Msdcs зона что это
Перейти к содержимому

Msdcs зона что это

  • автор:

DNS-сервер становится островом, когда контроллер домена указывает на себя для _msdcs. Домен ForestDnsName

В этой статье описано решение проблемы, из-за которой DNS-сервер становится островом, когда контроллер домена указывает на себя для _msdcs. Домен ForestDnsName. Дополнительные сведения см. в служба поддержки Майкрософт жизненного цикла.

Применимо к: Windows 2000
Исходный номер базы знаний: 275278

Симптомы

Вы используете контроллер домена под управлением Microsoft Windows 2000, на котором запущена служба DNS-сервера. Контроллер домена является полномочным для _msdcs. Домен ForestDnsName . Этот домен является корнем леса. В этом сценарии контроллер домена может не реплицироваться в Active Directory. При открытии оснастки Пользователи и компьютеры Active Directory вы заметите, что фокус контроллера домена установлен на другой контроллер домена. При запуске Netdiag.exe вы получите следующее сообщение об ошибке:

Тест DNS. . . . . . . . . . . . . : пройдена
Интерфейс
Домен DNS:
DNS-серверы: ,< IP-адрес2>,
IP-адрес: Expected registration with PDN (primary DNS domain name):
Имя узла: a.b.c.d.
Достоверная зона: b.c.d.
Основной DNS-сервер: a.b.c.d. < IP-адрес1>
Полномочный NS:,< IP-адрес1>.< IP-адрес1>
Проверьте регистрацию DNS:
Имя: a.b.c.d.
Ожидаемый IP-адрес:
IP-адрес : NO_ERROR
Ошибка RCODE_NAME_ERROR
Ошибка RCODE_NAME_ERROR

Ошибка 9003 RCODE_NAME_ERROR означает, что имя узла a.b.c.d. не существует на DNS-серверах, перечисленных в сообщении об ошибке.

Поведение, упомянутое в разделе «Симптомы «, может происходить при следующих обстоятельствах:

  • В корне леса есть несколько контроллеров домена, на которых запущена служба DNS-сервера.
  • Контроллер домена, на котором выполняется служба DNS-сервера, является основным DNS-сервером для _msdcs. Домен ForestDnsName .
  • Контроллер домена, на котором выполняется служба DNS-сервера, указывает на себя как предпочтительный или альтернативный DNS-сервер.

Причина

Это может произойти из-за того, что DNS-сервер для одного контроллера домена может не иметь обязательной записи CNAME указателя контроллера домена для DsaGuid._msdcs. ForestDnsName в своей зоне для другого контроллера домена.

Решение

Чтобы устранить эту проблему, ознакомьтесь со следующим сценарием. Затем используйте один из следующих двух методов в зависимости от нагрузки сервера и сетевых факторов.

В этом сценарии два контроллера домена, которые находятся в корне леса, DC1. example.com и DC2. example.com не реплицируются. Оба контроллера домена работают под управлением службы DNS-сервера. Оба контроллера домена являются полномочными для домена example.com.

Обе службы NetLogon контроллеров домена пытаются зарегистрировать свои записи DNS и находят, что предпочтительные DNS-серверы, которые сами являются доверенными, являются полномочными для зоны example.com. Оба DNS-сервера регистрируют записи DNS в локальной службе DNS-сервера. Одна из этих записей DNS — запись CNAME указателя контроллера домена для DsaGuid._msdcs. ForestDnsName. Когда DC1. example.com пытается выполнить репликацию с помощью DC2. example.com, DC1. example.com запрашивает у локального DNS-сервера запись CNAME для DC2 example.com, но не находит ее. Поэтому процесс репликации завершается неудачно.

Для устранения этого поведения можно использовать два следующих метода:

Способ 1

Выберите DNS-сервер, который находится в корневом каталоге леса, и наведите на него все остальные контроллеры домена в корневом домене в качестве основного DNS-сервера. Каждый контроллер домена, который находится в корневом домене, также можно настроить с помощью альтернативного DNS-сервера, если альтернативный DNS-сервер не будет указывать на себя в качестве альтернативного DNS-сервера. Контроллер домена, который работает в качестве основного расположения для других контроллеров домена в корне леса, должен указывать на себя для разрешения DNS.

