最近因為要正式建置exchange 混合雲,因為原有的環境(AD/exchnage )可能需要檢查一下比較保險所以和廠商一起檢查。本次紀錄可能會有點雜亂因為截圖是我參考公司正是環境模擬出來的圖,也有一些是正式環境的截圖。
有發現一些問題
1. 子網域的DC 無法使用Enterprise Admins 群組的帳號 登入,但使用子網域的domain admin 是可以正常登入。
會出現無可用登入伺服器請求訊息
以子網 domain admin 登入
另一台DC可以登入
問題2:
看不到父網域資訊
搜尋會發生錯誤
父網域的情況
若搜尋整個目錄是有資訊的蛋可能會不完整(在子網域相同)
3. dns 紀錄有問題
-父網域 DNS
正常來說父 子 網域架構中,父網域的zone 資訊中 _msdcs 會有所有樹系DC主機別名紀錄
但目前我的測試環境中 只有看到父網域的 (我公司正是環境也是一樣)
然後有一個子網域委派
反觀 子網域DC
通常只有自己本身子網域的zone,但是不知為何原因管理員手動建立了父網域的zone
(PS:即使子網域dc 中 也父網域的zone 也沒關係)
且為 AD整合型
且與實際父網域的zone 不同步
5. 在某一個子網域要查詢某一個父網域帳號時,顯示是disable,但是在父網域該帳號確實是啟用的。
6. 另外還有一個問題就是 ad 複寫會找步道其他DC 出現 RPC 錯誤,執行repadmin /replsummary 會出現下面的訊息!!
以上檢查發現到的,那當然在事件檢視也有許多2088 4015 等錯誤及警告
以上這些發現的問題,和廠商討論後根源可能都會是 AD DNS 問題比較大,
所以就處理DNS方面問題。
將父網域_msdc 紀錄補齊:
由於我公司的環境子網域有父網域的zone,所以想保險的做法就是先把所有子網域zone(父網域)砍掉後,馬上新增父網域的zone 但是設定為次要來源由父網域轉送下來。這樣資料就會比較完整。
這樣調整後,很神奇_msdcs 上面應該要有的所有樹系DC別名紀錄都陸續註冊回來。
enterprise admin無法登入, 查詢帳號不同步等問題都解決了!!
另外一提:這是在我lab 中遇到的,使用上面方式還是無法註冊回來的話就是
先將該主機網卡 dns 設定改能只有父網域DC IP 其他都拿掉
執行 ipconfig/flushdns 、ipconfig /registerdns
然後重新請動netlogon 服務就可以。
如果還是不行就把zone 改成如下圖,然後 ipconfig /registerdns 和restart netlogon services
確定有註冊回來後 再改回安全的動態更新
以上參考
參考資料
https://polinwei.com/dns-recreate-_msdcs/
本篇瀏覽人數: 3154
讚哦!!