Substituir DC / DNS no Active Directory

Navegue suas respostas
1

Acabei de tentar substituir um dos meus controladores de domínio em uma floresta de domínio único, mantendo o IP antigo (mas um novo nome de computador). Como este é um ambiente que eu "herdei" de um administrador de sistema anterior, eu não tenho todos os fatos sobre como ele foi configurado. Eu acho que este pode ter sido o primeiro DC no AD, mas é um antigo Windows 2003 que tem agido de todas as maneiras ultimamente.

Antes da mudança eu tive:

  • 2 x Windows 2003 DC
  • 2 x Windows 2008 R2 DC
  • Todos, exceto o Win 2003 restante, tem GC

Após a alteração, tenho a sensação de que o serviço DNS do novo DC não está funcionando como deveria. Se eu tiver esse conjunto como meu DNS primário, obtenho uma latência estranha em minhas consultas de DNS para sites públicos. Consultas para registros internos parecem estar funcionando. Tentei definir o tempo limite de encaminhadores para 1 segundo no novo controlador de domínio, o que me gerou uma latência mais curta para as consultas públicas, o que me fez pensar que todas as consultas de site público excedem o tempo desse servidor e o encaminha.

Antes de rebaixar a máquina antiga para fora do AD, certifiquei-me de que todas as funções FSMO estivessem em um controlador de domínio diferente e, como dito antes, há vários GCs.

Existe alguma configuração de DNS para o domínio que eu perdi, ou você tem alguma idéia sobre onde procurar a seguir?

O novo nome de computador usando o mesmo IP é o culpado? Seria sensato rebaixar o novo DC, sair do AD, mudar os nomes e depois se juntar novamente?

Nos logs de DNS do gerenciador do servidor, recebo um aviso a cada reinicialização dizendo:

The DNS server is waiting for Active Directory Domain Services (AD DS) to signal that the initial synchronization of the directory has been completed

Mas logo em seguida, há uma entrada de informações dizendo:

"The DNS server has started.

Executando o NSLOOKUP e escolhendo o servidor "novo DC" funciona bem, e é instantâneo, para interno, mas expira para consultas públicas. Executar o PING do novo DC para um site público resolve a multa do IP público.

O firewall está desativado no servidor e o serviço do servidor DNS está em execução.

    
por jcrossbeam 19.05.2015 / 14:57

2 respostas

0

Acho que descobri qual era o problema. Por padrão, parece que o novo servidor quer usar os outros DCs como encaminhadores para consultas não armazenadas em cache, e é por isso que as consultas internas funcionavam e as públicas não. Eu simplesmente removi essas postagens e deixei o DNS público como encaminhadores, e agora está sendo muito mais fácil. Eu estou supondo que o tempo limite ocorreu porque eu perguntei pelo nome que nenhum dos DCs tinha no cache, e, portanto, meu novo DC primeiro teve que esperar que o outro DC resolvesse o nome e, em seguida, obter uma resposta. Com o tempo limite de 2 segundos, isso nunca foi bem sucedido.

Obrigado a Jon por sua contribuição!

    
por 20.05.2015 / 16:45
0

Todos os seus registros de DNS para o AD apontam para o servidor antigo com um nome diferente, mesmo se o mesmo IP. Você deveria ter adicionado o novo DC com um novo IP. Provavelmente é por isso que você está tendo problemas. Tente fazer um "ipconfig / registerdns" do seu novo DC, se ainda não o fez. Além disso, os GCs são usados principalmente para pesquisas entre objetos de floresta / domínio. Como você tem apenas um domínio, não suspeito que seja o principal problema.

    
por 19.05.2015 / 19:06

Tags

Por que o Windows XP e os 7 qemu / kvm convidados não reconhecem atualizações para um compartilhamento local do Samba? Existe uma lista de códigos de erro do servidor para Uploads do IIS BITS ou uma definição para 0x80070585 (“Índice Inválido”)?