Этот метод может быть не подходит, если основной DNS-сервер подвержен большим нагрузкам или если другие контроллеры домена, которые находятся в корне леса, географически распределены.

Пример

Domain = example.com (первый домен в лесу).
Три контроллера домена со службой DNS-сервера = DC1, DC2, DC3. example.com — это интегрированная зона Active Directory.
DC1 назначается в качестве основного расположения для этой конфигурации.

DC1 настроен так, чтобы он указывал на себя для параметров DNS-сервера в свойствах TCP/IP.
DC2 указывает на DC1 в качестве основного расположения и DC3 в качестве альтернативы.
DC3 указывает на DC1 в качестве основного расположения и DC2 в качестве альтернативы.

Способ 2

При установке Active Directory на сервер-член, находящегося в корне леса, необходимо настроить его основной DNS-сервер в качестве контроллера домена или как DNS-сервер со следующей записью CNAME указателя контроллера домена для всех остальных контроллеров домена в корне:
DsaGuid._msdcs. ForestName.

Установите службу DNS-сервера и включите интегрированную зону DNS Active Directory для репликации на новый контроллер домена. Затем новый контроллер домена можно изменить так, чтобы он указывал на себя в качестве основного или альтернативного DNS-сервера.

При наличии изменений IP-адресов для контроллеров домена, которые находятся в корне леса, может потребоваться выполнить действия, описанные в методе 1, пока это больше не потребуется. Убедившись, что изменения IP-адресов реплицированы в зону DNS нового контроллера домена, который находится в корне леса, контроллеры домена могут быть настроены так, чтобы они снова указывали на себя в качестве основного или альтернативного DNS-сервера.

Дополнительные сведения

Контроллер домена можно настроить так, чтобы он указывал на себя как предпочтительный или альтернативный DNS-сервер. Контроллер домена может не реплицироваться в Active Directory только в том случае, если этот контроллер домена также является основным DNS-сервером для _msdcs. Домен ForestDnsName .

После того как контроллер домена зарегистрировал DsaGuid._msdcs. ForestDnsName Запись CNAME с локальной службой DNS-сервера, контроллер домена можно настроить так, чтобы он указывал на себя как предпочтительный или альтернативный DNS-сервер. Администратор должен знать, что запись CNAME указателя контроллера домена для другого контроллера домена может быть случайно удалена из-за ошибки человека. Хотя служба NetLogon автоматически регистрирует эту запись CNAME указателя контроллера домена, ее можно создать только на контроллере домена. Репликация Active Directory этим контроллером домена записи CNAME указателя контроллера домена для другого контроллера домена может не выполняться, если этот контроллер домена также является основным DNS-сервером для the_msdcs. Домен ForestDnsName .

В следующем примере показан сценарий, в котором при наключении контроллера домена на себя в качестве предпочтительного DNS-сервера может возникнуть проблема с репликацией Active Directory.

  • DC1. example.com — это первый контроллер домена в лесу. Он настроен так, чтобы он указывал на себя как предпочтительный DNS-сервер, который является полномочным для зоны example.com.
  • Server2 — это компьютер под управлением Windows 2000 с локальным DNS-сервером. Сервер 2 настроен так, чтобы он указывал на себя как предпочтительный DNS-сервер. Сервер Server2 имеет сервер пересылки, для которого задано значение DC1. example.com.
  • Переведите Server2 на дополнительный контроллер домена DC2. example.com. Во время повышения роли интегрированная зона Example.com Active Directory реплицируется в DC2. example.com.
  • Перезапустите DC2. example.com. Когда DNS-сервер для DC2. При запуске example.com DNS-сервер загружает зону example.com из Active Directory. DNS-сервер для DC2. Затем example.com становится основным расположением для зоны example.com и _msdcs. Зона example.com. Запись CNAME указателя контроллера домена, зарегистрированная DC2. Example.com добавляется в локальную копию зоны example.com. Однако запись CNAME указателя контроллера домена, зарегистрированная DC2. Example.com не может быть реплицирован в DC1. example.com. Такое поведение может произойти из-за DC1. example.com запрашивает свой локальный DNS-сервер, который является полномочным для зоны example.com, но DNS-сервер для DC1. Example.com не содержит запись CNAME указателя контроллера домена, зарегистрированную DC2. example.com.

Обратная связь

Были ли сведения на этой странице полезными?

