КД пропадает из ДНС

[mr. brightside]

Добрый день, уважаемые.

Есть проблема с одним из КД - он периодически отваливается из ДНСа.

Опытным путем установил когда и после чего это происходит:

отваливающийся КД занимается распространением политик. Заметил, что не некоторые машины в домене политики перестали применяться. В этот же момент из ДНСа стал пропадать КД. Если руками в ДНСе снова создать запись АД этого КД, то она там просуществует ровно до того момента, пока кто-нибудь из клиентов не выключит компьютер. На этапе отключения машина пытается загрузить политики и вуаля, - запись из ДНСа пропала.

Странное дело, что пли логоне такого не происходит.

Прогонял dc на обоих КД.

На проблемном:

Код: Выделить всё

C:\Users\AdminF>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = uran
   * Идентифицирован лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\URAN
      Запуск проверки: Connectivity
         Узел 87fd9d7b-dc38-42cb-aab0-1ba09ca80a30._msdcs.mydomain.local не удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP,
         имя сервера и т. д.
         Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра.
         ......................... URAN - не пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\URAN
      Пропуск всех проверок, поскольку сервер URAN не отвечает на запросы службы каталога.


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation

   Выполнение проверок разделов на: mydomain
      Запуск проверки: CheckSDRefDom
         ......................... mydomain - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... mydomain - пройдена проверка CrossRefValidation

   Выполнение проверок предприятия на: mydomain.local
      Запуск проверки: LocatorCheck
         ......................... mydomain.local - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... mydomain.local - пройдена проверка Intersite

На втором НЕпроблемном нет сообщений об ошибках, кроме:

Код: Выделить всё

  Выполнение проверок предприятия на: mydomain.local
     Запуск проверки: LocatorCheck
        Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1355
        Не удается найти основной контроллер домена.
        Сервер, которому принадлежит роль PDC, отключен.
        Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1355
        Не удается найти сервер времени.
        Сервер, которому принадлежит роль PDC, отключен.
        Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1355
        Не удается найти сервер точного времени.
        ......................... mydomain.local - не пройдена проверка LocatorCheck
     Запуск проверки: Intersite
        ......................... mydomain.local - пройдена проверка Intersite

Запуск дебага с ДНС не выявил проблем.

ipcinfig /all с проблемного КД:

Код: Выделить всё

C:\Users\AdminF>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : uran
   Основной DNS-суффикс  . . . . . . : mydomain.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : mydomain.local

Ethernet adapter Подключение по локальной сети 3:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet сетевой адаптер
   Физический адрес. . . . . . . . . : 00-C0-26-2D-4D-1C
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::40cd:97c3:5d26:271d%16(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.2(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.0.222
   IAID DHCPv6 . . . . . . . . . . . : 352370726
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-16-70-23-19-00-15-17-F5-9E-36
   DNS-серверы. . . . . . . . . . . : 192.168.0.1
                                       127.0.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{59502BA1-D2ED-4D4C-AAB4-B65DF369DC98}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

с "нормального":

Код: Выделить всё

C:\Users\AdminF>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : core
   Основной DNS-суффикс  . . . . . . : mydomain.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : mydomain.local

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Гигабитное сетевое подключение Intel(R) 82566DM-2
   Физический адрес. . . . . . . . . : 00-15-17-9D-7B-54
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::5ddc:a8d1:483c:fdac%11(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.0.222
   IAID DHCPv6 . . . . . . . . . . . : 234886423
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-16-7D-3D-7B-00-15-17-9D-7B-54
   DNS-серверы. . . . . . . . . . . : ::1
                                       192.168.0.2
                                       127.0.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{1A1A09D4-E143-43A2-A935-D6BAA7B307F2}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Понятное дело, что проблемный КД после исчезновения из ДНС записи не разрешается, но при этом пингуется.

Проверка на вирусы не выявила проблем.

