Les enregistrements DNS du domaine Active Directory du serveur 2012 R2 SRV ont soudainement disparu

8

J'ai un domaine de test que j'ai récemment configuré. Tout d'un coup, aucun utilisateur ne peut se connecter, sauf ceux avec des informations d'identification mises en cache. Le domaine comprend deux contrôleurs de domaine qui sont tous deux des catalogues globaux qui se répliquent mutuellement.

Après avoir étudié le problème, j'ai découvert que tous les enregistrements de domaine _mcdcs ont complètement disparu sur les deux serveurs DNS. Cela rend impossible de localiser un contrôleur de domaine car les enregistrements SRV tels que _ldap et _kerberos ne sont pas résolubles.

Je ne sais pas trop comment cela s'est produit ... est-ce quelque chose que l'effacement du cache DNS ou le nettoyage DNS entraînerait?

À ce stade, je dois en quelque sorte restaurer les enregistrements. J'ai regardé les paramètres d'un autre domaine, et il semble qu'ils puissent être recréés manuellement ... mais j'ai remarqué que certains des enregistrements DNS semblent avoir des noms SID ... et je n'ai aucune idée de quel identifiant aurait besoin être utilisé pour les recréer.

Existe-t-il un meilleur processus que l'on peut utiliser pour sortir d'une situation comme celle-ci?

domain-name-system active-directory domain-controller windows-server-2012-r2 srv-record Super1337
la source
Les enregistrements ont disparu ou toute la zone _msdcs a disparu?
Clayton
vaut la peine d'essayer nltest / dsregdns en cmd
Idan4326

Réponses:

12

1. Redémarrez le service Netlogon sur l'un des contrôleurs de domaine

OU

2. Exécutez DCDiag / fix

OU

3. Créez manuellement les enregistrements à partir du fichier netlogon.dns à partir de l'un des contrôleurs de domaine

joeqwerty
la source
DCDiag / fix et le redémarrage de netlogon n'ont pas fonctionné pour moi ... J'ai pu trouver le fichier netlogon.dns et recréer tous les enregistrements DNS. C'était assez douloureux ... il m'a fallu environ 30 minutes pour les créer et les tester manuellement, mais cela semble avoir résolu le problème. Merci pour vos pensées
Super1337
Si vous ne pouvez pas vous connecter à l'un des contrôleurs de domaine pour accomplir l'un de ces éléments, le redémarrage du contrôleur de domaine accomplira également (en effet) # 1 ci-dessus. Lorsque le service netlogon démarre, il tente d'enregistrer tous les enregistrements _ SRV dont il a besoin.
Cory Plastek
3

Il est inhabituel que les enregistrements DNS soient supprimés (sauf si une personne les a supprimés). Habituellement, ils sont dnsTombstoned, donc les enregistrements peuvent toujours apparaître si vous utilisez un autre outil comme ADSIEdit même s'il n'est pas visible dans le gestionnaire DNS ou nslookup.

Il existe des cas marginaux où le nettoyage peut provoquer cela (et beaucoup d'autres problèmes si le nettoyage n'est pas configuré correctement).

http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx

http://blogs.technet.com/b/ad/archive/2008/08/08/a-complicated-scenario-regarding-dns-and-the-dc-locator-srvs.aspx

Greg Askew
la source
Il existe de nombreuses causes différentes. support.microsoft.com/en-us/kb/2985877
HiredMind
1

J'ai redémarré le service NetLogon et exécuté, dcdiag /fixmais il n'y a pas eu de chance. Après 3-4 heures de recherche et de lecture, j'ai décidé de désinstaller les services Active Directory et de l'installer à nouveau mais l'installation a échoué aussi!

Ensuite, j'ai décidé d'ajouter manuellement les enregistrements DNS en fonction de ceci et cela , j'ai donc supprimé la zone du domaine et l'ai ajoutée à nouveau, et lors de l'ajout de la zone, j'ai remarqué Autoriser uniquement les mises à jour dynamiques sécurisées , et je me suis souvenu de quelque part que ce paramètre devait être activé, j'ai donc coché cette case, puis redémarré le service netlogon et tadaaa !! Il a ajouté tous les enregistrements. J'ai aussi couru dcdiag /fixet puis dcdiag. Tous les tests ont été réussis sauf un (SystemLog je pense) que j'ai ignoré. Après cela, je pouvais joindre d'autres PC au domaine. C'est peut-être le cas pour les autres. Juste nécessaire pour activer les mises à jour dynamiques sécurisées sur la zone de mon domaine.

J'espère que cela empêchera les autres de traverser tous les ennuis que j'ai rencontrés.

Ashkan
la source
oh oui. wham bam merci mec! J'avais installé azone bien avant de convertir le serveur en DC - tout ce que j'avais à faire était de supprimer l'ancienne zone et de la rajouter. Boom .. tout a été rajouté. Merci! (Je pense qu'avant, il n'était pas configuré pour AD et l'ajouter après DC, il avait l'option AD que vous avez mentionnée pour les mises à jour sécurisées) - Et maintenant, je peux me connecter à mon domaine! Merci!
Piotr Kula