Запись _msdcs в настройках ДНС сервера

Author24 — интернет-сервис помощи студентам

Друзья — подскажите пожалуйста по настройкам ДНС.
Используется Windows Server 2008 R2.
Предполагаемая задача — Настройка ДНС сервера в локальном домене Bublik.com (local) (Артель Московские баранки)
Выполняем действия предлагаемые установщиком. В результате получаем в диспетчере две записи в зоне прямого просмотра (папки) _msdcs.Bublik.com и Bublik.com. Запись Bublik.com в свою очередь имеет свoю запись _msdcs.

Согласно теории — _msdcs — вспомогательный домен, который используется для группировки ресурсных записей о серверах, выполняющих специфические роли (такие как например сервер глобального каталога или основной котроллер домена).

Собственно прошу объяснить популярно.
1 Запись _msdcs.Bublik.com — Это та самая запись которая раньше ( Windows 2000 ) обозначалась точкой и которую советуют удалять?
2 Популярно, для дураков — объясните что эта запись значит, на что влияет?
3 В чём отличие _msdcs.Bublik.com и _msdcs
Чем больше читаю — тем больше путаюсь.

94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:

Как в настройках ДНС создать запись типа А?
Добрый вечер! Есть локальная сеть (без связи с инетом) с контроллером домена (ip-адрес.

ДНС сервера недоступны
Купил роутер-зте мф910л 4дж.Использую его на ноуте,вин 7 и на пк,вин 8.1 обе 64х.И стала такая.

Прописка днс сервера в роутере
Добрый день прописал в роутере предпочитаемый днс сервер яндекса думал это вставка изображения.

Оцените комплектующие сервера ДНС
Серверная плата Intel® S5000VSA Процессор (кол-во: 2) Processor Intel(r) Xeon(R) CPU E5320 @.

SRV записи регистрируемые службой Net Logon

Настройка серверов windows и linux

SRV записи

Как уже многие знают, Active Directory очень сильно опирается на инфраструктуру DNS. Она является основной рабочей лошадкой. Итак давайте посмотрим, какие записи присутствуют и необходимы для работы AD.

Прежде всего надо отметить, что DNS должен поддерживать SRV записи, они являются ключевыми и указывают на Well-Known службы. Когда клиент подключается к домену, то он запрашивает эти записи и получает адреса нужных служб.

Во время поднятия роли сервера до DC, все необходимые записи в DNS создаются автоматически. В последующем, когда вы добавляете другие DC, сайты, удаляете данные. Все это прописывается в DNS. Именно по этой причине DNS сервер должен поддерживать динамические обновления ресурсных записей. Данные записи можно найти в файле%systemroot%\System32\Config\Netlogon.dns.

Теперь давайте поговори поподробней и начнем с _msdcs

  • _msdcs это поддомен, определнный Microsoft. Его задача определять расположение DC, которые выполняю определнные роли в лесу и в домене. Данная зона хранится в forest-wide application directory partition. Служба Net Logon регистрирует SRV записи для индентификации Well-Known ресурсов, таких как DC (Domain Controller), GC (Global Catalog), PDC (Primary Domain Controller), Domains (Globally Unique Identifier, GUID), как прфиксы в поддомене _msdcs. Определенные таким образом поддомены опрделеяют Domain Controllers, находящиеся в домене или лесу и выполнящие определнные роли. Что бы определять расположение DC по типу или по GUID, сервера Windows регистрируют SRV по следующему шаблону:

_Service._Protocol.DcType._msdcs.DnsDomainName

  • SRV Записи. Когда контроллер домена загружается, служба Net Logon с помощью динамических обновлений регистрирует SRV и А записи на DNS сервере. SRV записи используются для закрепления имени службы ( к примеру LDAP) за DNS именем компьютера, на котором запущена данная служба. Когда рабочая станция подключается к домену, то она запрашивает DNS на наличие SRV записей по такой форме:

_Service._Protocol.DnsDomainName

Так как Active Directory использует TCP протокол, клиенты находять LDAP сервер в таком виде:

