  通訊。
            發生錯誤事件。EventID: 0xC0002719
               產生時間: 11/19/2012   17:49:56
               事件字串: DCOM 無法使用任何已設定的通訊協定與電腦 168.95.192.1  通訊。
            發生錯誤事件。EventID: 0xC0002719
               產生時間: 11/19/2012   17:50:17
               事件字串: DCOM 無法使用任何已設定的通訊協定與電腦 8.8.8.8  通訊。

    您看到的這三個是在rootdc 內 DNS 的轉寄站設定有這3筆IP。

    2012年11月20日 上午 03:19
  • 如果 DNS 設定都正確,
    依照您的狀況描述,應該是未清除先前故障的 DC 所導致,
    建議直接把現有的 DC2 當做不存在,
    以強制移除的方式清除 DC2。

    詳細作法可以參考微軟 KB216498 文件:如何在網域控制站降級失敗後,移除 Active Directory 中的資料
    或者保哥的文章:如何移除 Active Directory 中已經不存在的網域主控站資料


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2012年11月20日 上午 05:32
    版主
  • 謝謝您~ 我會先按照那兩篇文章做做看,在來回報結果。

    按照保哥的文章從GUI強制刪除後,DC2 我就不需要降級,直接format 重新安裝2008 R2 在升級成DC 就好了嗎?

    另請問上面那張圖rootdc DNS Best Practices Analyzer  出現的錯誤訊息有解嗎?是否因為DC2 未清除乾淨導致的錯誤?


    • 已編輯 張安迪 2012年11月20日 上午 09:41
    2012年11月20日 上午 08:38
  • 希望這個資訊能對您有幫助:Dcom was unable to communicate with the computer

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已提議為解答 AChange 2012年11月21日 上午 09:28
    • 已標示為解答 Andy ChenModerator 2012年11月22日 上午 12:23
    2012年11月20日 上午 09:38
    版主
  • Dcom 的那篇看起來是說firewall 擋住了。

    可是我的Default Domain Controllers Policy 網域設定檔firewall 是關閉的,看來應該不是firewall 造成的?

    2012年11月21日 上午 01:25
  • Dcom 的那篇看起來是說firewall 擋住了。

    可是我的Default Domain Controllers Policy 網域設定檔firewall 是關閉的,看來應該不是firewall 造成的?


    也有可能是公司對外前端有防火牆擋住了,
    不過這要看是不視同一個 Site 的 DC 都有同樣狀況。

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2012年11月21日 上午 02:11
    版主
  • 謝謝您~ 在firewall 打開135 port 後,在dcdiag 一下就好了。

    剩下rootdc 上這兩個錯誤還沒解決了.....

    ===============================================

    標題:
    DNS: 區域 TrustAnchors 次要伺服器必須回應區域的查詢。

    標題:
    DNS: 區域 _msdcs.csi.com 為 Active Directory 整合 DNS 區域,且必須可供使用。

    ===============================================

    DC2 今天來把它強制移除試試看........ 非常感謝您的幫忙

    2012年11月21日 上午 02:44
  • 把DC2 移除之後,重建一個DC1(連DNS),把FSMO從ROOTDC移轉到DC1後,

    『DNS: 區域 TrustAnchors 次要伺服器必須回應區域的查詢。』的錯誤解決了。

    剩下一個

    『DNS: 區域 _msdcs.csi.com 為 Active Directory 整合 DNS 區域,且必須可供使用。』還在苦惱中.....

    2012年11月26日 上午 05:39