Falha no DNS nos controladores de domínio após a reinicialização dos controladores de domínio

2

Eu tenho esse problema exato Identificação do evento 4013:" O servidor DNS está aguardando que os Serviços de Domínio Active Directory (AD DS) sinalizem ... "

Dois controladores de domínio e dois servidores DNS, exceto meus problemas, estão um pouco mais envolvidos. Portanto, se eu reinicializar meu domínio, não consigo fazer logon no meu domínio nem acessar os recursos até que BOTH DC's sejam totalmente inicializados e o AD seja capaz de executar a sincronização inicial.

Isso é chato, mas meu problema é estendido porque no Server 2008 meu perfil de rede muda para "não identificado" porque o DNS não é carregado e esse perfil "não identificado" ativa um firewall que bloqueia o tráfego de DC / DNS. Minha rede está completamente inacessível até que eu reinicie um dos servidores DC / DNS novamente ou desative o firewall nos perfis.

Claro, eu poderia consertar isso desativando o firewall nesse perfil, mas não há outra maneira de contornar esse problema? Parece uma grande supervisão de design.

    
por hax0r_n_code 27.09.2013 / 18:24

2 respostas

4

Você precisa configurar os controladores de domínio de tal forma que o resolvedor DNS primário em DC1 seja DC2, e o resolvedor DNS primário em DC2 seja DC1, em seguida, defina 127.0.0.1 como o resolvedor DNS secundário em DC1 e DC2 e, finalmente, não os reinicie ao mesmo tempo. Stagger reinicia.

Este é um trecho do artigo do Microsoft Best Practices Analyzer sobre este assunto:

The loopback IP address should be configured as one of the DNS servers on each active network adapter, but not as the first DNS server.

If the loopback IP address is the first entry in the list of DNS servers, Active Directory might be unable to find its replication partners.

The inclusion of its own IP address in the list of DNS servers improves performance and increases availability of DNS servers. However, if the DNS server is also a domain controller and it points only to itself, or points to itself first for name resolution, this can cause a delay during startup. For this reason, use caution when configuring the loopback address on an adapter if the server is also a domain controller. The loopback address should be configured only as a secondary or tertiary DNS server on a domain controller.

Sim, eu sei que a Microsoft fez algum trabalho para aliviar o problema da "ilha" de replicação, mas ainda assim continua sendo o conselho de práticas recomendadas da Microsoft até hoje.

    
por 27.09.2013 / 18:58
0

Ainda me surpreende que as pessoas tenham problemas com o AD. Já existe há mais de treze anos e sua mecânica fundamental não mudou. Claro, alguns ajustes aqui e ali, mas sob o capô ainda requer alguns princípios básicos para estar no lugar.

Sim, a Microsoft supostamente projetou o problema de ilhamento do DNS, mas para o serviço de Serviços de Domínio do Active Directory ser iniciado com êxito, o serviço deve primeiro descobrir quais servidores sustentam o domínio e a floresta pai. Não é novidade que a localização é descoberta por meio de registros de Localização de Serviço (SRV) ... no DNS.

Portanto, se você não conseguir acessar uma réplica DNS pucker, não poderá iniciar o AD, portanto não será possível iniciar o DNS integrado ao Active Directory. Como o Ryan diz, aponte seu primeiro solucionador de DNS para outro DC e seu segundo para um terceiro DC ou localmente. Pessoalmente, eu usaria dois DCs remotos antes de apontar para você, pois as entradas subsequentes do servidor DNS só são usadas após uma não resposta.

Quanto ao FSMO do emulador de PDC, eu não entendo muito bem o que está acontecendo lá. Além de serviços de baixo nível, o PDCe tem apenas um propósito especial quando se trata de sincronização de horário. Os DCs não-PDCe em um domínio obtêm seu tempo a partir do PDCe, e esse controlador de domínio pode ser configurado para usar um RTS ou obter seu tempo do PDCe do domínio raiz.

Uma maneira de realmente entender esse tipo de coisa é realizar um exercício de recuperação de desastre envolvendo o AD. Eu recomendo tentar isso, pois obriga você a entender coisas como a zona _msdcs no DNS, replicação SYSVOL, monitoramento de replicação AD (usando REPADMIN), Etc.

< / rant >

    
por 27.09.2013 / 22:56