Active directory 2008r2 dns не реплицируются зоны
Добрый день!
Есть два КД на 2008 R2. Оба были созданы в ходе миграции с двух старых КД на 2003 R2.
Один КД поднят на железе (PDC), другой - на виртуалке (SDC).
PDC - держатель всех ролей ФСМО и ГК, DHCP; SDC - только ГК.
Внутреннее имя домена совпадает с внешним доменом фирмы, но КД был убран с сервера, имеющего прямой выход в интернет.
На SDC есть ошибка 13508 "Служба репликации файлов столкнулась с проблемами при включении репликации с "PDC" на "SDC" для "c:\windows\sysvol\domain", использующего DNS-имя "PDC.company.ru". Служба репликации файлов (FRS) продолжит повторные попытки.
Ниже указаны причины, по которым может выдаваться это предупреждение.
[1] FRS не может разрешить DNS-имя "PDC.company.ru" с этого компьютера.
[2] FRS не запущена на "PDC.company.ru".
[3] Сведения о топологии в доменных службах Active Directory для этой реплики реплицированы еще не на все контроллеры домена.
Если зайти в Сайты и службы, там присутствуют оба КД, и если щелкать : "Реплицировать сейчас" внутри NTDS Settings, или "Реплицировать конфигурацию на выбранный КД" или с выбранного КД - на самом NTDS settings, то все проходит успешно.
Результат ntfrsutl ds:
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.
NAMING CONTEXTS:
SitesDn : CN=Sites,cn=configuration,dc=MyCompany,dc=ru
ServicesDn : CN=Services,cn=configuration,dc=MyCompany,dc=ru
DefaultNcDn: DC=MyCompany,DC=ru
ComputersDn: CN=Computers,DC=MyCompany,DC=ru
DomainCtlDn: OU=Domain Controllers,DC=MyCompany,DC=ru
Fqdn : CN=SDC,OU=Domain Controllers,DC=MyCompany,DC=ru
Searching : Fqdn
SUBSCRIPTION: NTFRS SUBSCRIPTIONS
DN : cn=ntfrs subscriptions,cn=sdc,ou=domain controllers,dc=MyCompany,dc
=ru
Guid : 8fb41309-b714-4fc2-aa003b933ed1ba40
Working : c:\windows\ntfrs
Actual Working: c:\windows\ntfrs
WhenCreated : 8/28/2014 21:37:6
WhenChanged : 8/28/2014 21:37:6
SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn
=sdc,ou=domain controllers,dc=MyCompany,dc=ru
Guid : abaca210-2c30-41a6-a42750b1e06b561e
Member Ref: CN=SDC,CN=Domain System Volume (SYSVOL share),CN=File Repli
cation Service,CN=System,DC=MyCompany,DC=ru
Root : c:\windows\sysvol\domain
Stage : c:\windows\sysvol\staging\domain
WhenCreated : 8/28/2014 21:37:6
WhenChanged : 8/28/2014 21:37:6
Subscriber Member Back Links:
cn=sdc,cn=domain system volume (sysvol share),cn=file replication service,
cn=system,dc=MyCompany,dc=ru
SETTINGS: FILE REPLICATION SERVICE
DN : cn=file replication service,cn=system,dc=MyCompany,dc=ru
Guid : 82763584-8d2f-42dc-b53de2382ef72304
WhenCreated : 1/19/2005 11:10:4
WhenChanged : 8/28/2014 21:35:13
SET: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=file replication service,
cn=system,dc=MyCompany,dc=ru
Guid : c4e48c9e-8e44-4296-b30bcb73fe03c530
Type : 2
Primary Member: CN=FSERVER,CN=Domain System Volume (SYSVOL share),CN=File
Replication Service,CN=System,DC=MyCompany,DC=ru
File Filter : *.tmp, *.bak, ~*
Dir Filter : (null)
FRS Flags : (null)
WhenCreated : 1/19/2005 11:13:52
WhenChanged : 8/28/2014 21:35:34
MEMBER: FSERVER
DN : cn=fserver,cn=domain system volume (sysvol share),cn=file replic
ation service,cn=system,dc=MyCompany,dc=ru
Guid : 0ba16b3c-8ab6-4e19-b61039b9a28ffd42
Server Ref : (null)
Computer Ref : (null)
WhenCreated : 1/19/2005 11:13:52
WhenChanged : 8/28/2014 21:35:34
WARN - FSERVER lacks a settings reference
CXTION: 0802ADEA-9FA7-4027-A8BE-409B9693CEB5
DN : cn=0802adea-9fa7-4027-a8be-409b9693ceb5,cn=ntds settings,cn=s
dc,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=MyCompany,
dc=ru
Guid : 28942686-7b13-4d52-bbe03629ebce551c
Partner Dn : cn=ntds settings,cn=pdc,cn=servers,cn=default-first-s
ite-name,cn=sites,cn=configuration,dc=MyCompany,dc=ru
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 8/28/2014 21:41:56
WhenChanged : 8/28/2014 21:41:56
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111
По поводу FSERVER - я так подозреваю, что он когда-то был в сети, но сейчас его нет (в ДНС-е нет, по имени не пингуется). Как его удалить?