_ldap._tcp.DnsDomainName

  • SRV записи регистрируемые службой Net Logon
_ldap._tcp.DnsDomainName. Позволяет клиенту найти сервер с запущенным LDAP сервисом в домене DnsDomainName. К примеру: _ldap._tcp.inadmin.ru
_ldap._tcp.SiteName. _sites.DnsDomainName. Позволяет клиенту найти сервер с запущенным LDAP сервисом в домене DnsDomainName в сайте SiteName. SiteName относительное имя, которое хранится в контейнере Configuration в Active Directory. К примеру: _ldap._tcp.Moscow._Sites.inadmin.ru
_ldap._tcp.dc._msdcs.DnsDomainName. Позволяет клиенту найти контроллер домена в домене DnsDomainName. Все DС регистрируют данную SRV запись.
_ldap._tcp.SiteName. _sites.dc._msdcs.DnsDomainName. Позволяет клиенту найти контроллер домена в домене DnsDomainName в сайте SiteName. Все DС регистрируют данную SRV запись.
_ldap._tcp.pdc._msdcs.DnsDomainName. Позволяет клиенту найти PDC в домене DnsDomainName.Только PDC сервер регистрирует данную SRV запись.
_ldap._tcp.gc._msdcs.DnsForestName. Позволяет клиенту найти PDC в лесу DnsForestName.Только GC сервера регистрируют данную SRV запись.
_ldap._tcp.SiteName. _sites.gc._msdcs.DnsForestName. Позволяет клиенту найти GC в лесу DnsForestName.Только GC сервера принадлежащие данному лесу регистрируют данную SRV запись. К примеру: _ldap._tcp.Moscow._Sites._gc._msdcs.inadmin.ru
_gc._tcp.DnsForestName. Позволяет клиенту найти GC в данном домене. Только GC сервера принадлежащие данному лесу DnsForestName регистрируют данную SRV запись. К примеру: _gc._tcp.inadmin.ru
_gc._tcp.SiteName. _sites.DnsForestName. Позволяет клиенту найти GC в данном лесу DnsForestName в сайте SiteName. Только GC сервера принадлежащие данному лесу DnsForestName регистрируют данную SRV запись. К примеру: _gc._tcp._Moscow._Sites.inadmin.ru
_ldap._tcp.DomainGuid. domains._msdcs.DnsForestName. Позволяет клиентам найти DC по GUID. GUID это 128-битный уникальный указатель. Расчитано на тот момент, когда DnsDomainName и DnsForestName изменились. К примеру: _ldap._tcp.4f904480-7c78-11cf-b057-00aa006b4f8f.domains. _msdcs.inadmin.ru
_kerberos._tcp.DnsDomainName. Позволяет клиентам найти Kerberos KDC в данном домене DnsDomainName. Все DC регистрируют данную SRV запись.
_kerberos._udp.DnsDomainName. Тоже самое, что и _kerberos._tcp. DnsDomainName только через UDP
_kerberos._tcp.SiteName. _sites.DnsDomainName. Позволяет клиентам найти Kerberos KDC в данном домене DnsDomainName в сайте SiteName. Все DC регистрируют данную SRV запись.
_kerberos._tcp.dc._msdcs.DnsDomainName. Позволяет клиентам найти DC на котором запущена роль Kerberos KDC в данном домене DnsDomainName. Все DC с ролью KDC регистрируют данную SRV запись.
_kerberos.tcp.SiteName. _sites.dc._msdcs.DnsDomainName. Позволяет клиентам найти DC на котором запущена роль Kerberos KDC в данном домене DnsDomainName в сайте SiteName. Все DC с ролью KDC регистрируют данную SRV запись.
_kpasswd._tcp.DnsDomainName. Позволяет найти Kerberos Password Change для текущего домена. Все DC c ролью kerberos KDC регистрирую данную SRV запись
_kpasswd._udp.DnsDomainName. Тоже самое, что и _kpassword._tcp. DnsDomainName только через UDP

Так же у SRV записей есть дополнительные поля:

Priority Приоритет сервера. Клиенты пытаются подключиться к серверам с меньшим приоритетом.
Weight Используется в роли Load-balanced для серверов с одинаковым приоритетом. Клиенты рандомно выбирают сервер с вероятностью, пропорциональной весу.
Port Number Порт, на котором сервер «слушает»
Target FQDN сервера
Популярные Похожие записи:
  • Исправляем Error issuing replication: 8452 (0x2104)Исправляем Error issuing replication: 8452 (0x2104)
  • Не удалось назначить SPN учетной записи, ошибка 0x21c7/8647Не удалось назначить SPN учетной записи, ошибка 0x21c7/8647
  • База данных диспетчера учетных записей на сервере не содержит записиБаза данных диспетчера учетных записей на сервере не содержит записи
  • NLB: Access denied. Error connecting to server
  • Что такое DNS сервер, просто о сложномЧто такое DNS сервер, просто о сложном
  • Active Directory от А до ЯActive Directory от А до Я

