Как сделать запасной контроллер домена
Как сделать запасной контроллер домена
Общие обсуждения
Все ответы
Пожалуйста, приведите результат проверки DNS из выдачи команды
Прежде всего, обращает на себя внимание, что у Вас на DC н6астроены странные адреса серверов DNS
Прежде всего, что такое у Вас с адресом: 192.168.2.11: этот адрес не принадлежит ни одному DC
Во-вторых, на «основном» у Вас, похоже, указаны адреса DNS провайдера 212.94.96.124 и 212.94.96.70
Если ваши DC не умеют напрямую разрешать имена из интернета, то надо настроить на них пересылку на сервер DNS провайдера.
Я пытаюсь сделать чтобы домен мог работать без Основного контроллера (На одном Резервном) неограниченно долго.
dcdiag /test:dns /v ДЛЯ:
для чего Вы это делаете? опишите целиком Вашу ситуацию.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
dcdiag /test:dns /v ДЛЯ:
У вас еще дополнительный NIC для инета, да еще и с адресов из локльного пространства адресов-которые выдает вам ISP..Обратите внимание, на то что на DC должны быть прописаны DNS только самого DC и дополнительно DC! Походу у вас проблема из-за дополнительного NIC. Плюс сделайте выделенный шлюз в инет а свой DNS настройте как сервер пересылки на выделенный шлюз-через который получаете интернет.
И вообще попробуйте для начала убрать инетовский NIC и сделать все правильно! Как пить дать, где то у вас проблема с DNS- а это очень чувствительная зона! Так что проверяйте.
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер isatap.oo.ru:
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Настройка протокола IP для Windows
Ethernet adapter Internet:
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер Подключение по локальной сети*:
Туннельный адаптер Подключение по локальной сети* 8:
Туннельный адаптер Подключение по локальной сети* 9:
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер Подключение по локальной сети* 4:
Поподробнее, пожалуйста. NS записи там есть на обои DC.
А вот что говорит клиент при попытке сделать его членом домена:
DNS успешно запросила запись ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена «oo.ru»:
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.oo.ru
Этим запросом были идентифицированы следующие контроллеры домена Active Directory:
К возможным причинам этой ошибки относятся:
— Контроллеры доменов Active Directory, зарегистрированные в DNS, не подключены к сети или не запущены.
Выполните netdiag /fix и dcdiag /fix. Также, как советовали выше, отключите регистрацию Internet-адаптера в DNS и прослушивание DNS-сервером этого интерфейса, проверьте все A и AAAA-записи, чтобы упоминания об этом адаптере в DNS не осталось вообще.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Follow us on Twitter
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий
Как отключить регистрацию Internet-адаптера в DNS?
C:\Users\Администратор>dcdiag /test:dns /v /x:Основной.xml
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
* Проверка, является ли локальный компьютер OO сервером каталогов.
Основной сервер = OO
* Подключение к службе каталога на сервере OO.
* Идентифицирован лес AD.
Collecting AD specific global data
* Сбор сведений о сайте.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=oo,DC=ru,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSe
ttings).
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=oo,DC=ru
Getting ISTG and options for the site
* Выполнение идентификации всех серверов.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=oo,DC=ru,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa).
.
The previous call succeeded.
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=OO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configura
tion,DC=oo,DC=ru
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
Getting information for the server CN=NTDS Settings,CN=OTO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
ation,DC=oo,DC=ru
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Идентификация всех перекрестных ссылок NC.
