6,850
社区成员
发帖
与我相关
我的任务
分享求教:Windows 2003 单站点多树目录林下DC的DNS配置
目录林根域PDC dc1.a.com
目录树根域PDC dc2.b.com
现在想配置:
Windows 2003 单站点多树目录林的活动目录结构
那么:
1、这两台PDC的首选和备选DNS分别该如何配置(指向谁)?
2、这两台PDC上的DNS服务器分别该如何配置?
请回帖或与MSN: fangjh0822@hotmail.com联系。谢谢!
...全文
请发表友善的回复…
发表回复
gnaw0725 2005-12-10
- 打赏
- 举报
dc1.a.com是森林根域dc,而dc2.b.com是目录树dc,那么dns应该这么配置
两台dc的primary dns都指向自己,然后一台dc上的dns作区域复制,而另一台dc上作forward,
不能两边都作forward,否则形成循环转发,这回导致当前dns zone停止响应dns请求。
也不用两边都作dns zone transfer,这会造成带宽不必要的浪费。
至于哪边作dns zone transfer,哪边作dns forward,则需要以网络占用最少为原则,将dns记录较少的一边dc上的dns区域复制到另外一台dc上。
那么通常来说森林根域应该是空根,他上面的dns记录较少,我们就可以在目录树dc上抄写森林根dc的dns记录,然后设置forward,将目录树dc上的dns请求,转发到森林根域dc。
如果您的域是架构于Win2k3,那么就更好了,在建立区域复制的时候,可以用stub zone,毕竟我们只是要dc的纪录,而不需要工作站的纪录。同时在转发的时候可以设置条件转发。
两台dc的primary dns都指向自己,然后一台dc上的dns作区域复制,而另一台dc上作forward,
不能两边都作forward,否则形成循环转发,这回导致当前dns zone停止响应dns请求。
也不用两边都作dns zone transfer,这会造成带宽不必要的浪费。
至于哪边作dns zone transfer,哪边作dns forward,则需要以网络占用最少为原则,将dns记录较少的一边dc上的dns区域复制到另外一台dc上。
那么通常来说森林根域应该是空根,他上面的dns记录较少,我们就可以在目录树dc上抄写森林根dc的dns记录,然后设置forward,将目录树dc上的dns请求,转发到森林根域dc。
如果您的域是架构于Win2k3,那么就更好了,在建立区域复制的时候,可以用stub zone,毕竟我们只是要dc的纪录,而不需要工作站的纪录。同时在转发的时候可以设置条件转发。
gnaw0725 2005-12-10
- 打赏
- 举报
奥,等等看错了
gnaw0725 2005-12-10
- 打赏
- 举报
这就对了,同一个域中的两台dc,primary dns 应该指向对方,而secondary dns应该指向自己,如果primary dns都指向自己,那么就会形成“孤岛”。
如果域中的dc很多,可以考虑单独建构dns server,然后将所有的primary dns指向该dns server,然后secondary dns指向自己。
这样做,还能够避免一个错误,在系统启动的时候,netlogon 可能先于dns service加载,这就导致netlogon无法注册dns记录,从而提示当前dns service无效,甚至导致netlogon 启动失败。
关于dc dns client的设置,请参考kb http://support.microsoft.com/default.aspx?scid=kb;en-us;825036
关于ad配置过程中常见的dns问题,请参看kb http://support.microsoft.com/default.aspx?scid=kb;cn;291382&Product=win2000
如果域中的dc很多,可以考虑单独建构dns server,然后将所有的primary dns指向该dns server,然后secondary dns指向自己。
这样做,还能够避免一个错误,在系统启动的时候,netlogon 可能先于dns service加载,这就导致netlogon无法注册dns记录,从而提示当前dns service无效,甚至导致netlogon 启动失败。
关于dc dns client的设置,请参考kb http://support.microsoft.com/default.aspx?scid=kb;en-us;825036
关于ad配置过程中常见的dns问题,请参看kb http://support.microsoft.com/default.aspx?scid=kb;cn;291382&Product=win2000
大漠孤沙 2005-12-10
- 打赏
- 举报
因为各公司的网络并不直接互连互通,所以使用复制时会提示找不到对方的DC.
