locked
將第二台 DC 降級後卻殘留 SRV 紀錄是否正常? RRS feed

  • 問題

  • 我有兩台 DC,我將 dc1 所有 FSMO 角色與 Global Catalog 都移轉至 dc2 之後,然後將 dc1 降級,但卻發現 dc2 上面的 DNS 卻會殘留許多 dc1 的 SRV 紀錄。

    如下圖示左側紅線圈選起來的 _tcp 節點有殘留 SRV 紀錄,想請問這是正常的狀況嗎?會不會影響日後 AD 的運作?

     

    2010年1月9日 下午 02:01

解答

  • 此問題已解決。

    不會同步的問題是因為我之前將 DC1 變更電腦名稱,而剛剛發現在 DC1 的 DNS 中的 myad.local\_msdcs 下的 NS 紀錄是錯誤的電腦名稱,導致 DC1 的 DNS 異常,因此將 DC1 降級時 DNS 並不會同步!

    當我進入 DNS 將該記錄修正後,所有問題都迎刃而解。

    我剛剛有試著把 DC1 再移除一次,已經確定完全沒問題了!

    感謝各位的協助! ^_^
    • 已提議為解答 AskaSu 2010年1月11日 下午 03:03
    • 已標示為解答 Vincent Lin 2010年1月12日 上午 02:08
    2010年1月11日 下午 02:20

所有回覆

  • 可能是資料還沒有覆寫完成,我在做DC時為了加快執行的速度,就直接把殘留的SRV資料給刪除了.
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月9日 下午 02:04
  • 我有手動強制複寫過才執行降級
    2010年1月9日 下午 02:05
  • 應是降級後才會有殘留資料, 為了加快工作的速度再把殘留的資料刪除.
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月9日 下午 02:08
  • 但是我只剩下壹台 DC 那裡還有「複寫」的動作呢?
    2010年1月9日 下午 02:09
  • 我做的時後是有三台所以有做複寫,若你只有一台,就可以把殘留的資料刪除就可以了.


    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月9日 下午 02:11
  • 謝謝。 我是好奇為什麼會有殘留?我目前能想到的只有 DNS 殘留問題,會不會有其他地方也殘留呢?

    2010年1月9日 下午 02:13
  • 有可能是netlogon沒有重啟所致.

    http://hi.baidu.com/n_chael/blog/item/fbc97ddf5868425c95ee37ee.html


    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月9日 下午 02:20
  • 我已經重啟過了。我是在 dc2 重啟的。
    2010年1月9日 下午 02:20
  • DC1上的DNS已降級後,DC1上的DNS還有在運作嗎?
    若DC1已關機,將它開起來,試著將DNS同步一下看看資料正不正確.

    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月9日 下午 02:30
  • dc1 的 DNS 我已經移除了。而且現在也只剩下壹台 DNS 並無同步問題。
    2010年1月9日 下午 02:32
  • SRV records沒有支源dynamic update.

    A DNS server that supports SRV records but does not support dynamic update must be updated with the contents of the Netlogon.dns file created by the Active Directory Installation wizard while promoting a Windows 2000 Server to a domain controller. The Netlogon.dns file is described in the following section.
    http://www.petri.co.il/active_directory_srv_records.htm
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    • 已提議為解答 Gary Yuan. _ 2010年1月9日 下午 02:40
    • 已取消提議為解答 Will_Huang 2010年1月9日 下午 02:43
    2010年1月9日 下午 02:39
  • 您提供的文字段落的最開頭有寫到:「The Windows 2000 DNS service provides support for both SRV records and dynamic updates. 」

    所以並非 SRV records 沒有支援 dynamic update,而是 non-Windows DNS 可能不支援 dynamic updates.

