Os registros DNS do domínio SRV do servidor 2012 R2 Active Directory desapareceram repentinamente

8

Eu tenho um domínio de teste que configurei recentemente. De repente, nenhum usuário pode efetuar login, exceto aqueles com credenciais em cache. O domínio inclui dois controladores de domínio que são catálogos globais que se replicam.

Após investigar o problema, descobri que todos os registros de domínio _mcdcs desapareceram completamente nos dois servidores DNS. Isso torna impossível localizar um controlador de domínio porque os registros SRV, como _ldap e _kerberos, não podem ser resolvidos.

Não sei ao certo como isso aconteceu ... isso é algo que a limpeza do cache ou da eliminação do DNS causaria?

Neste ponto, preciso restaurar os registros de alguma forma. Eu olhei as configurações de outro domínio e parece que elas podem ser recriadas manualmente ... mas notei que alguns dos registros DNS parecem ter nomes SID neles ... e não tenho idéia de qual identificador precisaria ser usado para recriá-los.

Existe um processo melhor que se possa usar para sair de uma situação como essa?

Super1337
fonte
Os registros sumiram ou toda a zona _msdcs desapareceu?
Clayton
vale a pena tentar nltest / dsregdns em cmd
Idan4326

Respostas:

12

1. Reinicie o serviço Netlogon em um dos controladores de domínio

OU

2. Execute o DCDiag / fix

OU

3. Crie manualmente os registros do arquivo netlogon.dns de um dos controladores de domínio

joeqwerty
fonte
O DCDiag / fix e a reinicialização do netlogon não funcionaram para mim ... Consegui encontrar o arquivo netlogon.dns e recriar todos os registros do dns. Foi bastante doloroso ... Levei cerca de 30 minutos para criá-los e testá-los manualmente, mas no final parece ter resolvido o problema. Obrigado por seus pensamentos
Super1337
Se você não conseguir fazer login em nenhum dos controladores de domínio para realizar nenhum desses itens, reiniciar o controlador de domínio também (na verdade) alcançará o número 1 acima. Quando o serviço netlogon for iniciado, ele tentará registrar todos os registros _ SRV necessários.
Cory Plastek
3

É incomum que os registros DNS sejam excluídos (a menos que uma pessoa os exclua). Geralmente eles são dnsTombstoned, portanto os registros ainda podem aparecer se você usar outra ferramenta como o ADSIEdit, mesmo que não seja visível no DNS Manager ou no nslookup.

Existem casos extremos em que a eliminação pode causar isso (e muitos outros problemas se a eliminação não estiver configurada corretamente).

http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx

http://blogs.technet.com/b/ad/archive/2008/08/08/a-complicated-scenario-regarding-dns-and-the-dc-locator-srvs.aspx

Greg Askew
fonte
Existem muitas causas diferentes. support.microsoft.com/en-us/kb/2985877
HiredMind
1

Reiniciei o serviço NetLogon e executei, dcdiag /fixmas não houve sorte. Após 3-4 horas de pesquisa e leitura, decidi desinstalar os Serviços do Active Directory e instalá-lo novamente, mas a instalação também falhou!

Então eu decidi adicionar registros DNS manualmente de acordo com este e este , então eu eliminados da zona de domínio e acrescentou-lo novamente, e ao adicionar a zona notei Permitir somente atualizações dinâmicas seguras , e lembrei-me de algum lugar que essa configuração deve ser ativada, então marquei essa caixa de seleção e reiniciei o serviço netlogon e tadaaa !! Adicionou todos os registros. Eu também corri dcdiag /fixe depois dcdiag. Todos os testes foram aprovados, exceto um (SystemLog, eu acho) que eu ignorei. Depois disso, eu poderia ingressar em outros computadores no domínio. Este talvez seja o caso de outros. Apenas necessário para habilitar atualizações dinâmicas seguras na zona do meu domínio.

Espero que isso impeça que outras pessoas passem por todo esse problema que eu passei.

Ashkan
fonte
oh sim wham bam obrigado cara! Eu tinha uma configuração do azone muito antes de converter o servidor em DC - tudo o que eu precisava fazer era excluir a zona antiga e adicioná-la novamente. Boom .. tudo adicionado novamente. Obrigado! (acho que antes não estava configurado para o AD e o adicionei depois do DC tinha a opção do AD que você mencionou para atualizações seguras) - E agora posso conectar-me ao meu domínio! Obrigado!
Piotr Kula