现在我把dc1.a.com的主DNS指向dc2.b.com,从DNS指向自已;
又把dc2.b.com的主DNS指向dc1.a.com,从DNS指向自已.
好象还好.
现在我把dc1.a.com的主DNS指向dc2.b.com,从DNS指向自已;
又把dc2.b.com的主DNS指向dc1.a.com,从DNS指向自已.
好象还好.
weion 2005-08-20
- 打赏
- 举报
似乎DNS配置仍然有问题,为什么会找不到全局编录呢?
试过使用DNS的区域复制没有?而不是用转发。
试过使用DNS的区域复制没有?而不是用转发。
大漠孤沙 2005-08-20
- 打赏
- 举报
谢谢各位大侠回复。最近仔细观察了n遍,发现上述现象实属正常,不属于什么问题不问题。
经对上面所提的事件日志里的相关错误产生时间仔细观察,都时在另一台DC重启的过程中产生的(日志生成的时候另一台Dc还在重启过程中,因此找不到这台域控制器。但不知为何每次重启的时候都会刚好发生复制?)。
重启完毕后立即登录,在Replmon里点击复制有红叉叉的复制对象,重新同步一下,再按F5刷新一次即恢复正常显示状态。
因此此故障不必当成故障处理,纯属正常现象。
~~谢谢各位鼎力相助。
大漠孤沙 2005-08-19
- 打赏
- 举报
检查了日志,有点疑问~
--目录服务日志:
1、先是提示无法与全局编录建立连接:超时(全局编录就在这台服务器上);
2、再提示找不到源DC的IP地址(源DC的所有DNS记录都在这台服务器上注册);
3、先是提示无法与全局编录建立连接:指定的域不存在或无法联系(全局编录就在这台服务器上);
4、过了12分钟后,提示找到全局编录了(就在这台服务器上)
--系统日志:
1、ldap/tfpdc.tf.com 的 身份验证错误
2、LDAP/TFPDC 的 身份验证错误
3、无法与树域 ETRANSFAR 中的域控制器建立安全 会话
--DNS/应用程序/文件复制等事件日志无异常。
--::问题1:全局编录就在自已这台服务器上,为何要过12分钟才找到?
--::问题2: 源DC明明联机,DNS记录也正常,为何重启后就是找不到?
=======目录服务日志===================
事件类型: 错误
事件来源: NTDS General
事件种类: 全局编录
事件 ID: 1126
日期: 2005-8-19
事件: 9:23:16
用户: NT AUTHORITY\SYSTEM
计算机: TFPDC
描述:
Active Directory 无法建立与全局编录的连接。
额外数据
错误值:
1460 由于超时时间已过,该操作返回。
内部 ID:
3200c99
用户操作:
请确定在林中有可用的全局编录,并且可以从此域控制器访问。 您可以使用 nltest 实用工具来诊断此问题。
×××××××××××××××××××××××××××××××××××××××××××××××××
事件类型: 警告
事件来源: NTDS Replication
事件种类: DS RPC 客户端
事件 ID: 2088
日期: 2005-8-19
事件: 9:24:14
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: TFPDC
描述:
Active Directory 无法使用 DNS 解析下列 源域控制器的 IP 地址。为了维持安全组、 组策略、用户和计算机及其密码的一致, Active Directory 已经成功地使用源控制器的 NetBIOS 或完全合格的计算机名复制。
无效 DNS 配置可能正在影响此 Active Directory 林中的成员计算机、域控制器或应用程序服务器上的 基本操作,包括登录身份验证或访问网络资源。
您应该立即解决此 DNS 配置错误,这样 此域控制器可以使用 DNS 解析源域控制器的 IP 地址。
备用服务器名:
jtpdc
故障 DNS 主机名:
e058bec6-c05d-4dcc-8017-fecf43c2b86f._msdcs.tf.com
其他数据
错误值:
11004 请求的名称有效,但是没有找到请求的类型的数据。
