我最近配置了一个测试域。突然,除了那些拥有缓存凭据的用户之外,没有其他用户能够登录。该域包含两个域控制器,它们都是相互复制的全局目录。
调查完问题后,我发现两台 DNS 服务器上的所有 _mcdcs 域记录都已完全消失。由于 _ldap 和 _kerberos 等 SRV 记录无法解析,因此无法找到域控制器。
我不太清楚这是怎么发生的...这是清除 DNS 缓存或 DNS 清理会导致的吗?
此时我需要以某种方式恢复记录。我查看了另一个域的设置,看起来它们可以手动重新创建...但我注意到一些 DNS 记录似乎包含 SID 名称...我不知道需要使用什么标识符来重新创建它们。
是否有更好的方法可以帮助人们摆脱这种情况?
答案1
1.在其中一个域控制器上重新启动 Netlogon 服务
或者
2.运行 DCDiag /fix
或者
3.从其中一个域控制器的 netlogon.dns 文件中手动创建记录
答案2
DNS 记录被删除的情况并不常见(除非有人删除它们)。通常它们是 dnsTombstoned,因此如果使用其他工具(如 ADSIEdit),这些记录可能仍会出现,即使在 DNS 管理器或 nslookup 中不可见。
在一些极端情况下,清除可能会导致这种情况(如果清除配置不正确,还会导致许多其他问题)。
http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx
答案3
我确实重新启动了 NetLogon 服务并运行了dcdiag /fix,但没有成功。经过 3-4 小时的搜索和阅读,我决定卸载 Active Directory 服务并重新安装,但安装也失败了!
然后我决定按照以下方法手动添加 DNS 记录这和这,所以我删除了域的区域并再次添加,在添加区域时我注意到仅允许安全动态更新,我从某处记得应该启用此设置,因此我选中了此复选框,然后重新启动了 netlogon 服务,然后 !! 它添加了所有记录。我还运行了dcdiag /fix然后dcdiag。除了一个测试(我认为是 SystemLog)之外,所有测试都通过了,我忽略了它。之后,我可以将其他 PC 加入域。其他人可能也是这种情况。只需要在我的域区域上启用安全动态更新。
希望这可以避免其他人经历我所经历的所有麻烦。