多余的 _msdcs。正向查找区域复制失败,我如何检查它使用了什么?我可以删除它吗?

tag-icon tag-icon windows-server-2008 active-directory windows-dns
多余的 _msdcs。正向查找区域复制失败,我如何检查它使用了什么?我可以删除它吗?

我们在 2008 AD 模式下在 Windows Server 2008 和 2008 R2 上运行 Active Directory。

我们的 DNS 是 AD 的一部分,与全局目录在同一台服务器上运行。

我的前任在 domain.local 中创建了环境(域是替代,.local 不是)

在正向查找区域中,我们有一个名为 domain.local 的容器,其中包含一个有效的 _msdcs 容器。

然而在顶层我们有一个名为 _msdcs.domain.net 的容器(注意,它是同一个域,但是是 .net tld 而不是 .local),这个容器主要包含与 domain.local 内的工作 _msdcs 容器相同的记录,但是有一些细微的差别。

DNS 管理器中的布局示例(声誉点数不足,无法发布图片)

+ Forward Lookup Zones
    - _msdcs.domain.net
        + dc
        + domains
        + gc
        + pdc
    - domain.local
        - _msdcs
            + dc
            + domains
            + gc
            + pdc

我想找到正在使用它的是什么?我想知道它是怎么到那里的?我想删除它或修复它。

我在 _msdcs 上找到的所有 MS 文档都描述了它的用途及其包含的内容,但没有描述为什么在我的正向查找区域顶部会有一个针对除我的 AD 之外的域的单独文档。

================

更新

看起来 AD 已使用 rendom 重命名但尚未清理/完成。

要确认这一点,请使用 sysinternals Active Directory Explorer(小心此工具中有龙)

然后查看此容器(并非显示所有容器,假设您的域是 domain.local)

-servername [servername.domain.local]
    -CN=Configuration,DC=domain,DC=local
          -CN=Partitions
               CN=DOMAIN

对于名为 msDS-DnsRootAlias 的属性

在我的情况下,这显示 domain.net

不确定如何修复,但那是另一个问题。

答案1

如果任何东西认为您的域名是 domain.net 而不是 domain.local(实际上您不应该使用 .local,但这是另一个话题),它将在 _msdcs.domain.net 上查找您的 DC。

无法预测这可能会破坏什么(我想到了 kerberos 以及动态 DNS 更新),所以我猜想几乎没有人使用它。但是,如果您愿意,可以进行数据包捕获(使用 wireshark,或者更好的方法是克隆端口并在其他设备上使用 wireshark,这样您就不必在生产服务器上运行 wireshark)过滤 DNS 记录,并在结果数据中搜索涉及 _msdcs.domain.net 的查询。如果您碰巧找到一个,请检查设备查询以查看配置错误的是什么。

也许您还拥有或曾经拥有一个同名的 AD 域。如果是这样,并且它不再存在,您可以清除这些记录。当您最终有一天从 .local 迁移时,这将使您的生活更轻松。

答案2

_msdcs.domain.local 下的域名.本地(这是林中的第一个域)通过右键单击 domain.local 并选择“新建委派...”向导来委派权限。运行向导以指向与 SOA 相同的 PDC。这样做似乎毫无意义,但它有一个明确的目的。

通常情况下,整个网络的域控制器都包含 DNS 区域的副本,并且仅在该域中具有权威性。委派向导会创建一个新的_msdcs.域.本地域名.本地作为新域。它是所有区域的副本,并使整个林中的名称服务器成为权威服务器。其目的是针对每个站点都有域控制器的 WAN 连接大型网络。这些域控制器都是 DNS 复制服务器,具有整个 AD DNS(所有区域)的副本,但执行委派向导允许它们作为权威服务器可写。不再需要在域中的所有 PC 之间对 PDC 进行系统记录的动态更新,而只需对它们的本地 DC 进行更新,这将在其常规更新周期内更新 PDC。

默认情况下,_msdcs 中的名称服务器 (NS) 的复制范围设置为域中的所有 DNS 服务器,但现在 _msdcs.domain.local 中的 NS 对林具有权威性。这允许 LDAP 查询在其本地 DC 上的域中进行本地交互,这只是次要原因。但是,即使所有 DNS 副本都在总部,在完成此委派之前,名称服务器 (NS) 仅对 domain.local(或更好地写为 domain1.local)中的 AD 详细信息具有权威性,而对与林中第一个域处于同一级别的域(即 domain2.local)不具有权威性。

有些人错误地认为林中第一个域的子域也需要这个。但名称服务器对其域具有权威性,即使 child.domain.local 位于 domain.local 内。

至于 _msdcs.domain.net 名称与它来自的同一级别的域 domain.local 不同?这可能是新手管理员认为 _msdcs.domain.local 域会与 domain.local 下的 _msdcs 名称 (FQDN:_msdcs.domain.local) 发生冲突,因为它们的名称相同,可能会导致损坏。

相关内容