Msdcs зона что это

«содержимое зоны _msdcs»

Вариант для распечатки
Пред. тема | След. тема
Форум Разное)
Изначальное сообщение [ Отслеживать ]

Добрый день сообществу! Досталась недавно в наследство сеть недоделанная — порядка сотни рабочих мест. Старый админ пытался поднять контроллер домена на самбе во времена ещё самбы 3.0, но не доделал (я освежил тут в гугле воспоминания — на 3.х самбе вообще очень непросто сделать PDC) и ушёл дальше. Часть сервисов осталась на фрюниксе (freebsd — dhcp, dns, etc), часть (контроллерно-доменная) — на w2k. Ходили в конторе два эникейщика — нажимали нужные кнопки, создавали пользователей. В настоящее время в живых остался один контроллер домена на одном винте с периодическими подтормаживаниями. С финансированием в госконторе туго: чтобы что-то приобрести — нужен тендер, договора и многое другого. Пару лет назад приобрели они для бухгалтерии приличную машинку под 1.С 8. Возникла идея — поднять в виртуалке BDC на случай краха основного контроллера (похоже, подтормаживает из-за «усталости» винта). В DNS-зоне на фрюниксе есть записи вида
_ldap._tcp.590de540-a1cf-458e-9a0d-bb3941a1ae84.domains._msdcs 600 SRV 0 100 389 newserver.ххх.ххх.ххх.
как я понимаю вот это «590de540-a1cf-458e-9a0d-bb3941a1ae84» — это какой-то id сервера-контроллера домена. Как найти id нового сервера, чтобы прописать его вторым контроллером в dns-е, чтобы клиенты могли к нему обращаться? Я ж так понимаю, что при вводе нового контроллера в AD, винда сама генерирует эти циферки и прописывает в нужной зоне.
Гугл как-то не просветлил пока (я подозреваю, что я вопрос неправильно формулирую) — «воды» много, а до сути добраться не могу. Подскажите, кто в данном вопросе разбирался — где искать и куда копать?
Спасибо и с праздниками всех!

Оглавление

  • gt оверквотинг удален Вы часом не из администрации Владимирской области , Square1 (?), 22:48 , 06-Янв-17, (1)
    • guff on Нет Совсем не из администрации, совсем не из Владимирской Просто госп, ASphinx (??), 01:06 , 07-Янв-17, (2)
      • При вводе в домен BDC он пропишется в DNS на PDC win2k Из этой зоны DNS возьми , ПавелС (ok), 09:43 , 07-Янв-17, (3)
        • Так у нас на DC dns-а нет — автоматически ничего не создаётся Или вы предлагает, ASphinx (??), 11:31 , 07-Янв-17, (4)
          • значит у вас ошибка в dhcp dns DDNS , либо машину прописали руками в днс , admin (??), 12:22 , 07-Янв-17, (5)
            • Какая ошибка dhcpd выдаёт клиентам адреса из пула, кроме основных сервисов — ма, ASphinx (??), 22:13 , 07-Янв-17, (7)
            • Да тут накручено в конфигах и зонах — штук по 8 мастер-зон в трёх видах из разны, ASphinx (??), 00:22 , 08-Янв-17, (8)
              • gt оверквотинг удален Имеют, по существу это gid sid домена и соответствующе, Аноним (-), 12:37 , 08-Янв-17, (9)
                • gt оверквотинг удален Да, я уже вычитал, что это формируется чуть ли не процес, ASphinx (??), 16:32 , 08-Янв-17, (11)
                • Может Есть многое на свете, друг Горацио, что и не снилось нашим мудрецам , ASphinx (??), 17:02 , 08-Янв-17, ( 12 )
                  • gt оверквотинг удален В общем, результат следующий даём в конфигах bind-а пра, ASphinx (??), 11:52 , 12-Янв-17, ( 14 )
                    • Про обратную зону не забыл , Сергей (??), 13:36 , 12-Янв-17, ( 15 )