Доброго времени суток!
На днях столкнулся с тем что полностью отказал DNS и AD.
Не знаю с чем это связанно.
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети 2:
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер 6TO4 Adapter:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:5e19:7e2e::5e19:7e2e(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 95.167.167.95
95.167.167.96
NetBios через TCP/IP. . . . . . . . : Отключен
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = srv_bbk
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\SRV_BBK
Пропуск всех проверок, поскольку сервер SRV_BBK не отвечает на запросы
службы каталога.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: bbkanal
Запуск проверки: CheckSDRefDom
. bbkanal - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. bbkanal - пройдена проверка
CrossRefValidation
Ответы
Дык зона прямого просмотра должна называться bbkanal.ru - а не из одной метки, как у автора "bbkanal"
Да клиенты динамичны.
И не пойму почему нет интернета у клиентов.
Ну и у сервера?
Включите рекурсию на сервере. Свойства DNS сервера - вкладка advansed - уберите галку "disable recursion"
Все ответы
DNS сервера, в свойствах TCP\IP адаптера "сморящего" в свою сеть поставьте свои. На адаптере "смотрящем" в интернет DNS сервера уберите вообще и уберите там в свойствах TCP\IP на вкладке DNS галку "регистрировать этот адрес в DNS". Затем перезапустите службу netlogon.
Потому что серверы DNS в свойствах сетевых подключений у Вас указаны неверно.
Запомните, что в типичном случае в домен AD не интегрирован в общемировую систему DNS (т.е. серверы DNS в интернете не содержат ссылки на домен AD) . В таком случае в домене AD можно использовать только те серверы DNS, которые находятся на контроллерах домена, или делают на него пересылку запросов (полную или только для домена AD), или держат у себя копию зоны домена AD.
А у Вас в качестве серверов DNS стоят в свойствах подключений, похоже, серверы провайдера.
Изменил! Но всё лежит как лежало!
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети 2:
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер 6TO4 Adapter:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:5e19:7e2e::5e19:7e2e(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 10.2.101.2
NetBios через TCP/IP. . . . . . . . : Отключен
Если на внешнем сетевом адаптаре выставить DNS локального сервера (как показанно выше) то интернет теряется.
Изменил! Но всё лежит как лежало!
Если на внешнем сетевом адаптаре выставить DNS локального сервера (как показанно выше) то интернет теряется.
"dcdiag /q" в студию новый. После того, как вы убрали DNS провайдера из настроек. Что значит "интернет теряется"? вы ходите наружу с контроллера домена? несколько интерфейсов? multihomed-контроллеры официально не поддерживаются - нюансов огромное количество
Пингуются только IP адреса DNS не преобразует имена.
Выхожу с КД наружу . имеются 2 сетевых интерфейса!
После того, как вы убрали внешние адреса из DNS - перезапустите службу netlogon на DC. И динамическое обновление то часом не отключено на ваших DNS-зонах?
netlogon перезапускал!
Обновление динамическое из безопасных и не безопасных зон!
тогда показывайте что у вас в DNS и как там зарегистрировались контроллеры. интересует всё от наличия A-записей для DC, до псевдонимов в _msdcs.
Зона прямого просмотра:
Зона _msdcs. - отсутствует!
Зона прямого просмотра:
srv_bbk Узел (A) 10.2.101.2 статический
srv_old Узел (A) 10.2.101.4 статический
Зона _msdcs. - отсутствует!
Ограничимся вот этими записями. А вот с _msdcs - феерично, куда же она у вас делась. ни зоны, ни делегирования нет?
Немного упорядочить информацию - сколько всего контроллеров домена? (подозреваю, что один, но тогда к чему речь о репликации? если больше одного, то какие у остальных адреса и есть ли там в DNS зона _msdcs?)