Где выпрямлять руки?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

Уберите 127.0.0.1 из dns-серверов и пропишите нормальный ip(192.168.0.1 на одном и 192.168.0.2 на другом), надеюсь DNS у вас интегрирован в AD, поэтому в качестве первого DNS-a на DC прописывайте его ip... Ну и проверьте репликацию каталога...

[mr. brightside]

Уберите 127.0.0.1 из dns-серверов и пропишите нормальный ip(192.168.0.1 на одном и 192.168.0.2 на другом), надеюсь DNS у вас интегрирован в AD, поэтому в качестве первого DNS-a на DC прописывайте его ip... Ну и проверьте репликацию каталога...

поставил так:

предпочитаемый ДНС: 192.168.0.1 (нормальный сервер)
вторичный ДНС: 192.168.0.2 (проблемный)

Таким образом я убрал 127.0.0.1. Проблема с отваливаем КД при попытке применить политики сохраняется.

ОС на обоих КД Windows Server 2008 R2. Режим работы леса и домена - Windows Server 2008 R2.

Зоны DNS интегрированы с AD.

На обоих ДНС разрешены только безопасные динамические обновления. Удаление устаревших записей отключено.

Ошибок в журнале не вижу, за исключением этого:

Код: Выделить всё

Разрешение имен для имени 1.0.0.127.in-addr.arpa истекло после отсутствия ответа от настроенных серверов DNS.

Полагаю, что это из-за того, что вчера убрал 127.0.0.1 из настроек днс и прописал туда айпишники 192.168.0.1/2.

Репликация выполняется успешно как через оснастку "сайты и службы", так и через repadmin.

вывод команды netdom query fsmo с обоих КД:

С проблемного:

Код: Выделить всё

    C:\Users\AdminF>netdom query fsmo
    Хозяин схемы                uran.mydomain.local
    Хозяин именования доменов   uran.mydomain.local
    PDC                         uran.mydomain.local
    Диспетчер пула RID          uran.mydomain.local
    Хозяин инфраструктуры       uran.mydomain.local
    Команда выполнена успешно.

С "нормального":

Код: Выделить всё

    C:\Users\AdminF>netdom query fsmo
    Хозяин схемы                uran.mydomain.local
    Хозяин именования доменов   uran.mydomain.local
    PDC                         uran.mydomain.local
    Диспетчер пула RID          uran.mydomain.local
    Хозяин инфраструктуры       uran.mydomain.local
    Команда выполнена успешно.

[mr. brightside]

Обнаружил интересную "штучку"

Передача зон отключена.

Серийники начальной зоны на обоих КД соответствуют друг другу.

Вопрос: передачу зон то включить?

[snorlov]

У вас банально отваливается из-за того, что пытается регистрировать свой ip как локалхост, если интеграция зон имеется, то эта запись соответсвует, то одному, то другому серверу... Сделайте

Код: Выделить всё

ipconfig /registerdns

на каждом DC.
Передача зон тут не причем, у вас ведь и на одном и на другом dns-е зоны берутся(грузятся) из AD, да и вот еще что, у вас обратная зона то имеется или нет..
Удаление устаревших записей включите...

[mr. brightside]

У вас банально отваливается из-за того, что пытается регистрировать свой ip как локалхост, если интеграция зон имеется, то эта запись соответсвует, то одному, то другому серверу... Сделайте

Код: Выделить всё

ipconfig /registerdns

на каждом DC.
Передача зон тут не причем, у вас ведь и на одном и на другом dns-е зоны берутся из AD, да и вот еще что, у вас обратная зона то имеется или нет..

Получил уведомление об ответе за секунду до того, как собирался поставить галочку о передачи зон.

Код: Выделить всё

ipconfig /registerdns

Это уже делал примерно час назад. Насколько я знаю, то после этого нужен ребут. Сейчас нет возможности. Перезагружусь после окончания рабочего дня.

Настройки ДНС на обоих КД сейчас такие:

на 192.168.0.1 (core, "нормальный"):

Код: Выделить всё

Первичный: 192.168.0.1
Вторичный: 192.168.0.2

На 192.168.0.2 (uran, "проблемный"):

Код: Выделить всё

Первичный: 192.168.0.2
Вторичный: 192.168.0.1

Это верно?

[snorlov]

Перегружаться не надо, обратная зона 192.168.0.Х есть или нет, если нет, то создайте, она мастером при установки AD не создается, но для безпроблемной работы нужна... И еще раз прогоните netdiag и dcdiag на каждом DC. Посмотрите логи. Может оттуда что-нибудь почерпнете.

[mr. brightside]

Перегружаться не надо, обратная зона 192.168.0.Х есть или нет, если нет, то создайте, она мастером при установки AD не создается, но для безпроблемной работы нужна... И еще раз прогоните netdiag и dcdiag на каждом DC. Посмотрите логи. Может оттуда что-нибудь почерпнете.

Ой да, простите. Обратная зона конечно же создана еще при переходе с 2003 на 2008 сервер. А это было давно

Так а с сетевыми настройками верно? или нужно перекрестно указать?

[mr. brightside]

Вернее, настройки ДНС такие:

на 192.168.0.1 (core, "нормальный"):

Код: Выделить всё

    Первичный: 192.168.0.2
    Вторичный: 192.168.0.1

На 192.168.0.2 (uran, "проблемный"):

Код: Выделить всё

    Первичный: 192.168.0.2
    Вторичный: 192.168.0.1

Оба КД указывают на URAN (который отваливается) - этот вопрос с ДНСами меня всегда волновал Правильно так?

[Neus]

ну Вам же написали:

в качестве первого DNS-a на DC прописывайте его ip

т.е. на 1 пропишите 1, на 2 - 2 первым

[mr. brightside]

на 192.168.0.1 (core, "нормальный"):

Код: Выделить всё

Первичный: 192.168.0.1
Вторичный: 192.168.0.2

На 192.168.0.2 (uran, "проблемный"):

Код: Выделить всё

Первичный: 192.168.0.2
Вторичный: 192.168.0.1

Так?
простите за дотошность, но это же важно для меня...

[mr. brightside]

Есть ошибки с КД. Появились после повторного запуска repadmin /sync

Код: Выделить всё

Имя журнала:   DFS Replication
Источник:      DFSR
Дата:          14.09.2012 14:26:09
Код события:   5002
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     uran.mydomain.local
Описание:
Служба репликации DFS обнаружила ошибку в подключении к партнеру CORE для группы репликации Domain System Volume. 
 
DNS-адрес партнера: CORE.mydomain.local
 
Доступные дополнительные сведения: 
WINS-адрес партнера: CORE 
IP-адрес партнера: 192.168.0.1 
  
Служба периодически будет пытаться установить подключение. 
 
Дополнительные сведения: 
Ошибка: 1753 (В системе отображения конечных точек не осталось доступных конечных точек.) 
Идентификатор подключения: DD8CAB23-276F-4E44-8B9F-7D2DDB3EF4D7 
Идентификатор группы репликации: 5A70563A-02D5-412A-ABC2-2AC7D4DB4AD1

Код: Выделить всё

Имя журнала:   Directory Service
Источник:      Microsoft-Windows-ActiveDirectory_DomainService
Дата:          12.11.2012 12:06:22
Код события:   1083
Категория задачи:Репликация
Уровень:       Предупреждение
Ключевые слова:Классический
Пользователь:  АНОНИМНЫЙ ВХОД
Компьютер:     uran.mydomain.local
Описание:
Доменные службы Active Directory заняты обработкой информации, поэтому не удалось внести в следующий объект изменения, полученные от службы каталогов по следующему сетевому адресу. 
 
