Windows Server 2008 R2, проклятая ошибка, DNS

[Призрак]

Собственно, пришлось вывести на время из работы один из серверов с контроллером домена. Кстати, на нём хозяева операций все находятся, подумываю перенос на другую виртуальную машину, но может можно решить вопрос? Вот, при попытке открыть оснастку DNS выдаёт ошибку, на снимке экрана. В логах по этому поводу ничего нет, в сети тоже. Куда копать? Он локальный, должен открываться и так. При этом служба DNS запущена и работает.

[ival]

Что значит, вывести на время? Что именно вы сделали?

[Призрак]

Есть 10.12 и 10.13. Вот 10.12 неисправен, я с ним работаю, а 10.13 продолжает обслуживать клиентов.

[ival]

Ещё раз повторю вопрос. Что значит вывести на время? Вы отключили его, воткнули в другую сеть? Понизили его? Или что? Выложите журнал событий за 12 часов.

[Призрак]

Я может не так сформулировал. Я вывел из сети 10.12, 10.13 работает. Это контроллер один и тот же, просто на том, который сломался, там хозяева операций, а на другом всё пока нормально.

[ival]

Выгрузите ветку и журнала событий:
DNS
Directory Service
DFS Replication

Сразу вопрос, почему у Вас в настройках сетевой карты установлен только 1 DNS? И почему используется loopback адрес в поле DNS-адреса? Почему имея второй DC вы не используете перекрестный DNS?

[Призрак]

А вот об этом спросите у уважаемого Уварова А.С. Он говорит, что нужно делать так, как сделано и никак иначе.

[ival]

А вот об этом спросите у уважаемого Уварова А.С. Он говорит, что нужно делать так, как сделано и никак иначе.

По этому поводу я думаю можно по дискутировать.

Но я так и не увидел веток журнла событий которые попросил

[Призрак]

Странно, очень странно... Он заработал! Но почему так долго шла синхронизация? Непонятно, весьма. Вот он сейчас неожиданно заработал. Но почему он так себя ведёт, непонятно.

[Уваров А.С.]

И почему используется loopback адрес в поле DNS-адреса?

loopback - как первый интерфейс используется правильно. Так делает сама система по умолчанию и так рекомендовано MS. Если коротко, то это решает проблему доступа к DNS до загрузки сетевого интерфейса, что ускоряет загрузку контроллера.

Вторым DNS следует поставить второй доменный.

Почему имея второй DC вы не используете перекрестный DNS?

Ставить первым чужой DNS тоже не самый лучший вариант, в случае его недоступности получим постоянные затыки на время тайм-аута.

Но тут фокус в другом.

Первый вопрос: почему плоское имя.
Второй вопрос: что за адрес 192.168.128.112
Третий вопрос: а DNS слушает вообще 192.168.10.12? Или только 192.168.128.112?

И насколько я понял, это и есть "выведенный" контроллер с хозяевами операций? Или все таки другой?

[Призрак]

Первый вопрос: почему плоское имя.
Второй вопрос: что за адрес 192.168.128.112
Третий вопрос: а DNS слушает вообще 192.168.10.12? Или только 192.168.128.112?

Первый ответ, это нужно спросить у того, кто работал до меня ещё давно в академии, я на этот вопрос ответить не могу.

Второй ответ - это для доступа к management интерфейсу vmware vcenter.

Третий ответ - по обоим.

И насколько я понял, это и есть "выведенный" контроллер с хозяевами операций? Или все таки другой?

С хозяевами операций.

То есть, для первого указать 192.168.10.13 вторым, для второго указать 192.168.10.12 вторым?

[ival]

loopback - как первый интерфейс используется правильно. Так делает сама система по умолчанию и так рекомендовано MS. Если коротко, то это решает проблему доступа к DNS до загрузки сетевого интерфейса, что ускоряет загрузку контроллера.

Вторым DNS следует поставить второй доменный.

Ставить первым чужой DNS тоже не самый лучший вариант, в случае его недоступности получим постоянные затыки на время тайм-аута.

Но тут фокус в другом.

Первый вопрос: почему плоское имя.
Второй вопрос: что за адрес 192.168.128.112
Третий вопрос: а DNS слушает вообще 192.168.10.12? Или только 192.168.128.112?

И насколько я понял, это и есть "выведенный" контроллер с хозяевами операций? Или все таки другой?

