Не удалось найти dns зону msdcs интегрированную в active directory
Сравнительно недавно случайно заметил, что на рабочих серверах DNS отсутствует зона _msdcs.ForestName. Каких-либо жалоб со стороны пользователей не было , как и не было проблем с доступностью сервисов домена. Поскольку эта зона выполняет достаточно важные функции для работы всего леса AD, я стал разбираться что же с ней не так.
Основная статья по Active Directory — Active Directory Domain Services.
Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике Windows Server на моем блоге.
Назначение зоны _msdcs.ForestName
Главным образом эта зона предназначена для определения расположения ключевых сервисов AD DS, таких как Глобальный каталог (см. Global catalog — Глобальный каталог), PDC (см. PDC emulator — Эмулятор первичного контроллера домена), Kerberos, LDAP, а также для определения GUID контроллеров домена AD (по записи GUID клиенты найдут контроллеры домена в случае переименования домена). В этой области каждый контроллер домена регистрирует SRV-записи собственных служб и отвечает за этот процесс служба Netlogon. Сама область является частью компонента Domain controller locator (Locator) 1 , внедренного в Windows Server 2003:
The Microsoft-specific subdomain enables location of domain controllers that have specific roles in the Active Directory domain or forest. Resource records for the DNS root domain of a new Active Directory forest are stored in a _msdcs zone instead of a subdomain, and that zone is stored in the forest-wide application directory partition.
Дело в том, что в норме для версий Windows Server 2003 и старше эта зона должна располагаться на том же уровне, что и зона корневого домена. Выглядит это примерно так (пример с моей тестовой инфраструктуры):
Но на серверах DNS в продакшене она являлась поддоменом корневого домена и отсутствовала на уровне раздела леса:
На самом деле в этом нет ничего плохого, поскольку во всем лесу у меня существует лишь один домен, но если доменов будет больше, это может вызвать проблемы. В BPA (Best Practices Analyzer) при этом вылезали ошибки отсутствия зоны (скриншоты для Windows Server 2012 R2 и 2008 R2 соответственно):
Почему так произошло? Дело в том, что в версиях Windows Server старше 2003 все устроено несколько иным образом и зона _msdcs действительно должна находиться на уровне поддомена корневого домена AD и при миграции с 2000 на 2003 должна быть перенастроена. По крайней мере это единственная известная мне причина 2 .
Пришло время все привести к тому виду, в котором оно и должно быть.
Перенастройка зоны _msdcs.ForestName
Начать необходимо с создания зоны прямого просмотра с нужным нам именем (нужны права администратора предприятия). Подробно весь процесс расписан на скриншотах ниже:
Новая зона должна быть основной (1), храниться в AD (2), реплицироваться на все КД в лесу (3) и иметь имя _msdcs.ForestName (4), где ForestName — имя корневого домена леса AD. Обновления записей зоны должны быть только безопасными (5).
После того как зона создана, необходимо зайти в её свойства и добавить серверы DNS, которые будут обслуживать эту зоны:
Дальше нужно перезапустить службу Netlogon на каждом контроллере домена и дождаться пока только что созданная зона автоматически заполнится необходимыми для работы записями. При этом может пройти достаточно продолжительный период времени — у меня процесс заполнения занял примерно 10 минут. Командную строку нужно запустить с правами администратора.
Также вместо существовавшей зоны _msdcs на уровне поддомена должна появиться запись делегирования. У меня это произошло без моего участия, но если вдруг у вас эта зона автоматически не создалась (у меня так было на тестовой инфраструктуре. Возможно из-за нехватки терпения), можно её создать вручную. Для этого:
Правой кнопкой на домене — Создать делегирование:
После создания зоны на уровне поддомена в ней должны быть лишь одиночные записи серверов имен. Дальнейшая настройка не требуется. Не забудьте проверить, чтобы в основной зоне _msdcs.ForestName были созданы записи всех контроллеров домена.
Создал новый DC, чтобы перенести на него всё со старого и старый выбросить. dcpromo отработал нормально, только вот при тестировании DNS вылезает такая ошибка: Не удалось найти DNS-зону _msdcs.regcon.local, интегрированную в Active Directory. Что за зона такая и как решить эту проблему ?
Ответы
Active Directory (AD) uses DNS as its locator service to support the various types of services that AD offers, such as Global Catalog (GC), Kerberos, and Lightweight Directory Access Protocol (LDAP). Other non-Microsoft services can be advertised in the DNS, including--but not restricted to--non-Microsoft implementations of LDAP and GC. However, sometimes clients might need to contact a Microsoft-hosted service. For that reason, each domain in DNS has an _msdcs subdomain that hosts only DNS SRV records that are registered by Microsoft-based services. The Netlogon process dynamically creates these records on each domain controller (DC). The _msdcs subdomain also includes the globally unique identifier (GUID) for all domains in the forest and a list of GC servers.