КД один и в зонах прямого просмотра нет зоны _msdcs.
Тогда как её восстановить?
КД один и в зонах прямого просмотра нет зоны _msdcs.
Тогда как её восстановить?
Убедитесь, что у вас на контроллере - первым указан именно его собственный DNS. NetLogon вообще должен был пересоздать записи - dcdiag /fix пните, потом dcdiag /q снова через минуту. Сомневаюсь, что будет положительный эффект, но чем чёрт не шутит - в вашем случае не помешает.
C:\Users\SysAdmin>dcdiag /fix
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = srv_bbk
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\SRV_BBK
Пропуск всех проверок, поскольку сервер SRV_BBK не отвечает на запросы
службы каталога.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: bbkanal
Запуск проверки: CheckSDRefDom
. bbkanal - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. bbkanal - пройдена проверка
CrossRefValidation
Автоматическая регистрация адресов включена на внутреннем интерфейсе и отключена на внешнем.
Не помогла. Может полностью перезагрузить сервер?
Сервер проверки: Default-First-Site-Name\SRV_BBK
Пропуск всех проверок, поскольку сервер SRV_BBK не отвечает на запросы
службы каталога.Не помогла. Может полностью перезагрузить сервер?
Можно, но теперь больше интересны Eventlog: DNS, System и Directory Service - особенно последний. Ошибки и предупреждения.
Забегая вперёд - другие контроллеры домена когда-нибудь были?
Предполагаемый диагноз и история болезни (из разряда фантазий на основе опыта): у вас был второй контроллер srv_old, который вы либо просто выключили, либо умер своей смертью. Всё в течение некоторого времени работало, после чего вы либо перезапустили первый сервер, либо наконец выполнили захват ролей от второго. Оставшемуся серверу необходимо провести initial sync с любым из известных ему партнёров, что в вашей ситуации уже невозможно. В итоге не поднимается полноценно служба каталогов - и ничего не работает. Как альтернативная реальность - это проблемы с SYSVOL, но тут всё проще - net share с контроллера в студию. Ответы нам в первую очередь дадут логи Directory Service и DNS. Если сценарий я воспроизвёл правильно, то вычистить метаданные о старом контроллере, починить SYSVOL и DNS - всё будет хорошо.
Да раньше стоял КД win srv 2003 пару месяцев назад запустили 2008!
Да раньше стоял КД win srv 2003 пару месяцев назад запустили 2008!
AD log
Directory
DNS log
огромная просьба :) сохранить как .evtx. русскоязычные логи ОС читать - это самоубийство, я в англоязычной ОС их гляну. net share кстати покажите в данный момент
Можно по подробней о том как вычистить методанные.
и прошу прощения за неверный формат!)
SYSVOL живой - это главное. Далее - общая статья, но в 2008R2 в принципе достаточно удалить объекты сервера srv_old в оснастках Sites and Services (находится в узле вашего сайта) и в Active Directory Users and Computers (поиск учётной записи компьютера srv_old - и удалить.)
В Sites and Services не обнаружено srv_old, а вот из Active Directory Users and Computers удалил.
Сервер послал на перезагрузку.
В Sites and Services не обнаружено srv_old, а вот из Active Directory Users and Computers удалил.
Сервер послал на перезагрузку.
Если на внешнем сетевом адаптаре выставить DNS локального сервера (как показанно выше) то интернет теряется.
- Убедитесь, что контроллеры домена не ссылаются на себя как на основной сервер DNS в свойствах TCP / IP.
- Настройка службы входа в сеть зависит от службы DNS.Это приведет к тому службы входа в сеть, чтобы начать после службы DNS.Для этого выполните команду regedt32 и перейдите по ссылке:
Ошибку 1168 устранил как описано в статье.
Вот с 5781 не совсем понятно. из за : Убедитесь, что контроллеры домена не ссылаются на себя как на основной сервер DNS в свойствах TCP / IP.
Тогда на что КД должен ссылаться.
Если на внешнем сетевом адаптаре выставить DNS локального сервера (как показанно выше) то интернет теряется.
На сервере DNS на DC настройте пересылку запросов на DNS-серверы провайдера.Слава России!
Не даёт сделать пересылку. пишет : Серверы пересылки недоступны, поскольку этот сервер не использует рекурсию.
Вот с 5781 не совсем понятно. из за : Убедитесь, что контроллеры домена не ссылаются на себя как на основной сервер DNS в свойствах TCP / IP.