* Найдено 2 DC (контроллеров домена). Проверка 1 из них.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\OO
Проверка пропущена по запросу пользователя: Advertising
Проверка пропущена по запросу пользователя: CheckSecurityError
Проверка пропущена по запросу пользователя: CutoffServers
Проверка пропущена по запросу пользователя: FrsEvent
Проверка пропущена по запросу пользователя: DFSREvent
Проверка пропущена по запросу пользователя: SysVolCheck
Проверка пропущена по запросу пользователя: KccEvent
Проверка пропущена по запросу пользователя: KnowsOfRoleHolders
Проверка пропущена по запросу пользователя: MachineAccount
Проверка пропущена по запросу пользователя: NCSecDesc
Проверка пропущена по запросу пользователя: NetLogons
Проверка пропущена по запросу пользователя: ObjectsReplicated
Проверка пропущена по запросу пользователя: OutboundSecureChannels
Проверка пропущена по запросу пользователя: Replications
Проверка пропущена по запросу пользователя: RidManager
Проверка пропущена по запросу пользователя: Services
Проверка пропущена по запросу пользователя: SystemLog
Проверка пропущена по запросу пользователя: Topology
Проверка пропущена по запросу пользователя: VerifyEnterpriseReferences
Проверка пропущена по запросу пользователя: VerifyReferences
Проверка пропущена по запросу пользователя: VerifyReplicas
Запуск проверки: DNS
Выполнение проверок разделов на: ForestDnsZones
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation
Выполнение проверок разделов на: Schema
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation
Выполнение проверок разделов на: Configuration
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation
Выполнение проверок разделов на: oo
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation
Выполнение проверок предприятия на: oo.ru
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: OO.oo.ru
Домен: oo.ru
TEST: Authentication (Auth)
Тест проверки подлинности: завершен успешно
TEST: Forwarders/Root hints (Forw)
Recursion is enabled
Forwarders are not configured on this DNS server
Root hint Information:
Name: a.root-servers.net. IP: 198.41.0.4 [Valid]
Name: a.root-servers.net. IP: 2001:503:ba3e::2:30 [Invalid (unreachable)]
Ошибка. Список корневых ссылок содержит неверный сервер корневых ссылок: a.root-servers.net.
(2001:503:ba3e::2:30)
Name: b.root-servers.net. IP: 128.9.0.107 [Invalid (unreachable)]
Ошибка. Список корневых ссылок содержит неверный сервер корневых ссылок: b.root-servers.net.
(128.9.0.107)
Name: b.root-servers.net. IP: 192.228.79.201 [Valid]
Name: c.root-servers.net. IP: 192.33.4.12 [Valid]
Name: d.root-servers.net. IP: 128.8.10.90 [Valid]
Name: d.root-servers.net. IP: 2001:500:2d::d [Invalid (unreachable)]
Ошибка. Список корневых ссылок содержит неверный сервер корневых ссылок: d.root-servers.net.
(2001:500:2d::d)
Name: e.root-servers.net. IP: 192.203.230.10 [Valid]
Name: f.root-servers.net. IP: 192.5.5.241 [Valid]
Name: g.root-servers.net. IP: 192.112.36.4 [Valid]
Name: h.root-servers.net. IP: 128.63.2.53 [Valid]
Name: i.root-servers.net. IP: 192.36.148.17 [Valid]
Name: j.root-servers.net. IP: 192.58.128.30 [Valid]
Name: k.root-servers.net. IP: 193.0.14.129 [Valid]
Name: l.root-servers.net. IP: 198.32.64.12 [Invalid (unreachable)]
Ошибка. Список корневых ссылок содержит неверный сервер корневых ссылок: l.root-servers.net.
(198.32.64.12)
Name: l.root-servers.net. IP: 199.7.83.42 [Valid]
Name: m.root-servers.net. IP: 202.12.27.33 [Valid]
TEST: Delegations (Del)
Delegation information for the zone: oo.ru.
Delegated domain name: _msdcs.oo.ru.
DNS server: oo.oo.ru. IP:192.168.2.11 [Valid]
DNS server: oto.oo.ru. IP:192.168.2.55 [Valid]
TEST: Dynamic update (Dyn)
Test record _dcdiag_test_record added successfully in zone oo.ru
Test record _dcdiag_test_record deleted successfully in zone oo.ru
TEST: Records registration (RReg)
Сетевой адаптер [00000013] Realtek RTL8139/810x Family Fast Ethernet сетевой адаптер:
Matching CNAME record found at DNS server 192.168.2.11:
7e59c82d-bb82-494c-b6b2-80c545b7e907._msdcs.oo.ru
Внимание!