    完整段落摘要如下:
    The Windows 2000 DNS service provides support for both SRV records and dynamic updates. If a non-Windows 2000 DNS server is being used, verify that it at least supports the SRV resource record. If not, it must be upgraded to a version that does support the use of the SRV resource record. For example, Windows NT Server 4.0 DNS servers must be upgraded to Service Pack 4 or later to support SRV resource records. A DNS server that supports SRV records but does not support dynamic update must be updated with the contents of the Netlogon.dns file created by the Active Directory Installation wizard while promoting a Windows 2000 Server to a domain controller. The Netlogon.dns file is described in the following section.”
    2010年1月9日 下午 02:47
  • 回到你一開始的問題...正常來說透過dcpromo降級時
    該台DC上面指定的DNS Server上面的SRV紀錄會跟著刪除才對

    如果沒有刪除的話麻煩請手動刪除...否則會造成AD環境不穩定
    因為Client端會透過DNS Server去連到一台已經不存在的DC做驗證..會有問題

    至於為什麼會有上面情形發生..可能原因我覺得有下面幾個

      1.你是使用 dcpromo /forceremoval 的方式去做降級
      2.AD環境內的DNS解析或是DNS複寫是有問題的


    至於如何確定AD環境是運作正常的..可以檢查下面幾點

      1.事件檢視器
      2.dcdiag /v

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月11日 上午 05:35
  • 請問Vincent, 若是DNS server沒有安裝在 DC上, 其它台DNS server是用那個權限來做覆寫的動作呢?



    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月11日 上午 06:40
  • Hi Vincent,

    我不確定DNS複寫是否有問題,但我透過 dcpromo 透過精靈設定降級時是沒有錯誤訊息的。

    我剛剛又將該 Member (DC1) 升級成 DC,然後再執行降級一次,這台降級的 DC 重新開機後在 EventLog 中會出現以下錯誤:

    DNS 伺服器發生 Active Directory 的嚴重錯誤。請檢查 Active Directory 是否正常運作。錯誤包含在事件資料中。延伸的錯誤偵錯資訊是 (可能沒有任何資訊) "000020AC: SvcErr: DSID-030F012E, problem 5002 (UNAVAILABLE), data 0"。事件資料包含錯誤。

    而且在 DC2 的 DNS 依然殘留 DC1 的 SRV 紀錄。

    請問這種問題應該如何修復?

    2010年1月11日 上午 07:10
  • 麻煩你在現有的DC上面執行下面指令..並且把輸出結果貼上來看看

    netdom query fsmo

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月11日 上午 07:22
  • 我確定 FSMO 都已經移轉至第二台,且也手動強制複寫過。

    命令輸出結果如下:



    Microsoft Windows [版本 6.1.7600]
    Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

    C:\>netdom query fsmo
    架構主機                    DC2.myad.local
    網域命名主機                DC2.myad.local
    PDC                         DC2.myad.local
    RID 集區管理員              DC2.myad.local
    基礎結構主機                DC2.myad.local
    命令已經成功完成。

    2010年1月11日 上午 07:32
  • fsmo很正常,都已移轉到DC2了!!
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月11日 上午 07:52
  • 有能是你先做dc1降級,未先將DC1的DNS服務給移除.

    所以你的dc2才有移留dc1的srv記錄.

    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月11日 上午 07:53
  • 可以的話提供下面資訊給大家看看

    1.把兩台DC的事件檢視器裡面的項目都點右鍵 - 另存事件

    2.在DC2上面安裝Support Tool , 並執行 dcdiag -v > C:\dcdiag.txt

    把上述兩個動作產生的檔案壓縮後上傳到免費空間(如http://www.badongo.com)
    在把連結貼上來看看

    另外確認一點..兩台DC都是2008嗎?

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月11日 上午 07:58
  • 先提供 dcdiag.txt 如下

    目錄伺服器診斷
    
    
    正在執行初始安裝程式:
    
       嘗試尋找主伺服器...
    