Объект:
CN=Рябова А.,OU=Стационарники,OU=Все остальные отделы,OU=Санкт-Петербург,DC=mydomain,DC=local
Сетевой адрес:
1a2019fe-dcee-4774-9bc8-647d1fae4ef2._msdcs.mydomain.local
 
Позже будет предпринята повторная попытка выполнения этой операции.

[snorlov]

dcdiag и netdiag что говорят

[mr. brightside]

С "проблемного":

Код: Выделить всё

C:\Users\AdminF>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = uran
   * Идентифицирован лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\URAN
      Запуск проверки: Connectivity
         ......................... URAN - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\URAN
      Запуск проверки: Advertising
         ......................... URAN - пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ......................... URAN - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... URAN - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... URAN - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... URAN - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... URAN - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... URAN - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... URAN - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         ......................... URAN - пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... URAN - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... URAN - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... URAN - пройдена проверка RidManager
      Запуск проверки: Services
         ......................... URAN - пройдена проверка Services
      Запуск проверки: SystemLog
         ......................... URAN - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         ......................... URAN - пройдена проверка VerifyReferences

   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: mydomain
      Запуск проверки: CheckSDRefDom
         ......................... mydomain - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... mydomain - пройдена проверка
         CrossRefValidation

   Выполнение проверок предприятия на: mydomain.local
      Запуск проверки: LocatorCheck
         ......................... mydomain.local - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... mydomain.local - пройдена проверка Intersite

с "нормального":

Код: Выделить всё

C:\Users\AdminF>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = CORE
   * Идентифицирован лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\CORE
      Запуск проверки: Connectivity
         ......................... CORE - пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\CORE
      Запуск проверки: Advertising
         ......................... CORE - пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ......................... CORE - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... CORE - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... CORE - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... CORE - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... CORE - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... CORE - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... CORE - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         ......................... CORE - пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... CORE - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ......................... CORE - пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... CORE - пройдена проверка RidManager
      Запуск проверки: Services
         ......................... CORE - пройдена проверка Services
      Запуск проверки: SystemLog
         ......................... CORE - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         ......................... CORE - пройдена проверка VerifyReferences

   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: mydomain
      Запуск проверки: CheckSDRefDom
         ......................... mydomain - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... mydomain - пройдена проверка
         CrossRefValidation

   Выполнение проверок предприятия на: mydomain.local
      Запуск проверки: LocatorCheck
         ......................... mydomain.local - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... mydomain.local - пройдена проверка Intersite

Короче говоря, ошибок нет.

Сетевые интерфейсы выставил так:

на "нормальном" с айпишником 192.168.0.1:

Код: Выделить всё

Предпочитаемый: 192.168.0.2
Альтернативный: 192.168.0.1

на "проблемном" с айпишником 192.168.0.2:

Код: Выделить всё

Предпочитаемый: 192.168.0.1
Альтернативный: 192.168.0.2

Т.е. настройка перекрестная в соответствии с http://support.microsoft.com/kb/825036.

Ошибок в журнале не вижу, но есть при проверке Роли ДНСа в диспетчере сервера:

Код: Выделить всё

    Название:
    DNS: DNS-зона _msdcs.mydomain.local интегрирована в Active Directory и должна быть доступна.
     
    Серьезность:
    Ошибка
     
    Дата:
    14.11.2012 9:27:44
     
    Категория:
    Настройка
     
    Проблема:
    Не удалось найти DNS-зону _msdcs.mydomain.local, интегрированную в Active Directory.
     
    Воздействие:
    DNS-запросы зоны _msdcs.mydomain.local, интегрированной в Active Directory, могут завершаться ошибками.
     
    Разрешение:
    Восстановите DNS-зону _msdcs.mydomain.local, интегрированную в Active Directory.
     
    Дополнительные сведения об этой рекомендации и подробные процедуры: http://go.microsoft.com/fwlink/?LinkId=189238

[snorlov]

Эта ошибка где на CORE или же на Uran? а netdiag что кажут...

