我有一个包含 3 个 DC 的域。其中一个开始出现故障,所以我又新建了一个。所有 DC 都运行 Win 2003。
问题:4 台机器之间似乎存在复制问题,但我不知道是什么原因造成的。我尽可能确保所有机器都以相同的方式在 DNS 上注册。
我怎么知道有问题?Nagios 告诉我其他 3 个 DC 出现 KCCEvent 错误,而新机器报告“连接失败”错误。
在新机器上执行时dcdiag报告:主机无法解析为 IP 地址。当我使用 DNS 名称登录时,这似乎很疯狂。我也可以使用此 DNS 名称从其他三台机器 ping 它。
repadmin /showreps新机器显示可以看到其他 3 台机器。在一台旧机器上执行相同操作时,看不到新机器。
我试过netdiag /repair很多次了。但都没成功。
任何机器上都没有运行防火墙。
如果我通过 MMC(在新机器上)查看域信息,则似乎所有信息都是最新的。用户、计算机、DC……全部都在那里。
我很困惑,添加这台新机器时我错过了哪些步骤。有什么建议吗?
编辑:dcdiag 从不工作:
C:\Documents and Settings\Administrator.BME>dcdiag
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\YELLOW
Starting test: Connectivity
The host 312ce6ea-7909-4e15-aff6-45c3d1d9a0d9._msdcs.server.edu could
not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(312ce6ea-7909-4e15-aff6-45c3d1d9a0d9._msdcs.server.edu) couldn't be
resolved, the server name (yellow.server.edu) resolved to the IP
address (10.127.24.79) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... YELLOW failed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\YELLOW
Skipping all tests, because server YELLOW is
not responding to directory service requests
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : bme
Starting test: CrossRefValidation
......................... bme passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... bme passed test CheckSDRefDom
Running enterprise tests on : server.edu
Starting test: Intersite
......................... server.edu passed test Intersite
Starting test: FsmoCheck
......................... server.edu passed test FsmoCheck
dcdiag from working:
P:\>dcdiag
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\AD1
Starting test: Connectivity
......................... AD1 passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\AD1
Starting test: Replications
......................... AD1 passed test Replications
Starting test: NCSecDesc
......................... AD1 passed test NCSecDesc
Starting test: NetLogons
......................... AD1 passed test NetLogons
Starting test: Advertising
......................... AD1 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... AD1 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... AD1 passed test RidManager
Starting test: MachineAccount
......................... AD1 passed test MachineAccount
Starting test: Services
......................... AD1 passed test Services
Starting test: ObjectsReplicated
......................... AD1 passed test ObjectsReplicated
Starting test: frssysvol
......................... AD1 passed test frssysvol
Starting test: frsevent
......................... AD1 passed test frsevent
Starting test: kccevent
......................... AD1 passed test kccevent
Starting test: systemlog
......................... AD1 passed test systemlog
Starting test: VerifyReferences
......................... AD1 passed test VerifyReferences
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : bme
Starting test: CrossRefValidation
......................... bme passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... bme passed test CheckSDRefDom
Running enterprise tests on : server.edu
Starting test: Intersite
......................... server.edu passed test Intersite
Starting test: FsmoCheck
......................... server.edu passed test FsmoCheck
P:\>
答案1
检查新 DC 上的 DNS 设置;确保它正在查询本地 DNS 服务器并能解析其他服务器的名称。您可以解析其名称并不意味着它可以解析其他 DC 的名称,而这很可能就是问题所在。
它有可能使用 NBNS 或 WINS 来解析其他服务器的名称,但不能解析 DNS,反之亦然。
编辑:根据您上面添加的输出,很明显问题出在 DNS 上。检查 DNS 服务器上的日志以查找失败的更新等,并确保新服务器有权进行 DNS 更改(尽管作为 DC 它应该能够执行此操作)。问题不在于服务器的名称没有解析,而是它的 SRV 记录不起作用。
您可以使用 dig (与 BIND(unix 名称守护程序)一起提供,但某个地方还有一个 windows 版本) 来检查在每个 DNS 服务器上 IN SRV 和 IN A 312ce6ea-7909-4e15-aff6-45c3d1d9a0d9._msdcs.server.edu 获得的结果。
答案2
无需 dig 或 nslookup。只需转到 DNS 管理工具并查找 DNS 服务器有哪些记录。执行以下操作:
- 使用 RDP 登录到你的一个 DC
- 启动 DNS 管理工具
- 单击列表中的 DC
- 点击“正向查找区域”
- 点击“_msdcs。(您的域名)”
查看右侧的条目。您的每个 DC 都应该有一个 NS 记录和一个 CNAME 记录。
验证是否存在一条 CNAME 记录,其名称为 312ce6ea-7909-4e15-aff6-45c3d1d9a0d9,数据是 DC 的 FQDN。
从您所说的情况来看,有问题的 DC 缺少记录。确认在“属性”窗口中已为 AD 集成设置了 _msdcs.(您的域)区域。