If you install a new forest on a system that runs Windows Server 2003 and let the Dcpromo wizard configure DNS, Dcpromo will actually create a separate zone called _msdcs.<forest name> on the DNS server. This zone is configured to store its records in a forestwide application directory partition, ForestDNSZones, which is replicated to every DC in the forest that runs the DNS service. This replication makes the zone highly available anywhere in the forest.
А востановить относительно просто:
If it is the _msdcs. zone, simply Create a new Forward
Lookup zone named _msdcs. allow dynamic updates and
restart the Netlogon service. (all records in this zone are registered by
the Netlogon service on DCs)
IF it is the _msdcs delegation and your have a _msdcs.
forward lookup zone, create a new delegation named _msdcs, give it the NS
records for all DNS servers that have the _msdcs. zone.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
Добрый день,
зону удалите и netlogon сервис перезапустите, должна автоматом создасться.
Вообщем после этих манипуляций зона не создалась! Я даже сервак перезапустил.
Стали появляться новые ошибки:
На DNS-сервере обнаружено недопустимое имя домена в пакете от 216.218.215.123. Пакет будет отклонен. В данных события содержится пакет DNS.
Значение параметра DC-COLO в разделе реестра OptionalNames недопустимо и было пропущено. Измените его значение на значение правильного типа, лежащее в допустимых границах, либо удалите совсем, и тогда будет использоваться значение по умолчанию. Возможно, данное значение было установлено одним из старых приложений, в котором не использовались правильные ограничения.
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность.
Если некоторые клиенты сейчас используют неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS, после такого изменения конфигурации они могут перестать работать. Чтобы помочь выявить такие клиенты, сервер каталогов будет каждые 24 часа регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить клиенты так, чтобы они не использовали их. Как только соответствующие события перестанут регистрироваться в течение достаточно долгого периода, советуем настроить сервер на отклонение таких привязок.
Вы можете включить расширенное ведение журнала, чтобы регистрировать событие при каждой привязке клиента, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять значение для категории ведения журнала событий "События интерфейса LDAP" до уровня 2 или выше.
Добрый день,
зону удалите и netlogon сервис перезапустите, должна автоматом создасться.
Вообщем после этих манипуляций зона не создалась! Я даже сервак перезапустил.
Стали появляться новые ошибки:
На DNS-сервере обнаружено недопустимое имя домена в пакете от 216.218.215.123. Пакет будет отклонен. В данных события содержится пакет DNS.
Значение параметра DC-COLO в разделе реестра OptionalNames недопустимо и было пропущено. Измените его значение на значение правильного типа, лежащее в допустимых границах, либо удалите совсем, и тогда будет использоваться значение по умолчанию. Возможно, данное значение было установлено одним из старых приложений, в котором не использовались правильные ограничения.
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность.
Если некоторые клиенты сейчас используют неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS, после такого изменения конфигурации они могут перестать работать. Чтобы помочь выявить такие клиенты, сервер каталогов будет каждые 24 часа регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить клиенты так, чтобы они не использовали их. Как только соответствующие события перестанут регистрироваться в течение достаточно долгого периода, советуем настроить сервер на отклонение таких привязок.
Вы можете включить расширенное ведение журнала, чтобы регистрировать событие при каждой привязке клиента, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять значение для категории ведения журнала событий "События интерфейса LDAP" до уровня 2 или выше.
Добрый день,
зону удалите и netlogon сервис перезапустите, должна автоматом создасться.
Вообщем после этих манипуляций зона не создалась! Я даже сервак перезапустил.
Стали появляться новые ошибки:
На DNS-сервере обнаружено недопустимое имя домена в пакете от 216.218.215.123. Пакет будет отклонен. В данных события содержится пакет DNS.
Значение параметра DC-COLO в разделе реестра OptionalNames недопустимо и было пропущено. Измените его значение на значение правильного типа, лежащее в допустимых границах, либо удалите совсем, и тогда будет использоваться значение по умолчанию. Возможно, данное значение было установлено одним из старых приложений, в котором не использовались правильные ограничения.
Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность.
Если некоторые клиенты сейчас используют неподписанные привязки SASL или простые привязки LDAP для подключения без SSL/TLS, после такого изменения конфигурации они могут перестать работать. Чтобы помочь выявить такие клиенты, сервер каталогов будет каждые 24 часа регистрировать итоговое событие, указывающее, сколько таких привязок произошло. Рекомендуется настроить клиенты так, чтобы они не использовали их. Как только соответствующие события перестанут регистрироваться в течение достаточно долгого периода, советуем настроить сервер на отклонение таких привязок.
Вы можете включить расширенное ведение журнала, чтобы регистрировать событие при каждой привязке клиента, включая сведения о том, на каком клиенте она сделана. Для этого следует поднять значение для категории ведения журнала событий "События интерфейса LDAP" до уровня 2 или выше.
Читайте также: