Server 2012 R2 Active Directory Domain SRV dns records desaparecieron repentinamente

8

Tengo un dominio de prueba que configuré recientemente. De repente, ningún usuario puede iniciar sesión excepto aquellos con credenciales almacenadas en caché. El dominio incluye dos controladores de dominio que son catálogos globales que se replican entre sí.

Después de investigar el problema, descubrí que todos los registros de dominio _mcdcs desaparecieron por completo en ambos servidores DNS. Esto hace que sea imposible localizar un controlador de dominio porque los registros SRV como _ldap y _kerberos son irresolubles.

No estoy muy seguro de cómo sucedió esto ... ¿Es esto algo que causaría borrar el caché DNS o la eliminación de DNS?

En este punto, necesito restaurar los registros de alguna manera. Miré la configuración de otro dominio, y parece que se pueden volver a crear manualmente ... pero noté que algunos de los registros DNS parecen tener nombres SID en ellos ... y no tengo idea de qué identificador necesitaría ser usado para recrearlos.

¿Existe un mejor proceso que uno pueda usar para salir de una situación como esta?

Super1337
fuente
¿Los registros se han ido o toda la zona _msdcs se ha ido?
Clayton
vale la pena probar nltest / dsregdns en cmd
Idan4326

Respuestas:

12

1. Reinicie el servicio Netlogon en uno de los controladores de dominio.

O

2. Ejecute DCDiag / fix

O

3. Cree manualmente los registros del archivo netlogon.dns desde uno de los controladores de dominio

joeqwerty
fuente
DCDiag / fix y reiniciar netlogon no funcionaron para mí ... Pude encontrar el archivo netlogon.dns y recrear todos los registros dns. Fue bastante doloroso ... me llevó unos 30 minutos crearlos y probarlos manualmente, pero finalmente parece haber solucionado el problema. Gracias por sus pensamientos
Super1337
Si no puede iniciar sesión en ninguno de los controladores de dominio para realizar alguno de estos elementos, reiniciar el controlador de dominio también (en efecto) logrará el # 1 anterior. Cuando se inicia el servicio netlogon, intentará registrar todos los _ registros SRV que necesita.
Cory Plastek
3

Es inusual que los registros DNS se eliminen (a menos que una persona los elimine). Por lo general, están dnsTombstoned, por lo que los registros aún pueden aparecer si se usa otra herramienta como ADSIEdit, incluso si no está visible en el Administrador de DNS o nslookup.

Hay casos extremos donde el barrido puede causar esto (y muchos otros problemas si el barrido no está configurado correctamente).

http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx

http://blogs.technet.com/b/ad/archive/2008/08/08/a-complicated-scenario-regarding-dns-and-the-dc-locator-srvs.aspx

Greg Askew
fuente
Hay muchas causas diferentes. support.microsoft.com/en-us/kb/2985877
HiredMind
1

Reinicié el servicio de NetLogon y lo ejecuté, dcdiag /fixpero no tuve suerte. Después de 3-4 horas de búsqueda y lectura, decidí desinstalar los Servicios de Active Directory e instalarlos nuevamente, ¡pero la instalación también falló!

Luego decidí agregar registros DNS manualmente de acuerdo con esto y esto , así que eliminé la zona del dominio y la agregué nuevamente, y al agregar la zona noté Permitir solo actualizaciones dinámicas seguras , y recordé desde algún lugar que esta configuración debería estar habilitada, ¡Así que marqué esta casilla de verificación y luego reinicié el servicio netlogon y tadaaa! Agregó todos los registros. También corrí dcdiag /fixy luego dcdiag. Todas las pruebas fueron aprobadas excepto una (SystemLog, creo) que ignoré. Después de eso, podría unir otras PC al dominio. Este puede ser el caso para otros. Solo necesitaba habilitar actualizaciones dinámicas seguras en la zona de mi dominio.

Espero que esto evite que otros pasen por todos los problemas que tuve.

Ashkan
fuente
oh si wham bam gracias hombre! Tenía una configuración de azone mucho antes de convertir el servidor a DC; todo lo que tenía que hacer era eliminar la zona anterior y volver a agregarla. Boom ... todo agregado de nuevo. ¡Gracias! (creo que antes no estaba configurado para AD y al agregarlo después de DC tenía la opción AD que mencionaste para udpates seguros) - ¡Y ahora puedo conectarme a mi dominio! ¡Gracias!
Piotr Kula