Спорить не буду, но есть вот это:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff807362(v=ws.10)

И из опыта всегда использовал перекрестный DNS: первичный сосед, вторичный сам на себя, но не по loopback. Задержек не замечал явных, при этом контроллеров много по разным сайтам, проблем нет.

[Призрак]

При попытке вывода пишет вот такую красоту, не понимаю, что делать. Одни костыли, одни грабли. Боже, как всё это надоело...

Идиотизм какой - то. В журнале пишет, что не может передать хозяев операций. Так на нём нет хозяев операций, что он должен передавать, что за бредятина?

[ival]

С рабочего КД покажите:

Code Select Expand

Get-ADForest pgfa.local | ft DomainNamingMaster, SchemaMaster

Get-ADDomain pgfa.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

[Уваров А.С.]

Идиотизм какой - то. В журнале пишет, что не может передать хозяев операций. Так на нём нет хозяев операций, что он должен передавать, что за бредятина?

Хм... С утра на как раз на нем хозяева были... Или мы опять чего-то не знаем?

Собственно, пришлось вывести на время из работы один из серверов с контроллером домена. Кстати, на нём хозяева операций все находятся

Спорить не буду, но есть вот это:

Для 2008 может так оно и есть, современные рекомендации наоборот ставят loopback первым и это стандартное поведение 2012 и старше при установке роли КД, первый DNS автоматом ставится в 127.0.0.1.

И из опыта всегда использовал перекрестный DNS: первичный сосед, вторичный сам на себя, но не по loopback. Задержек не замечал явных, при этом контроллеров много по разным сайтам, проблем нет.

В большинстве случаев это не принципиально. Плюс петли, что у вас будет работать DNS даже при потушенных сетевых интерфейсах, хотя это тоже нетиповой сценарий.

[Уваров А.С.]

При попытке вывода пишет вот такую красоту, не понимаю, что делать.

Я вот, кстати, стесняюсь спросить, зачем вы это делаете? И не останетесь ли вы после этого с единственным контроллером. Вообще правильно бы было ввести в строй новый контроллер, передать FSMO-роли, а потом только выводить старый.

[Призрак]

Это был левый контроллер домена, я хотел его вместо старого сделать, но пока вывел. Вы не беспокойтесь, оба контроллера останутся работать. Это vm-dc-01 и vm-dc-02 а тот был p2-dc-01, vm-dc-01, который как раз заработал, это и есть хозяин операций. Всё на нём. Для того, чтобы выкинуть старый, мне пришлось сделать вот это

http://www.more2know.nl/2011/04/

Расскажу историю. Был у нас контроллер домена, старый. Он был хозяином операций. Потом он благополучно сломался, да так, что не смогли его спасти, так сказать. Был у нас сотрудник, который занимался этими серверами. Было решено создать новый, перекинуть на него хозяев принудительно. Но что-то пошло не так, видать он накосячил.

Я знаю, что схему надо редактировать очень, очень, очень, очень осторожно, а лучше вообще туда не лезть, особенно кривыми руками. Я поправил схему, но руки тряслись так, словно у хирурга.

Теперь я хочу спросить, как удалить делегирование? Он у меня успешно вывел, но не удалил DNS делегирование. Нужно на хозяине операций удалить запись в DNS об p2-dc-01?

Вполне возможно, что если бы не это, я бы и не заметил эту ошибку. Хуже ведь всего, если контроллеры не знают, кто у них хозяин?

[ival]

Хм... С утра на как раз на нем хозяева были... Или мы опять чего-то не знаем?

Для 2008 может так оно и есть, современные рекомендации наоборот ставят loopback первым и это стандартное поведение 2012 и старше при установке роли КД, первый DNS автоматом ставится в 127.0.0.1.

Запустите BPA на 2012-2016 с первым DNS равным loopback и он напишет Вам DNS servers on Ethernet should include the loopback address, but not as the first entry

Плюс петли, что у вас будет работать DNS даже при потушенных сетевых интерфейсах, хотя это тоже нетиповой сценарий.

Если лягут интерфейсы на одном из КД, то работоспособность DNS меня будет меньше всего волновать)))

[Уваров А.С.]

Теперь я хочу спросить, как удалить делегирование?

Что вы под этим подразумеваете? За делегирование серверов имен в домене отвечают NS-записи.

Это был левый контроллер домена, я хотел его вместо старого сделать, но пока вывел.

Т.е. вы включили в сеть старого хозяина операций???