                    >[оверквотинг удален]
                    > newserver.ххх.ххх.ххх.
                    > как я понимаю вот это «590de540-a1cf-458e-9a0d-bb3941a1ae84» — это какой-то id сервера-контроллера
                    > домена. Как найти id нового сервера, чтобы прописать его вторым контроллером
                    > в dns-е, чтобы клиенты могли к нему обращаться? Я ж так
                    > понимаю, что при вводе нового контроллера в AD, винда сама генерирует
                    > эти циферки и прописывает в нужной зоне.
                    > Гугл как-то не просветлил пока (я подозреваю, что я вопрос неправильно формулирую)
                    > — «воды» много, а до сути добраться не могу.
                    > Подскажите, кто в данном вопросе разбирался — где искать и куда копать?
                    > Спасибо и с праздниками всех!

                    Вы часом не из администрации Владимирской области?

                    >>[оверквотинг удален]
                    > Вы часом не из администрации Владимирской области?

                    [guff on]Нет. Совсем не из администрации, совсем не из Владимирской. Просто госпредприятие «под крылом» у своей (местной) госадминистрации.[guff off]

                    >>>[оверквотинг удален]
                    >> Вы часом не из администрации Владимирской области?
                    > [guff on]Нет. Совсем не из администрации, совсем не из Владимирской. Просто госпредприятие
                    > «под крылом» у своей (местной) госадминистрации.[guff off]

                    При вводе в домен BDC он пропишется в DNS на PDC win2k. Из этой зоны DNS возьми нужную инфу если тебе её нужно где-то повторить. На всех контроллерах домена зона DNS выглядит одинаково.

                    >>>>[оверквотинг удален]
                    >>> Вы часом не из администрации Владимирской области?
                    >> [guff on]Нет. Совсем не из администрации, совсем не из Владимирской. Просто госпредприятие
                    >> «под крылом» у своей (местной) госадминистрации.[guff off]
                    > При вводе в домен BDC он пропишется в DNS на PDC win2k.
                    > Из этой зоны DNS возьми нужную инфу если тебе её нужно
                    > где-то повторить. На всех контроллерах домена зона DNS выглядит одинаково.

                    Так у нас на DC dns-а нет — автоматически ничего не создаётся. Или вы предлагаете промоделировать ситуацию в виртуалке?

                    > Так у нас на DC dns-а нет — автоматически ничего не создаётся.

                    значит у вас ошибка в dhcp + dns (DDNS), либо машину прописали руками в днс.

                    >> Так у нас на DC dns-а нет — автоматически ничего не создаётся.
                    > значит у вас ошибка в dhcp + dns (DDNS), либо машину прописали
                    > руками в днс.

                    Какая ошибка? dhcpd выдаёт клиентам адреса из пула, кроме основных сервисов — маски, маршруты, dns, ntp, имена домена. В dns-е прописаны остальные необходимые сервисы — файлопомойка, pdc, smtp-pop и остальное-прочее, что нужно клиентам. На dc прописаны пользователи, в групповых политиках определены прокси, шары на файлопомойках — всё красиво и чётко, всё работает нормально. Вот только беспокоит меня состояние pdc и нет дублирующего dc.

                    >> При вводе в домен BDC он пропишется в DNS на PDC win2k.
                    >> Из этой зоны DNS возьми нужную инфу если тебе её нужно
                    >> где-то повторить. На всех контроллерах домена зона DNS выглядит одинаково.
                    > Так у нас на DC dns-а нет — автоматически ничего не создаётся.
                    > Или вы предлагаете промоделировать ситуацию в виртуалке?

                    Проще перенести dhcp и dns на ваш PDC, либо в настройках dns’а разрешить обновление соответствующих зон контроллерами домена. да и про обратную зону не забудьте.

                    >>> При вводе в домен BDC он пропишется в DNS на PDC win2k.
                    >>> Из этой зоны DNS возьми нужную инфу если тебе её нужно
                    >>> где-то повторить. На всех контроллерах домена зона DNS выглядит одинаково.
                    >> Так у нас на DC dns-а нет — автоматически ничего не создаётся.
                    >> Или вы предлагаете промоделировать ситуацию в виртуалке?
                    > Проще перенести dhcp и dns на ваш PDC, либо в настройках

                    Да тут накручено в конфигах и зонах — штук по 8 мастер-зон в трёх видах из разных интерфейсов — я ещё не до конца разобрался, боюсь поломать ненароком. Судя по серийнику, последние изменения в конфиги ad-зоны вносились ещё в 2007 году.