       * 確認本機電腦 DC2 是目錄伺服器。 
       主伺服器 = DC2
    
       * 正在連線到伺服器 DC2 上的目錄服務。
    
       * 識別的 AD 樹系。 
       Collecting AD specific global data 
       * 正在收集站台資訊。
    
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=myad,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded 
       Iterating through the sites 
       Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local
       Getting ISTG and options for the site
       * 正在識別所有伺服器。
    
       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=myad,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers 
       Getting information for the server CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local 
       objectGuid obtained
       InvocationID obtained
       dnsHostname obtained
       site info obtained
       All the info for the server collected
       * 正在識別所有 NC 交互參照。
    
       * 找到 1 個 DC。正在測試其中的 1。
    
       已完成收集初始資訊。
    
    
    正在執行初始的必要測試
    
       
       正在測試伺服器: Default-First-Site-Name\DC2
    
          正在啟動測試: Connectivity
    
             * Active Directory LDAP Services Check
             Determining IP4 connectivity 
             * Active Directory RPC Services Check
             ......................... DC2 通過測試 Connectivity
    
    
    
    正在執行主要測試
    
       
       正在測試伺服器: Default-First-Site-Name\DC2
    
          正在啟動測試: Advertising
    
             The DC DC2 is advertising itself as a DC and having a DS.
             The DC DC2 is advertising as an LDAP server
             The DC DC2 is advertising as having a writeable directory
             The DC DC2 is advertising as a Key Distribution Center
             The DC DC2 is advertising as a time server
             The DS DC2 is advertising as a GC.
             ......................... DC2 通過測試 Advertising
    
          使用者要求略過的測試: CheckSecurityError
    
          使用者要求略過的測試: CutoffServers
    
          正在啟動測試: FrsEvent
    
             * 檔案複寫服務事件記錄檔測試 
             因為伺服器執行的是 DFSR,所以略過測試。
    
             ......................... DC2 通過測試 FrsEvent
    
          正在啟動測試: DFSREvent
    
             The DFS Replication Event Log. 
             在 SYSVOL 開始共用的最近 24 小時之內,發生警告或錯誤事件。 SYSVOL 複寫失敗的問題,可能導致群組原則問題。 
             發生警告事件。EventID: 0x80001396
    
                產生時間: 01/11/2010   14:50:17
    
                事件字串:
    
                DFS 複寫服務因錯誤發生而停止與複寫群組  Domain System Volume 的協力電腦 DC1 進行通訊。服務會 定期重試連線。 
    
                 
    
                其他資訊: 
    
                錯誤: 1723 (RPC 伺服器忙線中,無法完成此操作。) 
    
                連線識別碼: DAD6AA41-2E9F-46C7-BA91-AFA4BC972096 
    
                複寫群組識別碼: 74E34ACC-3A6E-46AA-AC8C-2F3FB74CAE45
    
             發生錯誤事件。EventID: 0xC000138A
    
                產生時間: 01/11/2010   14:50:31
    
                事件字串:
    
                DFS 複寫服務在與複寫群組 Domain System Volume 的協力電腦 DC1 通訊時發生錯誤。 
    
                  
    
                協力電腦 DNS 位址: DC1.myad.local 
    
                 
    
                選用性資料 (如果有的話): 
    
                協力電腦 WINS 位址: DC1 
    
                協力電腦 IP 位址:  
    
                  
    
                服務會定期重試連線。 
    
                 
    
                其他資訊: 
    
                錯誤: 1753 (端點對應表中無更多可用的端點。) 
    
                連線識別碼: DAD6AA41-2E9F-46C7-BA91-AFA4BC972096 
    
                複寫群組識別碼: 74E34ACC-3A6E-46AA-AC8C-2F3FB74CAE45
    
             ......................... DC2 未通過測試 DFSREvent
    
          正在啟動測試: SysVolCheck
    
             * 檔案複寫服務 SYSVOL 準備測試 
             檔案複寫服務的 SYSVOL 已經就緒 
             ......................... DC2 通過測試 SysVolCheck
    
          正在啟動測試: KccEvent
    
             * The KCC Event log test
             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... DC2 通過測試 KccEvent
    
          正在啟動測試: KnowsOfRoleHolders
    
             Role Schema Owner = CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local
             Role Domain Owner = CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local
             Role PDC Owner = CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local
             Role Rid Owner = CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local
             ......................... DC2 通過測試 KnowsOfRoleHolders
    