[Призрак]

Т.е. вы включили в сеть старого хозяина операций???

Нет, что вы! Он уже давно мёртвый, тот контроллер домена! Я же говорю, вот vm-dc-01, на которого я жаловался и который заработал, и vm-dc-02. Хозяин операций vm-dc-01. То есть это тот, на котором с утра не запускался DNS. А удалил я третий, пока удалил, но он остался у меня как резервный, я в любой момент могу снова на нём поднять роль, коль в этим возникнет необходимость.

Что вы под этим подразумеваете? За делегирование серверов имен в домене отвечают NS-записи.

Когда я понижал КД, то он мне сказал, хочу ли я удалить делегирование, в противном случае мне придётся удалять записи из DNS руками. Жалко, не сделал скрин.

[Призрак]

С рабочего КД покажите:

Code Select Expand

Get-ADForest pgfa.local | ft DomainNamingMaster, SchemaMaster

Get-ADDomain pgfa.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

Пишет что командлет не найден. У меня 2008 R2. В командной строке тоже ошибка.

[Уваров А.С.]

Запустите BPA на 2012-2016 с первым DNS равным loopback и он напишет Вам DNS servers on Ethernet should include the loopback address, but not as the first entry

Тут можно спорить бесконечно, хотя даже еще статья по Server 2003 допускала оба варианта с перечислением достоинств и недостатков: https://support.microsoft.com/en-us/help/825036/best-practices-for-dns-client-settings-in-windows-2000-server-and-in-w

Так что это больше вопрос личных предпочтений, из разряда кто сколько сахара кладет в чай.

[Уваров А.С.]

Когда я понижал КД, то он мне сказал, хочу ли я удалить делегирование, в противном случае мне придётся удалять записи из DNS руками.

Ну так удалите, зачем вам мусор в DNS.

[Уваров А.С.]

Пишет что командлет не найден. У меня 2008 R2. В командной строке тоже ошибка.

Code Select Expand

netdom query fsmo

[ival]

ыло решено создать новый, перекинуть на него хозяев принудительно. Но что-то пошло не так, видать он накосячил.

Я знаю, что схему надо редактировать очень, очень, очень, очень осторожно, а лучше вообще туда не лезть, особенно кривыми руками. Я поправил схему, но руки тряслись так, словно у хирурга.

Что вообще у Вас там происходит?? Просто триллер какой-то. Есть отработанный механизм удаления нерабочих КД через ntdsutil, а потом ручками вычистить его из "Сайты AD" и DNS. Не надо никуда лезть ADSII-Edit'ом и править какие-то записи в NTDS.

Значит

Code Select Expand

netdom query fsmo в cmd

[Призрак]

Code Select Expand

netdom query fsmo

[Призрак]

Что вообще у Вас там происходит?? Просто триллер какой-то. Есть отработанный механизм удаления нерабочих КД через ntdsutil, а потом ручками вычистить его из "Сайты AD" и DNS. Не надо никуда лезть ADSII-Edit'ом и править какие-то записи в NTDS.

Это не просто триллер, это фильм ужасов. Да, он удалял вышедший из строя домен, но, повторюсь, что-то пошло не так. Потому - что та запись не просто так нарушилась.

Рассказываю, снова да ладом, по порядку. Был у нас старый контроллер домена, но он вышел из строя. Просто сломался, перестал загружаться. Попытки его восстановить ни к чему не привели. Тем администратором был создан в существующем домене (остальные, в других подразделениях, Слава Богу пахали) vm-dc-01. Но так, как загрузить старый не представлялось возможным, то помимо удаления хлама (я не знаю, как точно он делал) пришлось производить захват FSMO. Он и захватил, опять же, не знаю как. Потом был создан vm-dc-02, но хозяин операций опять же vm-dc-01.

31.05.2019, как я уже говорил, перестал по непонятной причине работать DNS на vm-dc-01. Лог я скинул, там написано про первичную синхронизацию каталога, посмотрите. Я развернул третий контроллер домена, p2-dc-01, для того, чтобы в спешном порядке передать на него хозяев операций, но не успел. vm-dc-01 заработал. Тогда я по согласованию опять же с начальством принял решение, чтобы не засорять и не нарушать существующего положения дел, понизить и вывести из работы p2-dc-01. Так как при выводе возникла ошибка, скриншот в посте #12, то мне пришлось гуглить. А гугель выдал информацию о том, чтобы исправить схему. Я полез туда и обнаружил, что действительно, некорректно указано значение, в виде абракадабры, вместо названия сервера. Но это же сама по себе катастрофа! Как контроллер домена может нормально функционировать, если не может определить, кто хозяин?