Тогда на что КД должен ссылаться.
На соседа (если он есть) или на спорный 127.0.0.1 :) но это не тот случай - это решается банальным перезапуском службы Netlogon вручную, когда служба DNS-сервера уже в онлайне. При перезапуске netlogon он должен зарегистрировать srv-записи контроллера в DNS - в вашем случае он не может этого сделать даже при ручном перезапуске при живом DNS-сервере. Кстати. а покажите-ка режимы запуска службы DHCP Client. не выключали ли вы её.
DHCP-клиент запускается автоматически
и работает сейчас.
DHCP-клиент запускается автоматически
Ok, тогда глядя на статью, вопросы: совпадает ли имя домена с именем DNS-зоны? покажите скриншот расширенных настроек сетевого интерфейса в части DNS, а также скриншот со списком зон из оснастки DNS-сервера с отключенным фильтром просмотра.
- Предложено в качестве ответа Ivan Bardeen Editor 8 августа 2012 г. 14:23
Да имя домена совпадает с именем!
покажите что у вас здесь.
Дык зона прямого просмотра должна называться bbkanal.ru - а не из одной метки, как у автора "bbkanal"
Дык зона прямого просмотра должна называться bbkanal.ru - а не из одной метки, как у автора "bbkanal"
Иван, как всегда вовремя! :) Респект за внимательность, я виноват :)
Дык зона прямого просмотра должна называться bbkanal.ru - а не из одной метки, как у автора "bbkanal"
Иван, как всегда вовремя! :) Респект за внимательность, я виноват :)
"Подключение по локальной сети" переместите вверх. Оно должно быть первым в данном случае исходя из первичного функционала как DC.
Перезагрузил сервер. всё как прежде.
Вроде всё в порядке
Но AD как лежала так и лежит.
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = srv_bbk
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\SRV_BBK
Запуск проверки: Connectivity
. SRV_BBK - пройдена проверка Connectivity
Выполнение основных проверок
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: bbkanal
Запуск проверки: CheckSDRefDom
. bbkanal - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. bbkanal - пройдена проверка
CrossRefValidation
Доброго времени суток!
На днях столкнулся с тем что полностью отказал DNS и AD.
Не знаю с чем это связанно.
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети 2:
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер 6TO4 Adapter:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:5e19:7e2e::5e19:7e2e(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 95.167.167.95
95.167.167.96
NetBios через TCP/IP. . . . . . . . : Отключен
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = srv_bbk
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\SRV_BBK
Пропуск всех проверок, поскольку сервер SRV_BBK не отвечает на запросы
службы каталога.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: bbkanal
Запуск проверки: CheckSDRefDom
. bbkanal - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. bbkanal - пройдена проверка
CrossRefValidation
Ответы
Дык зона прямого просмотра должна называться bbkanal.ru - а не из одной метки, как у автора "bbkanal"
Да клиенты динамичны.
И не пойму почему нет интернета у клиентов.
Ну и у сервера?
Включите рекурсию на сервере. Свойства DNS сервера - вкладка advansed - уберите галку "disable recursion"
Все ответы
DNS сервера, в свойствах TCP\IP адаптера "сморящего" в свою сеть поставьте свои. На адаптере "смотрящем" в интернет DNS сервера уберите вообще и уберите там в свойствах TCP\IP на вкладке DNS галку "регистрировать этот адрес в DNS". Затем перезапустите службу netlogon.
Потому что серверы DNS в свойствах сетевых подключений у Вас указаны неверно.
Запомните, что в типичном случае в домен AD не интегрирован в общемировую систему DNS (т.е. серверы DNS в интернете не содержат ссылки на домен AD) . В таком случае в домене AD можно использовать только те серверы DNS, которые находятся на контроллерах домена, или делают на него пересылку запросов (полную или только для домена AD), или держат у себя копию зоны домена AD.
А у Вас в качестве серверов DNS стоят в свойствах подключений, похоже, серверы провайдера.
Изменил! Но всё лежит как лежало!
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети 2:
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер 6TO4 Adapter:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:5e19:7e2e::5e19:7e2e(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 10.2.101.2
NetBios через TCP/IP. . . . . . . . : Отключен
Если на внешнем сетевом адаптаре выставить DNS локального сервера (как показанно выше) то интернет теряется.
Изменил! Но всё лежит как лежало!
Если на внешнем сетевом адаптаре выставить DNS локального сервера (как показанно выше) то интернет теряется.