Отсутствует запись A на DNS-сервере 192.168.2.11:
OO.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_ldap._tcp.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_ldap._tcp.9be45239-2c2b-4e52-9fb7-dac1ce34052a.domains._msdcs.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_kerberos._tcp.dc._msdcs.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_ldap._tcp.dc._msdcs.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_kerberos._tcp.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_kerberos._udp.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_kpasswd._tcp.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_ldap._tcp.Default-First-Site-Name._sites.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_kerberos._tcp.Default-First-Site-Name._sites.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_ldap._tcp.gc._msdcs.oo.ru
Внимание!
Отсутствует запись A на DNS-сервере 192.168.2.11:
gc._msdcs.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_gc._tcp.Default-First-Site-Name._sites.oo.ru
Matching SRV record found at DNS server 192.168.2.11:
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.oo.ru
Ошибка. Не удается найти регистрации записей для всех сетевых адаптеров
Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:
DNS-сервер: 128.63.2.53 (h.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 128.8.10.90 (d.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 192.112.36.4 (g.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 192.168.2.11 (oo.oo.ru.)
Все проверки для данного DNS-сервера пройдены
Name resolution is functional._ldap._tcp SRV record for the forest root domain is registered
DNS delegation for the domain _msdcs.oo.ru. is operational on IP 192.168.2.11
DNS-сервер: 192.168.2.55 (oto.oo.ru.)
Все проверки для данного DNS-сервера пройдены
DNS delegation for the domain _msdcs.oo.ru. is operational on IP 192.168.2.55
DNS-сервер: 192.203.230.10 (e.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 192.228.79.201 (b.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 192.33.4.12 (c.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 192.36.148.17 (i.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 192.5.5.241 (f.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 192.58.128.30 (j.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 193.0.14.129 (k.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 198.41.0.4 (a.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 199.7.83.42 (l.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
DNS-сервер: 202.12.27.33 (m.root-servers.net.)
Все проверки для данного DNS-сервера пройдены
Отчет по результатам проверки DNS:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: oo.ru
OO PASS WARN FAIL PASS PASS FAIL n/a
Клиенты к домену при отсутствии Основного контроллера подключаться не хотят по той же причине:
DNS успешно запросила запись ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена «oo.ru»:
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.oo.ru
Этим запросом были идентифицированы следующие контроллеры домена Active Directory:
К возможным причинам этой ошибки относятся:
— Контроллеры доменов Active Directory, зарегистрированные в DNS, не подключены к сети или не запущены.
Как организовать резервный контроллер домена Windows Server 2012 R2?
По следам вопроса задаваемого мной ранее: Как лучше организовать 2 контроллера домена DC? отчастья.
Изначально в организации было 2 DC, оба виртуальных, второй отключили вместо него настраиваю новый. Домен %DOMAIN%.LOCAL
Основной контроллер домена имя DC1(192.168.0.250) является виртуальным, Windows Server 2012 Standard. Крутится на хосте Windows Hyper-V Server 2012.
Второй контроллер домена имя DC3(192.168.0.9), физический Windows Server 2016. Его пытаюсь сделать резервным в случае отказа первого. Да да я знаю что в принципе понятия с формальной точки зрения «резервный DC» не существует, лучше помогите с вопросом чем умничать некоторых советчиков попрошу.
Режим работы леса и домена windows server 2008 r2. Оба в одной локальной сети, Оба DC в домене, оба GC, на обоих установлены роли DNS, DHCP. DNS я так понимаю реплицируется из коробки, да в прямую и обратную зону на DC3 попали машины с DC1 когда я смотрел в MMC DNS. DHCP настроил в режиме горячей замены, насколько это правильно с точки зрения отказ-ти, может другой режим?
