_msdcs estranhos. zona de pesquisa direta com falha na replicação, como faço para verificar o que a usa? e posso deletar?

3

Nós executamos o Active directory no windows server 2008 e 2008 R2 no modo AD 2008.

Nosso DNS faz parte do AD e é executado nos mesmos servidores do Catálogo Global.

Meu predecessor criou o ambiente dentro de domain.local (o domínio é uma substituição, o local não é)

Nas zonas de pesquisa direta, temos um contêiner chamado domain.local e isso contém um contêiner _msdcs em funcionamento.

No entanto, no nível superior, temos um contêiner chamado _msdcs.domain.net (observe que é o mesmo domínio, mas .tld em vez de .local). Esse contêiner geralmente contém os mesmos registros do contêiner _msdcs em domínio.local, mas com algumas pequenas diferenças.

Exemplo de layout no gerenciador de DNS (pontos de reputação insuficientes para postar uma imagem)

+ Forward Lookup Zones
    - _msdcs.domain.net
        + dc
        + domains
        + gc
        + pdc
    - domain.local
        - _msdcs
            + dc
            + domains
            + gc
            + pdc

Eu quero encontrar o que está usando? Eu quero saber como chegou lá? e quero excluí-lo ou corrigi-lo.

Toda a documentação do MS que posso encontrar no _msdcs descreve seu uso e o que ela contém, mas não por que haveria um separado no topo da minha zona de pesquisa direta para um domínio diferente do meu AD.

================

Atualizar

Parece que o AD foi renomeado usando rendom, mas não foi limpo / concluído.

Para confirmar isso, use o sysinternals Active Directory Explorer (TENHA CUIDADO QUE HÁ DRAGÕES NESTA FERRAMENTA)

procure neste contêiner (nem todos os contêineres mostrados, se o seu domínio for domínio.local)

-servername [servername.domain.local]
    -CN=Configuration,DC=domain,DC=local
          -CN=Partitions
               CN=DOMAIN

para um atributo chamado msDS-DnsRootAlias

No meu caso, isso mostrou domain.net

Não tenho certeza de como corrigir, mas isso é para outra pergunta.

    
por Sam 30.09.2013 / 11:31

2 respostas

3

Se alguma coisa achar que seu domínio é domain.net em vez de domain.local (você realmente não deve usar .local, mas isso é outra conversa por completo), ele procurará seus DCs em _msdcs.domain.net.

Não há como dizer o que isso pode quebrar (o kerberos vem à mente, assim como as atualizações dinâmicas do DNS), então eu imagino que pouco ou nada está sendo usado. No entanto, se desejar, faça uma captura de pacote (use o wireshark ou, melhor ainda, clone a porta e use wireshark em outra coisa para não precisar executar o wireshark em um servidor de produção) filtrando os registros DNS e pesquise os dados resultantes para consultas envolvendo _msdcs.domain.net. Se você encontrar um, inspecione o dispositivo consultando para ver o que está tão mal configurado.

Talvez você também tenha ou tenha tido um domínio do AD com esse nome. Em caso afirmativo, e ele não existe mais, você pode limpar esses registros. Isso facilitará sua vida quando algum dia você migrar para longe de .local.

    
por 30.09.2013 / 11:36
1

O _msdcs .domain.local sob o domínio domain.local (que é o primeiro domínio na floresta) recebe autoridade delegada clicando com o botão direito do mouse no domínio .local e escolhendo o assistente "Nova Delegação ...". Execute o assistente para apontar para o mesmo PDC como o SOA. Pode parecer inútil fazer, mas tem um propósito definido.

Normalmente, os controladores de domínio em toda a rede contêm uma réplica das zonas DNS e são autoritativos somente nesse domínio. O assistente de delegação cria um novo _msdcs.domain.local no mesmo nível que domain.local como um novo domínio. É uma cópia de todas as zonas e faz com que os Servidores de Nome em toda a Floresta se tornem autorizados. O objetivo é para redes grandes em conexões WAN que possuam controladores de domínio em cada site. Esses controladores de domínio são, cada um, um servidor de replicação de DNS com uma réplica de todo o DNS do AD (todas as zonas), mas a execução do assistente de delegação permite que eles, como autoritativos, sejam graváveis. A atualização dinâmica dos registros do sistema não deve mais ser feita entre todos os PCs nos domínios para o PDC, mas apenas para o DC local, que atualizará o PDC em seu ciclo de atualização regular.

Por padrão, o escopo de replicação dos Servidores de Nomes (NS) em _msdcs é definido para todos os servidores DNS no domínio, mas agora os NSs em _msdcs.domain.local são autoritativos para a floresta. Isso permite que as consultas LDAP interfiram localmente em seu domínio em seu DC local como um motivo secundário. Mas, mesmo que todas as réplicas de DNS estejam na matriz, até que essa delegação seja concluída, os servidores de nomes (NS) são apenas autoritativos sobre detalhes de AD em domínio.local (ou melhor escritos como domínio1.local) não autoritativos para domínios ( ie domain2.local) no mesmo nível que o primeiro domínio na floresta.

Alguns cometem o erro de supor que os domínios filho do primeiro domínio na floresta também precisam disso. Mas os Servidores de Nomes são autoritativos para seu domínio, mesmo se child.domain.local residir dentro de domain.local.

Quanto ao nome de _msdcs.domain.net ser diferente, do domínio no mesmo nível de onde veio, domain.local? Provavelmente era um administrador novato que achava que o domínio _msdcs.domain.local estaria em conflito com o nome _msdcs (FQDN: _msdcs.domain.local) que estava sob domínio.local, pois seria identificado de forma idêntica e possivelmente causaria corrupção.

    
por 07.02.2016 / 03:35