"dcdiag /q" в студию новый. После того, как вы убрали DNS провайдера из настроек. Что значит "интернет теряется"? вы ходите наружу с контроллера домена? несколько интерфейсов? multihomed-контроллеры официально не поддерживаются - нюансов огромное количество
Пингуются только IP адреса DNS не преобразует имена.
Выхожу с КД наружу . имеются 2 сетевых интерфейса!
После того, как вы убрали внешние адреса из DNS - перезапустите службу netlogon на DC. И динамическое обновление то часом не отключено на ваших DNS-зонах?
netlogon перезапускал!
Обновление динамическое из безопасных и не безопасных зон!
тогда показывайте что у вас в DNS и как там зарегистрировались контроллеры. интересует всё от наличия A-записей для DC, до псевдонимов в _msdcs.
Зона прямого просмотра:
Зона _msdcs. - отсутствует!
Зона прямого просмотра:
srv_bbk Узел (A) 10.2.101.2 статический
srv_old Узел (A) 10.2.101.4 статический
Зона _msdcs. - отсутствует!
Ограничимся вот этими записями. А вот с _msdcs - феерично, куда же она у вас делась. ни зоны, ни делегирования нет?
Немного упорядочить информацию - сколько всего контроллеров домена? (подозреваю, что один, но тогда к чему речь о репликации? если больше одного, то какие у остальных адреса и есть ли там в DNS зона _msdcs?)
КД один и в зонах прямого просмотра нет зоны _msdcs.
Тогда как её восстановить?
КД один и в зонах прямого просмотра нет зоны _msdcs.
Тогда как её восстановить?
Убедитесь, что у вас на контроллере - первым указан именно его собственный DNS. NetLogon вообще должен был пересоздать записи - dcdiag /fix пните, потом dcdiag /q снова через минуту. Сомневаюсь, что будет положительный эффект, но чем чёрт не шутит - в вашем случае не помешает.
C:\Users\SysAdmin>dcdiag /fix
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = srv_bbk
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\SRV_BBK
Пропуск всех проверок, поскольку сервер SRV_BBK не отвечает на запросы
службы каталога.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: bbkanal
Запуск проверки: CheckSDRefDom
. bbkanal - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. bbkanal - пройдена проверка
CrossRefValidation
Автоматическая регистрация адресов включена на внутреннем интерфейсе и отключена на внешнем.
Не помогла. Может полностью перезагрузить сервер?
Сервер проверки: Default-First-Site-Name\SRV_BBK
Пропуск всех проверок, поскольку сервер SRV_BBK не отвечает на запросы
службы каталога.Не помогла. Может полностью перезагрузить сервер?
Можно, но теперь больше интересны Eventlog: DNS, System и Directory Service - особенно последний. Ошибки и предупреждения.
Забегая вперёд - другие контроллеры домена когда-нибудь были?
Предполагаемый диагноз и история болезни (из разряда фантазий на основе опыта): у вас был второй контроллер srv_old, который вы либо просто выключили, либо умер своей смертью. Всё в течение некоторого времени работало, после чего вы либо перезапустили первый сервер, либо наконец выполнили захват ролей от второго. Оставшемуся серверу необходимо провести initial sync с любым из известных ему партнёров, что в вашей ситуации уже невозможно. В итоге не поднимается полноценно служба каталогов - и ничего не работает. Как альтернативная реальность - это проблемы с SYSVOL, но тут всё проще - net share с контроллера в студию. Ответы нам в первую очередь дадут логи Directory Service и DNS. Если сценарий я воспроизвёл правильно, то вычистить метаданные о старом контроллере, починить SYSVOL и DNS - всё будет хорошо.
Да раньше стоял КД win srv 2003 пару месяцев назад запустили 2008!
Да раньше стоял КД win srv 2003 пару месяцев назад запустили 2008!
AD log
Directory
DNS log
огромная просьба :) сохранить как .evtx. русскоязычные логи ОС читать - это самоубийство, я в англоязычной ОС их гляну. net share кстати покажите в данный момент
Можно по подробней о том как вычистить методанные.
и прошу прощения за неверный формат!)
SYSVOL живой - это главное. Далее - общая статья, но в 2008R2 в принципе достаточно удалить объекты сервера srv_old в оснастках Sites and Services (находится в узле вашего сайта) и в Active Directory Users and Computers (поиск учётной записи компьютера srv_old - и удалить.)