При тесте отключил DC1, попытался на клиентской машине зайти под юзером которым еще ни разу не заходил на этой машине, результат ошибка «Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть». При попытке войти существующим пользователем на клиентской машине вроде всё нормально вошел. Кроме того после обратного включения DC1 я смог зайти только через 59manager пока не синхронизировался хост и DC1 который на нем висит, лишь минут так через 10-30. То есть DC3 не отрабатывает как резервный DC насколько я понял.
ВЫВОД NETDOM QUERY FSMO:
Хозяин схемы DC1.DOMAIN.LOCAL
Хозяин именования доменов DC1.DOMAIN.LOCAL
PDC DC1.DOMAIN.LOCAL
Диспетчер пула RID DC1.DOMAIN.LOCAL
Хозяин инфраструктуры DC1.DOMAIN.LOCAL
Команда выполнена успешно.
ВЫВОД NETDOM QUERY TRUST:
Направление доверенный\Доверяющий домен Тип доверия
=========== ============================ ==========
Команда выполнена успешно.
ВЫВОД NSLOOKUP до DC3:
DNS request timed out.
timeout was 2 seconds.
Сервер: UnKnown
Address: fe80::c0a8:fb
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Сервер: UnKnown
Address: fe80::c0a8:fb
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
Сервер: UnKnown
Address: fe80::c0a8:fb
DNS request timed out.
timeout was 2 seconds.
ВЫВОД REPADMIN:
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: 7ea06dd2-f3cf-4990-b0ec-7ecaae12c8bd._msdcs.DOMAIN.LOCAL
Кому: f97b0f16-427e-49e5-a480-36f0a3b35506._msdcs.DOMAIN.LOCAL
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: 7ea06dd2-f3cf-4990-b0ec-7ecaae12c8bd._msdcs.DOMAIN.LOCAL
Кому: f97b0f16-427e-49e5-a480-36f0a3b35506._msdcs.DOMAIN.LOCAL
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.
ВЫВОД NETDOM QUERY FSMO:
Хозяин схемы DC1.DOMAIN.LOCAL
Хозяин именования доменов DC1.DOMAIN.LOCAL
PDC DC1.DOMAIN.LOCAL
Диспетчер пула RID DC1.DOMAIN.LOCAL
Хозяин инфраструктуры DC1.DOMAIN.LOCAL
Команда выполнена успешно.
ВЫВОД NETDOM QUERY TRUST:
Направление доверенный\Доверяющий домен Тип доверия
=========== ============================ ==========
Команда выполнена успешно.
ВЫВОД NSLOOKUP до DC1:
Сервер: UnKnown
Address: ::1
Имя: dc1.DOMAIN.LOCAL
Address: 192.168.0.250
Сервер: UnKnown
Address: ::1
Имя: dc1.domain.local
Address: 192.168.0.250
Сервер: UnKnown
Address: ::1
Имя: dc1.domain.local
Address: 192.168.0.250
ВЫВОД REPADMIN:
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: f97b0f16-427e-49e5-a480-36f0a3b35506._msdcs.DOMAIN.LOCAL
Кому: 7ea06dd2-f3cf-4990-b0ec-7ecaae12c8bd._msdcs.DOMAIN.LOCAL
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Следующая репликация успешно завершена:
От: f97b0f16-427e-49e5-a480-36f0a3b35506._msdcs.DOMAIN.LOCAL
Кому: 7ea06dd2-f3cf-4990-b0ec-7ecaae12c8bd._msdcs.DOMAIN.LOCAL
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.
Вопросы которые читал в нете самостоятельно, но интерпретировать инфу пока не могу не мой уровень:
Нужна ли настройка в MMC DNS «передача зон » в моем случае. Для чего нужна вообще не понятно?
«Серверы пересылки» тоже самое?
Нужно ли настраивать доверительные отношения в MMC «домены и доверие», я пробовал у меня не получилось, см скриншот ниже 