                    > dns’а разрешить обновление соответствующих зон контроллерами домена. да и про обратную
                    > зону не забудьте.

                    Вот, наверное, в виртуалке скопирую конфигурацию bind-а и поиграюсь с автообновлением зон. Но хотелось бы ещё какой-то механизм. На другом форуме прозвучало слово powershell, но чёткого рецепта (командлета) пока не нашёл. В конфиге зоны есть две строки:
                    _ldap._tcp.590de540-a1cf-458e-9a0d-bb3941a1ae84.domains._msdcs 600 SRV 0 100 389 newserver.ххх.ххх.ххх.
                    и
                    e2a723c0-ae95-48ba-8d12-9c66e06c5337._msdcs 600 CNAME newserver.ххх.ххх.ххх.

                    В реестре pdc (newserver) нет ничего по этим наборам цифр. Имеют ли они вообще какой-то реальный смысл?

                    >[оверквотинг удален]
                    > Вот, наверное, в виртуалке скопирую конфигурацию bind-а и поиграюсь с автообновлением зон.
                    > Но хотелось бы ещё какой-то механизм. На другом форуме прозвучало слово
                    > powershell, но чёткого рецепта (командлета) пока не нашёл. В конфиге зоны
                    > есть две строки:
                    > _ldap._tcp.590de540-a1cf-458e-9a0d-bb3941a1ae84.domains._msdcs 600 SRV 0 100 389
                    > newserver.ххх.ххх.ххх.
                    > и
                    > e2a723c0-ae95-48ba-8d12-9c66e06c5337._msdcs 600 CNAME newserver.ххх.ххх.ххх.
                    > В реестре pdc (newserver) нет ничего по этим наборам цифр. Имеют ли
                    > они вообще какой-то реальный смысл?

                    Имеют, по существу это gid/sid домена и соответствующего контроллера домена, да вы не парьтесь, эти вещи сами микрософтовские сервера и сформируют и обновят, если дадите нужные права, там кстати не только эти записи нужны для корректной работы ад, а так, по существу вам нужна только прямая и обратная зона ад, посмотрите какой основной суффикс имеет домен ад, это в свойствах системы на контроллере, вот он и является основным, все остальные не играют никакой роли для домена ад, правда них может быть завязано другое.
                    Посмотрите также какой днс у контроллера первый и на какие записи на нем в логе.

                    >[оверквотинг удален]
                    >> В реестре pdc (newserver) нет ничего по этим наборам цифр. Имеют ли
                    >> они вообще какой-то реальный смысл?
                    > Имеют, по существу это gid/sid домена и соответствующего контроллера домена,
                    > да вы не парьтесь, эти вещи сами микрософтовские сервера и сформируют
                    > и обновят, если дадите нужные права, там кстати не только эти
                    > записи нужны для корректной работы ад, а так, по существу вам
                    > нужна только прямая и обратная зона ад, посмотрите какой основной суффикс
                    > имеет домен ад, это в свойствах системы на контроллере, вот он
                    > и является основным, все остальные не играют никакой роли для домена
                    > ад, правда них может быть завязано другое.

                    Да, я уже вычитал, что это формируется чуть ли не процессом winlogon, сама зона _msdcs у меня вопросов не не вызывает, как и её содержимое. Вот только непонятны были записи e2a723c0-ae95-48ba-8d12-9c66e06c5337 и 590de540-a1cf-458e-9a0d-bb3941a1ae84 — откуда они берутся и их смысловая нагрузка, их необходимость. Про то, что это как-то относится к dc я почти сразу догадался, но вот дальше — их смысл и источник был непонятен и загадочен.

                    Сейчас с источником я разобрался — это GUID dc, хотя со смыслом я пока не разобрался: в зоне оно прописано как CNAME для netbios-имени сервера. Ну да ладно — главное, я нашёл, как его из системы извлечь: http://forum.oszone.net/thread-187057.html Теперь можно правильно прописать новый bdc в домене.