В Sites and Services не обнаружено srv_old, а вот из Active Directory Users and Computers удалил.
Сервер послал на перезагрузку.
В Sites and Services не обнаружено srv_old, а вот из Active Directory Users and Computers удалил.
Сервер послал на перезагрузку.
Если на внешнем сетевом адаптаре выставить DNS локального сервера (как показанно выше) то интернет теряется.
- Убедитесь, что контроллеры домена не ссылаются на себя как на основной сервер DNS в свойствах TCP / IP.
- Настройка службы входа в сеть зависит от службы DNS.Это приведет к тому службы входа в сеть, чтобы начать после службы DNS.Для этого выполните команду regedt32 и перейдите по ссылке:
Ошибку 1168 устранил как описано в статье.
Вот с 5781 не совсем понятно. из за : Убедитесь, что контроллеры домена не ссылаются на себя как на основной сервер DNS в свойствах TCP / IP.
Тогда на что КД должен ссылаться.
Если на внешнем сетевом адаптаре выставить DNS локального сервера (как показанно выше) то интернет теряется.
На сервере DNS на DC настройте пересылку запросов на DNS-серверы провайдера.Слава России!
Не даёт сделать пересылку. пишет : Серверы пересылки недоступны, поскольку этот сервер не использует рекурсию.
Вот с 5781 не совсем понятно. из за : Убедитесь, что контроллеры домена не ссылаются на себя как на основной сервер DNS в свойствах TCP / IP.
Тогда на что КД должен ссылаться.
На соседа (если он есть) или на спорный 127.0.0.1 :) но это не тот случай - это решается банальным перезапуском службы Netlogon вручную, когда служба DNS-сервера уже в онлайне. При перезапуске netlogon он должен зарегистрировать srv-записи контроллера в DNS - в вашем случае он не может этого сделать даже при ручном перезапуске при живом DNS-сервере. Кстати. а покажите-ка режимы запуска службы DHCP Client. не выключали ли вы её.
DHCP-клиент запускается автоматически
и работает сейчас.
DHCP-клиент запускается автоматически
Ok, тогда глядя на статью, вопросы: совпадает ли имя домена с именем DNS-зоны? покажите скриншот расширенных настроек сетевого интерфейса в части DNS, а также скриншот со списком зон из оснастки DNS-сервера с отключенным фильтром просмотра.
- Предложено в качестве ответа Ivan Bardeen Editor 8 августа 2012 г. 14:23
Да имя домена совпадает с именем!
покажите что у вас здесь.
Дык зона прямого просмотра должна называться bbkanal.ru - а не из одной метки, как у автора "bbkanal"
Дык зона прямого просмотра должна называться bbkanal.ru - а не из одной метки, как у автора "bbkanal"
Иван, как всегда вовремя! :) Респект за внимательность, я виноват :)
Дык зона прямого просмотра должна называться bbkanal.ru - а не из одной метки, как у автора "bbkanal"
Иван, как всегда вовремя! :) Респект за внимательность, я виноват :)
"Подключение по локальной сети" переместите вверх. Оно должно быть первым в данном случае исходя из первичного функционала как DC.
Перезагрузил сервер. всё как прежде.
Вроде всё в порядке
Но AD как лежала так и лежит.
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = srv_bbk
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\SRV_BBK
Запуск проверки: Connectivity
. SRV_BBK - пройдена проверка Connectivity
Выполнение основных проверок
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: bbkanal
Запуск проверки: CheckSDRefDom
. bbkanal - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. bbkanal - пройдена проверка
CrossRefValidation
Windows IP Configuration
Host Name . . . . . . . . . . . . : MNSUZDC1
Primary Dns Suffix . . . . . . . : spel.local
Node Type . . . . . . . . . . . . : Peer-Peer
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : spel.local
Ethernet adapter virtual local:
Directory Server Diagnosis
Performing initial setup:
Trying to find home server.
Home Server = MNSUZDC1
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: uzory\mnsuzdc1
Starting test: Connectivity
The host e0083eda-418f-46f4-80b4-ae60d5a9463d._msdcs.spel.local could
not be resolved to an IP address. Check the DNS server, DHCP, server
name, etc.
Got error while checking LDAP and RPC connectivity. Please check your
firewall settings.
. mnsuzdc1 failed test Connectivity
Doing primary tests
Testing server: uzory\mnsuzdc1
Skipping all tests, because server mnsuzdc1 is not responding to
directory service requests.
Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
. ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
. ForestDnsZones passed test
CrossRefValidation
Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
. DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
. DomainDnsZones passed test
CrossRefValidation
Running partition tests on : Schema
Starting test: CheckSDRefDom
. Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
. Schema passed test CrossRefValidation
Running partition tests on : Configuration
Starting test: CheckSDRefDom
. Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
. Configuration passed test CrossRefValidation
Running partition tests on : spel
Starting test: CheckSDRefDom
. spel passed test CheckSDRefDom
Starting test: CrossRefValidation
. spel passed test CrossRefValidation
Running enterprise tests on : spel.local
Starting test: LocatorCheck
. spel.local passed test LocatorCheck
Starting test: Intersite
. spel.local passed test Intersite
C:\Users\Administrator.SPEL>nslookup spel.local
Server: mnsuzdc1.spel.local
Address: 10.10.1.1
Name: spel.local
Address: 10.10.1.1
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : dc1
Основной DNS-суффикс . . . . . . : spel.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : spel.local
Ethernet adapter Local:
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = dc1
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: spelpais\DC1
Запуск проверки: Connectivity
. DC1 - пройдена проверка Connectivity
Выполнение основных проверок
Возникла ошибка. Код события (EventID): 0xC000051F
Время создания: 07/14/2015 21:40:52
Строка события:
В ходе проверки согласованности знаний обнаружены ошибки в следующем
разделе каталога.
Возникло предупреждение. Код события (EventID): 0x80000749
Время создания: 07/14/2015 21:40:52
Строка события:
В ходе проверки согласованности знаний не удается построить полную с
оставную топологию сети. Из локального сайта недоступны следующие сайты.
Возникло предупреждение. Код события (EventID): 0x8000061E
Время создания: 07/14/2015 21:40:52
Строка события:
Все серверы службы каталогов в следующем сайте, способные реплициров
ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
Возникла ошибка. Код события (EventID): 0xC000051F
Время создания: 07/14/2015 21:40:52
Строка события:
В ходе проверки согласованности знаний обнаружены ошибки в следующем
разделе каталога.
Возникло предупреждение. Код события (EventID): 0x80000749
Время создания: 07/14/2015 21:40:52
Строка события:
В ходе проверки согласованности знаний не удается построить полную с
оставную топологию сети. Из локального сайта недоступны следующие сайты.
Возникло предупреждение. Код события (EventID): 0x8000061E
Время создания: 07/14/2015 21:40:52
Строка события:
Все серверы службы каталогов в следующем сайте, способные реплициров
ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
Возникла ошибка. Код события (EventID): 0xC000051F
Время создания: 07/14/2015 21:40:52
Строка события:
В ходе проверки согласованности знаний обнаружены ошибки в следующем
разделе каталога.
Возникло предупреждение. Код события (EventID): 0x80000749
Время создания: 07/14/2015 21:40:52
Строка события:
В ходе проверки согласованности знаний не удается построить полную с
оставную топологию сети. Из локального сайта недоступны следующие сайты.
Возникло предупреждение. Код события (EventID): 0x8000061E
Время создания: 07/14/2015 21:40:52
Строка события:
Все серверы службы каталогов в следующем сайте, способные реплициров
ать данный раздел каталога через этот транспорт, в настоящий момент недоступны.
Возникла ошибка. Код события (EventID): 0xC000051F
Время создания: 07/14/2015 21:40:52
Строка события:
В ходе проверки согласованности знаний обнаружены ошибки в следующем
разделе каталога.
Возникло предупреждение. Код события (EventID): 0x80000749
Время создания: 07/14/2015 21:40:52
Строка события:
В ходе проверки согласованности знаний не удается построить полную с
оставную топологию сети. Из локального сайта недоступны следующие сайты.
Возникло предупреждение. Код события (EventID): 0x8000082C
Время создания: 07/14/2015 21:50:52
Строка события:
Возникло предупреждение. Код события (EventID): 0x8000082C
Время создания: 07/14/2015 21:50:52
Строка события:
. DC1 - не пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. DC1 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
. DC1 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. DC1 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. DC1 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. DC1 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
[Replications Check,DC1] Сбой при последней попытке репликации:
Из mnsuzdc1 в DC1
Контекст именования: DC=ForestDnsZones,DC=spel,DC=local
При репликации возникла ошибка (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
Сбой возник в 2015-07-14 21:50:52.
Последняя успешная операция была в 2015-07-14 06:49:09. После
последней успешной операции было
5 сбоев.