          正在啟動測試: MachineAccount
    
             Checking machine account for DC DC2 on DC DC2.
             * SPN found :LDAP/DC2.myad.local/myad.local
             * SPN found :LDAP/DC2.myad.local
             * SPN found :LDAP/DC2
             * SPN found :LDAP/DC2.myad.local/MYAD
             * SPN found :LDAP/4598c88b-d741-4065-8478-cce99727a40e._msdcs.myad.local
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/4598c88b-d741-4065-8478-cce99727a40e/myad.local
             * SPN found :HOST/DC2.myad.local/myad.local
             * SPN found :HOST/DC2.myad.local
             * SPN found :HOST/DC2
             * SPN found :HOST/DC2.myad.local/MYAD
             * SPN found :GC/DC2.myad.local/myad.local
             ......................... DC2 通過測試 MachineAccount
    
          正在啟動測試: NCSecDesc
    
             * Security Permissions check for all NC's on DC DC2.
             * 安全性權限檢查
    
               DC=ForestDnsZones,DC=myad,DC=local
                (NDNC,Version 3)
             * 安全性權限檢查
    
               DC=DomainDnsZones,DC=myad,DC=local
                (NDNC,Version 3)
             * 安全性權限檢查
    
               CN=Schema,CN=Configuration,DC=myad,DC=local
                (Schema,Version 3)
             * 安全性權限檢查
    
               CN=Configuration,DC=myad,DC=local
                (Configuration,Version 3)
             * 安全性權限檢查
    
               DC=myad,DC=local
                (Domain,Version 3)
             ......................... DC2 通過測試 NCSecDesc
    
          正在啟動測試: NetLogons
    
             * Network Logons Privileges Check
             Verified share \\DC2\netlogon
             Verified share \\DC2\sysvol
             ......................... DC2 通過測試 NetLogons
    
          正在啟動測試: ObjectsReplicated
    
             DC2 is in domain DC=myad,DC=local
             Checking for CN=DC2,OU=Domain Controllers,DC=myad,DC=local in domain DC=myad,DC=local on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local in domain CN=Configuration,DC=myad,DC=local on 1 servers
                Object is up-to-date on all servers.
             ......................... DC2 通過測試 ObjectsReplicated
    
          使用者要求略過的測試: OutboundSecureChannels
    
          正在啟動測試: Replications
    
             * Replications Check
             * Replication Latency Check
                DC=ForestDnsZones,DC=myad,DC=local
                   Latency information for 2 entries in the vector were ignored.
                      2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=DomainDnsZones,DC=myad,DC=local
                   Latency information for 2 entries in the vector were ignored.
                      2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                CN=Schema,CN=Configuration,DC=myad,DC=local
                   Latency information for 2 entries in the vector were ignored.
                      2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                CN=Configuration,DC=myad,DC=local
                   Latency information for 2 entries in the vector were ignored.
                      2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=myad,DC=local
                   Latency information for 2 entries in the vector were ignored.
                      2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
             ......................... DC2 通過測試 Replications
    
          正在啟動測試: RidManager
    
             * Available RID Pool for the Domain is 2600 to 1073741823
             * DC2.myad.local is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 1600 to 2099
             * rIDPreviousAllocationPool is 1600 to 2099
             * rIDNextRID: 1602
             ......................... DC2 通過測試 RidManager
    
          正在啟動測試: Services
    
             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: DFSR
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... DC2 通過測試 Services
    
          正在啟動測試: SystemLog
    
             * The System Event log test
             Found no errors in "System" Event log in the last 60 minutes.
             ......................... DC2 通過測試 SystemLog
    
          使用者要求略過的測試: Topology
    
          使用者要求略過的測試: VerifyEnterpriseReferences
    
          正在啟動測試: VerifyReferences
    
             系統物件參照 (serverReference)
    
