我有两个域控制器,都启用了 DNS/DHCP。两者都是 Windows 2008 R2(不久前从 Windows 2003 迁移而来)。最佳实践分析器似乎显示了几个我无法弄清楚的错误。两个控制器都是只有 1 个 NIC 的虚拟机。第一个 AD 是 192.168.1.16,第二个是 192.168.1.17
DNS servers on <interface> should include the loopback address, but not as the first entry.
我已将 127.0.0.1 作为第三个 DNS 服务器添加到出现问题的接口,但 BPA 仍然会报错。您知道这是为什么吗?Zone PRIVATEZONE secondary servers must respond to queries for the zone.
在我看来 DNS/AD 服务器在辅助控制器上运行良好。我可以从第一个 AD 控制器对其进行 nslookup 并检查外部和内部名称。那么它为什么会抱怨呢?The DNS server 192.168.1.16 on <interface> must resolve names in the forest root domain name zone.
192.168.1.17 和 127.0.0.1 也多次显示(因为已添加)。不确定问题出在哪里,一切似乎都很好?The DNS server 192.168.1.16 on <interface> must resolve names in the primary DNS domain zone
Warning: Zone PRIVATEZONE secondary server 192.168.1.16 should respond to queries for the zone.
192.168.1.17 也出现相同的内容。
DCDIAG shows everything is ok.
repadmin /showrepl <controler2> shows everything is good.
答案1
在阅读了一些有关 BPA 的资料后,我发现 BPA 的抱怨可能太多了。
- 根据到文档, “环回地址应仅配置为域控制器上的辅助或第三 DNS 服务器。” 您已完成此操作。错误失败。
- 此步骤检查“区域传输”选项卡上的服务器列表并检查这些服务器。验证是否仅列出有效的辅助服务器。删除任何不属于的服务器。
- 此处的失败是“网络适配器上配置的 DNS 服务器无法解析林根域名的授权起始 (SOA) 记录”。如果您使用 NSLOOKUP,请将类型设置为 SOA(set type=SOA),看看是否可以获取林根。如果选项卡上的所有 DNS 服务器都可以解析 SOA 记录,则这是错误失败。
- 这与上一点相同,但 DNS 域不同。
- 这将检查“区域传输”选项卡中列出的 DNS 服务器是否有能力解析主要区域。如果第 2 点失败,则这一点也可能失败。
Server 2008R2 的最佳实践分析器文档位于此处:http://technet.microsoft.com/en-us/library/dd392255%28WS.10%29.aspx
为什么会出现假失败的情况?我无法告诉你。如果您已经使用手动方法验证了它有效,那么是时候联系 Microsoft 了。
答案2
当我将域名从单个域名 (companypl) 重命名为 company.pl 时,所有错误都消失了。目前这只是一个测试,但几天后将完成永久重命名。