[mr. brightside]

Так netdiag в 2008 R2 нету же?

Эта ошибка и там и там в диспетчере сервера при проверке роли ДНС

[mr. brightside]

Рекомендуют выгрузить базу в файл и загрузить обратно. Так и делать?

или вот так:

If it is the _msdcs.<YourADForestName> zone, simply Create a new Forward
Lookup zone named _msdcs.<YourADForrestName> allow dynamic updates and
restart the Netlogon service. (all records in this zone are registered by
the Netlogon service on DCs)

IF it is the _msdcs delegation and your have a _msdcs.<YourADForestName>
forward lookup zone, create a new delegation named _msdcs, give it the NS
records for all DNS servers that have the _msdcs.<YourADForestName> zone.

[Neus]

Т.е. настройка перекрестная в соответствии с http://support.microsoft.com/kb/825036.

и где там перекрестная настройка?
думаю проще снести проблемный контроллер и заново настроить

[mr. brightside]

Т.е. настройка перекрестная в соответствии с http://support.microsoft.com/kb/825036.

и где там перекрестная настройка?
думаю проще снести проблемный контроллер и заново настроить

Эти два способа можно объединить и установить удаленный сервер DNS как предпочитаемый DNS-сервер, а локальный контроллер домена как альтернативный сервер (или наоборот). Несмотря на множество преимуществ этого способа, существует ряд факторов, которые следует учесть перед изменением конфигурации:

и "прямой" и "перекрестный" варианты допустимы

[snorlov]

Остановите dns на проблемном DC, в свойствах его в качестве dns-сервера установите ip нормального DC, а на нормальном DC установите в качестве dns'а его собственный ip, перегрузитесь или снова перерегистрируйте записи через ipconfig /registerdns, сделайте репликацию, после чего прогоните тесты, если все будет ОК, то сносите с проблемного роль dns-сервера, перегружайтесь и ставьте ее заново, на всякий случай на этом DC проверьте файлы ваших зон, если есть убейте их.
Ну и помните
1. вы можете вообще убить dns и все поставить с нуля, только поскольку у вас все интегрировано в AD, то после убития необходима репликация...
2. вы можете использовать dns и с другого компа, им может быть к примеру и bind на *nix...

[mr. brightside]

Остановите dns на проблемном DC, в свойствах его в качестве dns-сервера установите ip нормального DC, а на нормальном DC установите в качестве dns'а его собственный ip, перегрузитесь или снова перерегистрируйте записи через ipconfig /registerdns, сделайте репликацию, после чего прогоните тесты, если все будет ОК, то сносите с проблемного роль dns-сервера, перегружайтесь и ставьте ее заново, на всякий случай на этом DC проверьте файлы ваших зон, если есть убейте их.

Почти так и сделал.

Так как все роли FSMO принадлежали проблемному КД, то я стопарнул ДНС на "нормальном" КД и настроил его на работу только с проблемным. Т.е. в свойствах всех КД и всех клиентов я указал в качестве предпочитаемого ДНС адрес проблемного КД.

Погонял тесты, посмотрел логи. Было чисто.

Тогда я запустил снова ДНС на нормальном КД и поставил перекрестное указание ДНСов, но только в формате 192.168.0.1/2, а не как раньше, - с использованием 127.0.0.1.

После этого еще раз погонял среду, посмотрел не возникают ли ошибки. Все было чисто и ничего не отваливалось.

После этого создал руками интегрированную зону в ДНС: _msdcs.mydomain.local. Погонял среду, ошибок не было и вот сегодня тоже чистота.

Таким образом я наполовину воспользовался схемой решения, приведенной Вами выше. Если бы не помогло, то да, - сносил бы и поднимал бы по-новой второй КД.

Спасибо огромное за помощь!

[snorlov]

Проблему сами себе создали начав юзать 127.0.0.1 в качестве адреса DNS...