             CN=DC2,OU=Domain Controllers,DC=myad,DC=local 與
    
             CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local
    
             的返回連結正確。 
             系統物件參照 (serverReferenceBL)
    
             CN=WIN-1SULL4RUMN3,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=myad,DC=local
    
             與
    
             CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=myad,DC=local
    
             的返回連結正確。 
             系統物件參照 (msDFSR-ComputerReferenceBL)
    
             CN=WIN-1SULL4RUMN3,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=myad,DC=local
    
             與 CN=DC2,OU=Domain Controllers,DC=myad,DC=local 的返回連結正確。 
             ......................... DC2 通過測試 VerifyReferences
    
          使用者要求略過的測試: VerifyReplicas
    
       
          使用者要求略過的測試: DNS
    
          使用者要求略過的測試: DNS
    
       
       正在執行分割測試的位置 : ForestDnsZones
    
          正在啟動測試: CheckSDRefDom
    
             ......................... ForestDnsZones 通過測試 CheckSDRefDom
    
          正在啟動測試: CrossRefValidation
    
             ......................... ForestDnsZones 通過測試 CrossRefValidation
    
       
       正在執行分割測試的位置 : DomainDnsZones
    
          正在啟動測試: CheckSDRefDom
    
             ......................... DomainDnsZones 通過測試 CheckSDRefDom
    
          正在啟動測試: CrossRefValidation
    
             ......................... DomainDnsZones 通過測試 CrossRefValidation
    
       
       正在執行分割測試的位置 : Schema
    
          正在啟動測試: CheckSDRefDom
    
             ......................... Schema 通過測試 CheckSDRefDom
    
          正在啟動測試: CrossRefValidation
    
             ......................... Schema 通過測試 CrossRefValidation
    
       
       正在執行分割測試的位置 : Configuration
    
          正在啟動測試: CheckSDRefDom
    
             ......................... Configuration 通過測試 CheckSDRefDom
    
          正在啟動測試: CrossRefValidation
    
             ......................... Configuration 通過測試 CrossRefValidation
    
       
       正在執行分割測試的位置 : myad
    
          正在啟動測試: CheckSDRefDom
    
             ......................... myad 通過測試 CheckSDRefDom
    
          正在啟動測試: CrossRefValidation
    
             ......................... myad 通過測試 CrossRefValidation
    
       
       正在執行企業測試的位置 : myad.local
    
          使用者要求略過的測試: DNS
    
          使用者要求略過的測試: DNS
    
          正在啟動測試: LocatorCheck
    
             GC 名稱: \\DC2.myad.local
    
             Locator Flags: 0xe00031fd
             PDC Name: \\DC2.myad.local
             Locator Flags: 0xe00031fd
             Time Server Name: \\DC2.myad.local
             Locator Flags: 0xe00031fd
             Preferred Time Server Name: \\DC2.myad.local
             Locator Flags: 0xe00031fd
             KDC Name: \\DC2.myad.local
             Locator Flags: 0xe00031fd
             ......................... myad.local 通過測試 LocatorCheck
    
          正在啟動測試: Intersite
    
             跳過站台 Default-First-Site-Name,這個站台所在的領域,位在提供命令列所輸入的參數之外。 
             ......................... myad.local 通過測試 Intersite
    
    
    2010年1月11日 上午 08:04
  • 此問題已解決。

    不會同步的問題是因為我之前將 DC1 變更電腦名稱,而剛剛發現在 DC1 的 DNS 中的 myad.local\_msdcs 下的 NS 紀錄是錯誤的電腦名稱,導致 DC1 的 DNS 異常,因此將 DC1 降級時 DNS 並不會同步!

    當我進入 DNS 將該記錄修正後,所有問題都迎刃而解。

    我剛剛有試著把 DC1 再移除一次,已經確定完全沒問題了!

    感謝各位的協助! ^_^
    • 已提議為解答 AskaSu 2010年1月11日 下午 03:03
    • 已標示為解答 Vincent Lin 2010年1月12日 上午 02:08
    2010年1月11日 下午 02:20