[Replications Check,DC1] Сбой при последней попытке репликации:
Из mnsuzdc1 в DC1
Контекст именования: DC=DomainDnsZones,DC=spel,DC=local
При репликации возникла ошибка (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: spel
Запуск проверки: CheckSDRefDom
. spel - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. spel - пройдена проверка CrossRefValidation
Выполнение проверок предприятия на: spel.local
Запуск проверки: LocatorCheck
. spel.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
. spel.local - пройдена проверка Intersite
C:\Users\Administrator>nslookup spel.local
╤хЁтхЁ: dc1.spel.local
Address: 192.168.1.10
23.06.2011
itpro
DNS
Один комментарий
Одним из критически важных компонентов любой корпоративной сети, является сервер DNS. Практически все сетевые приложения основаны на использовании серверов DNS и их услугах, и в том случае если сервер DNS недоступен, практически вся сетевая активность может остановиться. Для того, чтобы обеспечить отказоустойчивость служб DNS, даже в случае выхода из строя сервера DNS, необходимо настроить как минимум один вторичный DNS сервер для каждой зоны.
Репликация зоны — это процедура обновления вторичного (secondary) сервера DNS, при которой копируются и обновляются все DNS записи с первичного (primary) сервера DNS. В том случае, если в вашей зоне содержится большое количество записей, который обновляются достаточно часто (например, динамическими клиентами DNS), необходимо продумать вопросы эффективного использования сети для трафика репликации зон DNS. Для оптимальной производительности рекомендуется размещать DNS сервера на контроллерах домена, и использовать интегрированные зоны Active Directory. Интегрированные зоны Active Directory разработаны для осуществления автоматической, безопасной репликации зон DNS. В службе Microsoft DNS выделяют следующие зоны репликации:
■ To All DNS Servers In This Forest (на все DNS сервера в лесу) репликация выполняется на все сервера DNS в лесу Active Directory, на контроллеры домена с ОС Microsoft Windows Server 2003 и Windows Server 2008. Данный тип репликации используется, если имеется множество серверов DNS во множестве доменах в лесу.
■ To All DNS Servers In This Domain (на все DNS сервера в этом домене) репликация на все контроллеры домена в текущем домене. Данная опция используется по умолчанию для интегрированных зон Active Directory.
■ To All Domain Controllers In This Domain (на все контроллеры домена в этом домене) – репликация на все контроллеры, в том числе, запущенные на ОС Microsoft Windows 2000 Server. Данная опция используется только в том случае, если у вас в сети есть сервера DNS на Windows 2000 Server. При такой конфигурации объем трафика репликации увеличивается, т.к. выполняется репликация всех записей DNS.
■ To All Domain Controllers In The Scope Of This Directory Partition – репликация на все контроллеры домена в указанном разделе приложений, в том числе и на сервера с Windows 2000 Server. В такой ситуации данные DNS реплицируются на определенные сервера DNS с Windows 2000 Server, тем самым, уменьшая область репликации. Такая опция позволяет уменьшить объем трафика репликации, однако требует дополнительной настройки.
Как работает передача зон
Стандартные запросы DNS используют 53 порт UDP, а для передачи зон используется 53 порт протокола TCP. Протокол UDP более эффективен для пересылки запросов DNS, которые обычно состоят из двух составляющих: пакет с запросом, посылаемый на сервер DNS, и пакет с ответом, отправляемом серверов клиенту. Объем трафика передачи зон может быть достаточно большим (особенно для первой передачи зоны), поэтому решено использовать такие преимущества протокола TCP, как надежность и контроль передачи данных. Стоит отметить, что передача зоны является одним из потенциально уязвимых мест в безопасности сети, ведь получатель зоны может увидеть практически всю структуру вашей организации. К счастью, DNS сервер в Windows Server 2008 не позволяет передать зону на неавторизованные сервера. Для создания дополнительного эшелона защиты, на внешних межсетевых экранах следует закрыть 53 TCP порт (естественно, если это не будет препятствовать нормальной передаче зон).
В том случае, если и первичный и вторичный сервера DNS поддерживают инкрементальную передачу зон (эта функция появилась в Windows 2000 Server, в BIND 8.2.1 и более поздних версиях), будут передаваться только изменения в базе DNS. В том случае, если первичный или вторичный DNS сервер не поддерживает инкрементальную репликацию, каждый раз будет передаваться вся база данных целиком, а при большом количестве записей в зоне, эта передача может существенно утилизировать сеть.
Читайте также: