經過上次調整後所有複寫也恢復正常,接下來要進行微軟建議最後要將_msdcs獨立出來,且複寫整個樹系DNS(win2003 後新建立的網域就會自動做,通常沒有的原因是網域升級上來)
建立一個主要區域存放在AD
選 整個樹系
輸入 _msdcs.dommain.com
允許安全性動態更新
建立完成後 重新啟動netlogon 服務
接著應該會看到原來_msdcs 變成委派 (反灰色)
過一些時間會複寫到所有樹系網域控制站DNS,可以看到下圖,兩台DC 中的DNS
雖然有複寫 但是不完全就是異常現象,
正常來說 _msdcs.sys-adm.local 下 會有 dc、 domain、gc、pdc ,可是一台有缺 一台啥東沒有XD
在等一下時間後,本來 dc domain gc 都沒有的主機,也重另一台複寫回來
所以兩台都同步,但是還是不正常的狀態
將其中一台DNS 服務重新啟動後,有很多錯誤 evenid 4010
內容就是如下DNS 無法建立 XXXXXXXX
此時打開ADSI
連線設定輸入 DC=DomainDNSZones,DC=sys-adm,DC=local (依照自己公司的domin)
連線後點選, CN=MicrosoftDNS => DC=sys-adm.local自己的domain)
接下來比對一下event log 如下圖紅框,有異常的紀錄 就把她刪除(所有的4010 都要看)
確定刪完後,重新啟動一次netlogon 服務(有可能需要重啟兩次)
就可以看到其中一台資訊已經都出現了
在等待一些時時間另一台DC DNS 也同步過來了,且DNS 錯誤event 4010 也沒有再出現
以上是在我LAB 先模擬做過一次,然後在我實際環境做的時候確實出現相同的4010錯誤訊息,由於公司樹系環境 總共有15台DC,所以修改到手軟。不過最終也把它修正OK,持續觀察中。
PS1: 之前有個需求,公司同仁從轉調 子公司轉回總公司,有沒有辦法把帳號搬回來總公司不用重建,e-mail 可以繼續使用等等。
因為在相同樹系下 可以使用ADMT來移轉父、子 網域AD帳號。實際我嘗試移轉一個測試帳號發現會失敗,錯誤訊息如下。
經過測試 AD DNS 調整後,我再次測試就可以成功遷移帳號。
PS2: 在調整過程中也有發現某各子網域的DC sysvol 無法同步(event id : 13568)則參考之前連結作法處理將它解決:https://blog.pmail.idv.tw/?p=16555
接下來的調整可能會做個測試:
1.本來子網域中都有一個父網域的zone 且是次要區域(有父網域DC DNS 轉送下來),所以我會測試一下將子網域下的 DNS 父網域Zone 刪除後測試子網域查詢父網域主機是否可以正常轉送,若OK 應該就沒問題,另外子網域中有父網域Zone是沒有問題的。
因為之前經驗子網域是沒有特別再去加父網域zone都是可以正常轉寄查詢,只是現有環境發現有設定且資訊也不完全,從事件檢視上看到許多錯誤訊息甚至還有找不到DC的事件。
另外AD環境下DNS 很重要,會影響AD複寫 查詢 甚至在網域間遷移AD帳號也會有影響的。
參考:
本篇瀏覽人數: 3374
