SRV-DNS-Datensätze der Active Directory-Domäne von Server 2012 R2 sind plötzlich verschwunden

8

Ich habe eine Testdomäne, die ich kürzlich konfiguriert habe. Plötzlich können sich nur noch Benutzer mit zwischengespeicherten Anmeldeinformationen anmelden. Die Domäne enthält zwei Domänencontroller, die beide globale Kataloge sind, die sich gegenseitig replizieren.

Nachdem ich das Problem untersucht hatte, stellte ich fest, dass alle _mcdcs-Domäneneinträge auf beiden DNS-Servern vollständig verschwunden sind. Dies macht es unmöglich, einen Domänencontroller zu finden, da SRV-Datensätze wie _ldap und _kerberos nicht auflösbar sind.

Ich bin mir nicht ganz sicher, wie das passiert ist ... würde dies das Löschen des DNS-Caches oder das Aufräumen des DNS verursachen?

An diesem Punkt muss ich die Aufzeichnungen irgendwie wiederherstellen. Ich habe mir die Einstellungen einer anderen Domain angesehen und es sieht so aus, als könnten sie manuell neu erstellt werden ... aber ich habe festgestellt, dass einige der DNS-Einträge SID-Namen enthalten ... und ich habe keine Ahnung, welche Kennung erforderlich wäre verwendet werden, um sie neu zu erstellen.

Gibt es einen besseren Prozess, mit dem man aus einer solchen Situation herauskommen kann?

Super1337
quelle
Die Datensätze sind weg oder die gesamte _msdcs-Zone ist weg?
Clayton
einen Versuch wert nltest / dsregdns in cmd
Idan4326

Antworten:

12

1. Starten Sie den Netlogon-Dienst auf einem der Domänencontroller neu

ODER

2. Führen Sie DCDiag / fix aus

ODER

3. Erstellen Sie die Datensätze manuell aus der Datei netlogon.dns auf einem der Domänencontroller

Joeqwerty
quelle
DCDiag / Fix und Neustart von Netlogon funktionierten bei mir nicht ... Ich konnte die Datei netlogon.dns finden und alle DNS-Datensätze neu erstellen. Es war ziemlich schmerzhaft ... ich habe ungefähr 30 Minuten gebraucht, um sie manuell zu erstellen und zu testen, aber letztendlich scheint es das Problem behoben zu haben. Vielen Dank für Ihre Gedanken
Super1337
Wenn Sie sich bei keinem der Domänencontroller anmelden können, um eines dieser Elemente auszuführen, wird durch einen Neustart des Domänencontrollers (tatsächlich) auch die oben genannte Nummer 1 erreicht. Wenn der Netlogon-Dienst gestartet wird, wird versucht, alle benötigten _ SRV-Datensätze zu registrieren.
Cory Plastek
3

Es ist ungewöhnlich, dass DNS-Einträge gelöscht werden (es sei denn, eine Person hat sie gelöscht). Normalerweise sind sie dnsTombstoned, sodass die Datensätze möglicherweise weiterhin angezeigt werden, wenn Sie ein anderes Tool wie ADSIEdit verwenden, auch wenn sie im DNS-Manager oder in nslookup nicht sichtbar sind.

Es gibt Randfälle, in denen das Aufräumen dies verursachen kann (und viele andere Probleme, wenn das Aufräumen nicht richtig konfiguriert ist).

http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx

http://blogs.technet.com/b/ad/archive/2008/08/08/a-complicated-scenario-regarding-dns-and-the-dc-locator-srvs.aspx

Greg Askew
quelle
Es gibt viele verschiedene Ursachen. support.microsoft.com/en-us/kb/2985877
HiredMind
1

Ich habe den NetLogon-Dienst neu gestartet und ausgeführt, dcdiag /fixaber es gab kein Glück. Nach 3-4 Stunden Suchen und Lesen habe ich beschlossen, Active Directory Services zu deinstallieren und erneut zu installieren, aber auch die Installation ist fehlgeschlagen!

Dann habe ich beschlossen , DNS - Einträge manuell hinzufügen nach diesem und dies , so dass ich die Domain der Zone gelöscht und es wieder hinzugefügt, und wenn die Zone hinzufügen , bemerkte ich , nur sicheres dynamisches Updates zulassen , und ich erinnerte mich von irgendwo , dass diese Einstellung aktiviert werden soll, Also habe ich dieses Kontrollkästchen aktiviert und dann den Netlogon-Dienst und tadaaa neu gestartet !! Es wurden alle Datensätze hinzugefügt. Ich bin auch gelaufen dcdiag /fixund dann dcdiag. Alle Tests wurden bis auf einen (SystemLog, glaube ich) bestanden, den ich ignoriert habe. Danach konnte ich andere PCs der Domain hinzufügen. Dies ist möglicherweise bei anderen der Fall. Wird nur benötigt, um sichere dynamische Updates in der Zone meiner Domain zu aktivieren.

Ich hoffe, dies verhindert, dass andere all die Schwierigkeiten durchmachen, die ich gemacht habe.

Ashkan
quelle
oh ja. wham bam danke man! Ich hatte eine Zone eingerichtet, lange bevor ich den Server in DC konvertierte - alles was ich tun musste, war die alte Zone zu löschen und sie wieder hinzuzufügen. Boom .. alles wieder hinzugefügt. Danke! (Ich denke, bevor es nicht für AD eingerichtet wurde und es nach DC hinzufügte, hatte es die AD-Option, die Sie für sichere udpates erwähnt haben) - Und jetzt kann ich mich mit meiner Domain verbinden! Vielen Dank!
Piotr Kula