我的一位客户试图通过向 DNS 服务器大量添加/删除大量条件转发器、存根区域和正向查找区域记录,从 Active Directory 中写入/删除每个添加/删除记录(ADDS 使用自身作为 DNS 服务器)来“排除”其 DC 的 DNS 故障。4 天后没有出现任何问题,但已注销的用户由于“没有可用的登录服务器”而无法重新登录。保持登录状态的用户在访问映射驱动器时也遇到了间歇性困难。
登录到 DC 并尝试打开 dsa.msc,结果遇到了 ADDS 错误对话框,提示“无法找到命名信息,因为:指定的域不存在或无法联系”。但是我能够打开并访问 dnsmgmt.msc。
dcdiag /test:dns 返回了所有警告,指出我没有 AAAA 记录(没有 IPv6,所以这是可以理解的)。我还可以 ping 服务器的主机名,也可以 ping 域名,没有任何问题。
我注意到 SYSVOL 和 NTDS 未共享,同样注意到事件日志 (ID:14550) 中的 DfsSvc 错误“DFS 命名空间服务无法初始化此域控制器上的跨林信任信息,但它将定期重试该操作。返回代码在记录数据中”,以及事件 ID 7009“等待文件复制服务连接时超时(120000 毫秒)。”瞧,文件复制服务无法启动,因为错误 1053:服务没有及时响应启动或控制请求”。
我遇到了瓶颈。如果有人有任何建议或问题,任何事情都会有所帮助,因为我现在遇到了障碍。
答案1
我猜这些问题是所有 DNS 混乱的结果。我的建议是从头开始重新创建 AD DNS 区域。
如果 AD DNS 区域已损坏到无可挽回的地步,那么您可以这样做来从头开始重新创建它们。此答案假设_msdcs.你的域名.com和您的域名.com区域是单独的区域。在执行此过程之前,请记下区域名称。
将区域从 AD 集成区域更改为标准主区域(取消选中区域类型的“将区域存储在 Active Directory 中”复选框)。
将区域文件复制(不要移动)到安全目的地(区域文件可以在 %systemroot%\system32\dns 找到)。
将区域改回 AD 集成区域。
删除区域。
重新创建区域。
在中创建新的代表团您的域名.com区域_msdcs区。
重新启动服务器。
等待。
从区域的文本副本中重新创建所有静态 DNS 记录。
你的_msdcs.你的域名.com和您的域名.com区域应该已经被完整且正确地重建。
如果由于某种原因这不起作用你有两种选择:
如果有备份,请对 DC 执行权威还原。
根据您制作的区域文件副本重新创建原始区域。
答案2
我可能会建议两件事:
考虑一下可以通过 WINS 和 DNS 进行解析的内容,特别是 DNS 解析的来源是什么(本地 HOSTS 文件、DNS 解析缓存或您的某台服务器)。
我发现使用 nslookup(既查看机器如何解析 fqdn,又强制它使用特定的 DNS 服务器进行解析)是一种很有启发性的故障排除练习。