××××××××××××××××××××××××××××××××××××××××××
事件类型: 错误
事件来源: NTDS General
事件种类: 全局编录
事件 ID: 1126
日期: 2005-8-19
事件: 9:25:14
用户: NT AUTHORITY\SYSTEM
计算机: TFPDC
描述:
Active Directory 无法建立与全局编录的连接。
额外数据
错误值:
1355 指定的域不存在,或无法联系。
内部 ID:
3200cd1
×××××××××××××××××××××××××××××××××××××××
事件类型: 信息
事件来源: NTDS General
事件种类: 全局编录
事件 ID: 1869
日期: 2005-8-19
事件: 9:37:44
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: TFPDC
描述:
Active Directory 已经在下列站点中找到全局编录。
全局编录:
\\tfpdc.tf.com
站点:
Default-First-Site-Name
===================================================================
==系统日志=====================
事件类型: 警告
事件来源: LSASRV
事件种类: SPNEGO (Negotiator)
事件 ID: 40960
日期: 2005-8-19
事件: 9:23:22
用户: N/A
计算机: TFPDC
描述:
安全系统检测到一个对服务器 ldap/tfpdc.tf.com 的 身份验证错误。来自身份验证协议 Kerberos 的失败代码为 "目前没有可用的登录服务器处理登录请求。
(0xc000005e)"。
*************************************************************************************
事件类型: 警告
事件来源: LSASRV
事件种类: SPNEGO (Negotiator)
事件 ID: 40960
日期: 2005-8-19
事件: 9:23:34
用户: N/A
计算机: TFPDC
描述:
安全系统检测到一个对服务器 LDAP/TFPDC 的 身份验证错误。来自身份验证协议 Kerberos 的失败代码为 "目前没有可用的登录服务器处理登录请求。
(0xc000005e)"。
*************************************************************************************
事件类型: 错误
事件来源: NETLOGON
事件种类: 无
事件 ID: 5719
日期: 2005-8-19
事件: 9:23:57
用户: N/A
计算机: TFPDC
描述:
此计算机无法与域 ETRANSFAR 中的域控制器建立安全 会话,原因如下:
目前没有可用的登录服务器处理登录请求。
这可能导致身份验证问题。请确定此计算机 连接到网络。如果问题持续存在,请与您的 域管理员联系。
其他信息
如果此计算机是指定域的域控制器,它建立 到指定域的主域控制器仿真器的安全会话。 否则,此计算机建立到指定域中任一域控制器的 安全会话。
--目录服务日志:
1、先是提示无法与全局编录建立连接:超时(全局编录就在这台服务器上);
2、再提示找不到源DC的IP地址(源DC的所有DNS记录都在这台服务器上注册);
3、先是提示无法与全局编录建立连接:指定的域不存在或无法联系(全局编录就在这台服务器上);
4、过了12分钟后,提示找到全局编录了(就在这台服务器上)
--系统日志:
1、ldap/tfpdc.tf.com 的 身份验证错误
2、LDAP/TFPDC 的 身份验证错误
3、无法与树域 ETRANSFAR 中的域控制器建立安全 会话
--DNS/应用程序/文件复制等事件日志无异常。
--::问题1:全局编录就在自已这台服务器上,为何要过12分钟才找到?
--::问题2: 源DC明明联机,DNS记录也正常,为何重启后就是找不到?
=======目录服务日志===================
事件类型: 错误
事件来源: NTDS General
事件种类: 全局编录
事件 ID: 1126
日期: 2005-8-19
事件: 9:23:16
用户: NT AUTHORITY\SYSTEM
计算机: TFPDC
描述:
Active Directory 无法建立与全局编录的连接。
额外数据
错误值:
1460 由于超时时间已过,该操作返回。
内部 ID:
3200c99
用户操作:
请确定在林中有可用的全局编录,并且可以从此域控制器访问。 您可以使用 nltest 实用工具来诊断此问题。
×××××××××××××××××××××××××××××××××××××××××××××××××
事件类型: 警告
事件来源: NTDS Replication
事件种类: DS RPC 客户端
事件 ID: 2088
日期: 2005-8-19
事件: 9:24:14
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: TFPDC
描述:
Active Directory 无法使用 DNS 解析下列 源域控制器的 IP 地址。为了维持安全组、 组策略、用户和计算机及其密码的一致, Active Directory 已经成功地使用源控制器的 NetBIOS 或完全合格的计算机名复制。
无效 DNS 配置可能正在影响此 Active Directory 林中的成员计算机、域控制器或应用程序服务器上的 基本操作,包括登录身份验证或访问网络资源。
您应该立即解决此 DNS 配置错误,这样 此域控制器可以使用 DNS 解析源域控制器的 IP 地址。
备用服务器名:
jtpdc
故障 DNS 主机名:
e058bec6-c05d-4dcc-8017-fecf43c2b86f._msdcs.tf.com
其他数据
错误值:
11004 请求的名称有效,但是没有找到请求的类型的数据。
××××××××××××××××××××××××××××××××××××××××××
事件类型: 错误
事件来源: NTDS General
事件种类: 全局编录
事件 ID: 1126
日期: 2005-8-19
事件: 9:25:14
用户: NT AUTHORITY\SYSTEM
计算机: TFPDC
描述:
Active Directory 无法建立与全局编录的连接。
额外数据
错误值:
1355 指定的域不存在,或无法联系。
内部 ID:
3200cd1
×××××××××××××××××××××××××××××××××××××××
事件类型: 信息
事件来源: NTDS General
事件种类: 全局编录
事件 ID: 1869
日期: 2005-8-19
事件: 9:37:44
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: TFPDC
描述:
Active Directory 已经在下列站点中找到全局编录。
全局编录:
\\tfpdc.tf.com
站点:
Default-First-Site-Name
===================================================================
==系统日志=====================
事件类型: 警告
事件来源: LSASRV
事件种类: SPNEGO (Negotiator)
事件 ID: 40960
日期: 2005-8-19
事件: 9:23:22
用户: N/A
计算机: TFPDC
描述:
安全系统检测到一个对服务器 ldap/tfpdc.tf.com 的 身份验证错误。来自身份验证协议 Kerberos 的失败代码为 "目前没有可用的登录服务器处理登录请求。
(0xc000005e)"。
*************************************************************************************
事件类型: 警告
事件来源: LSASRV
事件种类: SPNEGO (Negotiator)
事件 ID: 40960
日期: 2005-8-19
事件: 9:23:34
用户: N/A
计算机: TFPDC
描述:
安全系统检测到一个对服务器 LDAP/TFPDC 的 身份验证错误。来自身份验证协议 Kerberos 的失败代码为 "目前没有可用的登录服务器处理登录请求。
(0xc000005e)"。
*************************************************************************************
事件类型: 错误
事件来源: NETLOGON
事件种类: 无
事件 ID: 5719
日期: 2005-8-19
事件: 9:23:57
用户: N/A
计算机: TFPDC
描述:
此计算机无法与域 ETRANSFAR 中的域控制器建立安全 会话,原因如下:
目前没有可用的登录服务器处理登录请求。
这可能导致身份验证问题。请确定此计算机 连接到网络。如果问题持续存在,请与您的 域管理员联系。
其他信息
如果此计算机是指定域的域控制器,它建立 到指定域的主域控制器仿真器的安全会话。 否则,此计算机建立到指定域中任一域控制器的 安全会话。
vzxq 2005-08-19
- 打赏
- 举报
帮哥们顶一下
大漠孤沙 2005-08-19
- 打赏
- 举报
过一阵子刷新了一下Replmon,发现错误自已消失了~~郁闷
http://www.ifeeling.net/TempImg/Repl-ConfigurationOK.jpg
http://www.ifeeling.net/TempImg/Repl-SchemaOK.jpg
大漠孤沙 2005-08-19
- 打赏
- 举报
又重启了一下,仍出错,再帖个图(为何CSDN不能帖图,真是不爽):
http://www.ifeeling.net/TempImg/Repl-ConfigurationError.jpg
http://www.ifeeling.net/TempImg/Repl-ConfigurationError.jpg
大漠孤沙 2005-08-19
- 打赏
- 举报
昨天重装了系统,配置成如 icanflying(亚特兰蒂斯) 所说的那种DNS层次,将树域的DNS指向林根域PDC。树域安装了DNS服务,但没有配置。
但仍系统每次重启后仍出现问题,过个把小时问题会自动得到解决,试了好几次都这样。
截了个图,请帮忙分析,谢谢!
http://www.ifeeling.net/TempImg/Repl-SchemaError.jpg
但仍系统每次重启后仍出现问题,过个把小时问题会自动得到解决,试了好几次都这样。
截了个图,请帮忙分析,谢谢!
http://www.ifeeling.net/TempImg/Repl-SchemaError.jpg
prcgolf 2005-08-18
- 打赏
- 举报
up
大漠孤沙 2005-08-18
- 打赏
- 举报
急啊
galaxypilot 2005-08-17
- 打赏
- 举报
UP一下
大漠孤沙 2005-08-17
- 打赏
- 举报
下班之前再顶。
想在林根域PDC和树根域PDC都设立自已的DNS服务器(不是都放在根域上)。。。
想在林根域PDC和树根域PDC都设立自已的DNS服务器(不是都放在根域上)。。。
大漠孤沙 2005-08-17
- 打赏
- 举报
还是不行,重启后又是老样子了。。。用Replmon查看,配置分区、架构分区、ForestDNSZone有三个红叉叉,不能复制,提示是“找不到域控制器”(找不到a.com的域控制)。
icanflying 2005-08-17
- 打赏
- 举报
两个DC的A记录在DNS上有吗?
大漠孤沙 2005-08-17
- 打赏
- 举报
回上个帖子前发同ReplMon已经正常,没有原先显示的配置分区和架构分区前的2个红叉。但不知为何用Netdiag时仍有上述错误。
大漠孤沙 2005-08-17
- 打赏
- 举报
前述在dc上分别用nslookup查询 _ldap._tcp.dc._msdcs.a.com,_ldap._tcp.dc._msdcs.b.com,查询返回结果为空时,我检查过SRV记录,都用有的。包括上面返回为空的查询。
在dc1.a.com用 Netdiag /test:dns测试结果Passed。但在dc2.b.com上用Netdiag /test:dns是Failed。
在dc2.b.com上用Netdiag /fix结果如下:
DNS test . . . . . . . . . . . . . : Failed
[FIX] re-register DC DNS entry 'ForestDnsZones.a.com.' on DNS server '172.16.1.16' succeed.
[FIX] re-register DC DNS entry '_ldap._tcp.ForestDnsZones.a.com.' on DNS server '172.16.1.16' succeed.
[FIX] re-register DC DNS entry '_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.a.com.' on DNS server '172.16.1.16' succeed.
FIX PASS - netdiag re-registered missing DNS entries for this DC successfully on DNS server '172.16.1.16'.
[FATAL] No DNS servers have the DNS records for this DC registered.
在dc1.a.com用 Netdiag /test:dns测试结果Passed。但在dc2.b.com上用Netdiag /test:dns是Failed。
在dc2.b.com上用Netdiag /fix结果如下:
DNS test . . . . . . . . . . . . . : Failed
[FIX] re-register DC DNS entry 'ForestDnsZones.a.com.' on DNS server '172.16.1.16' succeed.
[FIX] re-register DC DNS entry '_ldap._tcp.ForestDnsZones.a.com.' on DNS server '172.16.1.16' succeed.
[FIX] re-register DC DNS entry '_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.a.com.' on DNS server '172.16.1.16' succeed.
FIX PASS - netdiag re-registered missing DNS entries for this DC successfully on DNS server '172.16.1.16'.
[FATAL] No DNS servers have the DNS records for this DC registered.
icanflying 2005-08-17
- 打赏
- 举报
你检查一下DNS中的SRV记录全不全。如果不全,安装安装光盘中TOOLS\supporttool.msi工具,然后运行netdiag /fix试试修复一下SRV记录。
加载更多回复(4)