Вот что было

Code Select Expand

CN=NTDS Settings\0ADEL:54c6470c-943f-4b46-9cbe-9683049ebf0f,CN=SERVER\0ADEL:f01947a3-7b35-4c4c-9313-d66396f4768b,CN=Servers,CN=P2-DFSN,CN=Sites,CN=Configuration,DC=pgfa,DC=local
Что стало, что я сделал

Code Select Expand

CN=NTDS Settings,CN=VM-DC-01,CN=Servers,CN=P2-DFSN,CN=Sites,CN=Configuration,DC=pgfa,DC=local

[ival]

Что Вы пристали к хозяевам. домен какое-то время может прожить и без всех fsmo. А в маленьких организациях он может так существовать и годами. А вот то что вы сначала решили восстановить из РК КД, потом ввели новый, потом понизили новый напоминает какой-то хаос. И опять же изложение проблемы, сначало dns не работает, теперь оказывается что реплик небыло. Опять же если реплик небыло при отсутствии dns то это закономерно, если их небыло при рабочем dns это уже другая проблема. Поэтому я в начале и попросил выложить логи с веток отвечающих за ds, dns и dfsr, потому что понять лично я не смог из объяснений и мне легче посмотреть что пишет система. Я рад что Вам удалось починить.

[Уваров А.С.]

А вот то что вы сначала решили восстановить из РК КД, потом ввели новый, потом понизили новый напоминает какой-то хаос.

Я тоже так до конца и не понял, что именно произошло, кто вышел из строя и потом починился и почему это была "катастрофа".

для того, чтобы в спешном порядке передать на него хозяев операций

И зачем? Спешка тут совершенно неуместна, домен может жить без хозяев очень долгое время и вы этого совершенно не заметите.

[Призрак]

Я рад что Вам удалось починить.

Каким то образом, необъяснимым, оно стало работать. Смотрите журнал DNS, почему - то с пеной у задницы DNS пытался провести "первичную синхронизацию", хотя существует уже давно. Вот что непонятно.

Я тоже так до конца и не понял, что именно произошло, кто вышел из строя и потом починился и почему это была "катастрофа".

Почитайте внимательно пост, в этом посту цитата выше, для Ival

И зачем? Спешка тут совершенно неуместна, домен может жить без хозяев очень долгое время и вы этого совершенно не заметите.

Конечно не замечу, до того, как начнутся проблемы.

[Уваров А.С.]

Конечно не замечу, до того, как начнутся проблемы.

А какие проблемы начнутся без хозяев? Хозяин схемы и Хозяин именования доменов могут вам вообще не понадобиться, Хозяин инфраструктуры - аналогично, если все контроллеры - ГК, то не нужен вообще.

Что более реально заметить, это отсутствие Хозяина RID, если вдруг закончится пул RID, но меньше 100 их быть не должно, а я не думаю, что вы создаете новые объекты в промышленном масштабе. Ну и Эмулятора PDC в определенных ситуациях.

При этом отсутствие хозяев практически никак не влияет на повседневную работу домена. На внесение изменений - да, но не на работу.

[Призрак]

Вот, на VM-DC-02 грохнулся в ошибку репликации. Я исправлял по этой статье.

https://linux-freebsd.ru/windows/raznoe-windows/oshibka-replikatsii-sluzhbyi-faylov-event-id-13568-ntfrs/

Вот на снимке экрана меня насторожило то, что репликация на vm-dc-01 приходит из 20 подсети. Так и должно быть?

[ival]

Вот, на VM-DC-02 грохнулся в ошибку репликации. Я исправлял по этой статье.

https://linux-freebsd.ru/windows/raznoe-windows/oshibka-replikatsii-sluzhbyi-faylov-event-id-13568-ntfrs/

Вот на снимке экрана меня насторожило то, что репликация на vm-dc-01 приходит из 20 подсети. Так и должно быть?

Если в 20 сети были изменения базы от куда по вашему они должны придти в главный сайт

И найдите в интернете https://www.microsoftpressstore.com/store/self-paced-training-kit-exam-70-640-configuring-windows-9780735651937 Это последняя книга и экзамен чисто по AD