                    >>>>>[оверквотинг удален]
                    >>>> Вы часом не из администрации Владимирской области?
                    >>> [guff on]Нет. Совсем не из администрации, совсем не из Владимирской. Просто госпредприятие
                    >>> «под крылом» у своей (местной) госадминистрации.[guff off]
                    >> При вводе в домен BDC он пропишется в DNS на PDC win2k.
                    >> Из этой зоны DNS возьми нужную инфу если тебе её нужно
                    >> где-то повторить. На всех контроллерах домена зона DNS выглядит одинаково.
                    > Так у нас на DC dns-а нет — автоматически ничего не создаётся.
                    > Или вы предлагаете промоделировать ситуацию в виртуалке?

                    Ну этого не может быть. Если поднята Active Directory то на PDC точно автоматически суонфигурирован DNS сервер и он указан всем рабочим станциям. Иначе рабочие станции не аутентифицируют в домене. Смотрите оснастку администрирование->DNS.

                    >>>>>>[оверквотинг удален]
                    >> Так у нас на DC dns-а нет — автоматически ничего не создаётся.
                    >> Или вы предлагаете промоделировать ситуацию в виртуалке?
                    > Ну этого не может быть. Если поднята Active Directory то на PDC
                    > точно автоматически суонфигурирован DNS сервер и он указан всем рабочим станциям.
                    > Иначе рабочие станции не аутентифицируют в домене. Смотрите оснастку администрирование->DNS.

                    Может. «Есть многое на свете, друг Горацио, что и не снилось нашим мудрецам» (С) классик
                    Судя по всему, старый админ среплицировал зону в named, потом несколько раз правил по мере необходимости исходя из своих соображений — какой-то серийник зоны в файле заремлен и судя по нему, это было в начале 2006 года. Последняя правка зоны, судя по действующему серийнику, была в 2007. С тех пор конфигурация домена, вероятно, не менялась. А на pdc служба dns опущена и ругани в системных журналах по этому поводу нет. Можно попробовать поднять службу, но по админской заповеди «работает — не трожь», хочется минимизировать изменения. В общем, вроде найден ответ, погоняю тесты в виртуалке после праздников, если всё получится — займусь bdc.

                    Всем спасибо и с праздниками!

                    >[оверквотинг удален]
                    > Судя по всему, старый админ среплицировал зону в named, потом несколько раз
                    > правил по мере необходимости исходя из своих соображений — какой-то серийник
                    > зоны в файле заремлен и судя по нему, это было в
                    > начале 2006 года. Последняя правка зоны, судя по действующему серийнику, была
                    > в 2007. С тех пор конфигурация домена, вероятно, не менялась. А
                    > на pdc служба dns опущена и ругани в системных журналах по
                    > этому поводу нет. Можно попробовать поднять службу, но по админской заповеди
                    > «работает — не трожь», хочется минимизировать изменения. В общем, вроде найден
                    > ответ, погоняю тесты в виртуалке после праздников, если всё получится —
                    > займусь bdc.

                    В общем, результат следующий: даём в конфигах bind-а право dc (вписываем всех, что планируем поднимать до уровня dc) апдейтить зону — и всё в шоколаде. Увы, к сожалению, ScriptomaticV2 не всегда правильно находит данные (может, я не все значения перебрал, но их там много 🙁 ), в частности, на dc в виртуалке он мне определил GUID FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF, хотя в зоне бинда всё прописалось нормально. Кроме того, M$ дописывает ещё тройку GUID-ов для каких-то своих целей. Уж с этим-то вручную совсем трудно угадать. 🙁

                    Снова спасибо всем, кто участвовал в дискуссии.

                    >>[оверквотинг удален]
                    > В общем, результат следующий: даём в конфигах bind-а право dc (вписываем всех,
                    > что планируем поднимать до уровня dc) апдейтить зону — и всё
                    > в шоколаде.

                    Про обратную зону не забыл.
                    > Снова спасибо всем, кто участвовал в дискуссии.

                    > Ну этого не может быть. Если поднята Active Directory то на PDC
                    > точно автоматически суонфигурирован DNS сервер и он указан всем рабочим станциям.
                    > Иначе рабочие станции не аутентифицируют в домене. Смотрите оснастку администрирование->DNS.

                    Ад великолепно живет с dns’ом на bind, главное в этом, чтобы bind давал контроллеру обновлять нужные ему, контроллеру, зоны и был первым у виндовых станцийй.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *