Вопрос или проблема
Настройка Active Directory:
Один лес, 3 домена, с 1 контроллером домена каждый. Все работают на сервере 2008 R2, с одинаковым уровнем функциональности домена/леса.
Клиенты DNS настроены следующим образом:
DC1 -> DC2 (осн), DC1 (втор)
DC2 -> DC1 (осн), DC2 (втор)
DC3 -> DC1 (осн), DC3 (втор)
Все зоны реплицируются по всему лесу, и каждый DNS-сервер настроен с 8.8.8.8/8.8.4.4 в качестве форвардеров.
Проблема:
Кажется, что все работает, как должно. AD правильно реплицируется, DNS отзывчив и не вызывает никаких проблем, НО когда я запускаю dcdiag /test:dns, тест корпоративного DNS не проходит на DC2 и DC3 с следующей ошибкой:
ТЕСТ: Форвардеры/Указатели корня (Forw) Ошибка: Все форвардеры в списке форвардеров недействительны.
Ошибка: Указатели корня и форвардеры не настроены или
не работают. Пожалуйста, убедитесь, что хотя бы один из них работает.
Симптомы:
Просмотр событий постоянно показывает следующие 2 ID событий для клиента DNS:
ID 1017 – Ответ DNS-сервера на запрос имени ВНУТРЕННЕЙ ЗАПИСИ указывает на то, что запрашиваемых типов записей нет, но может указывать на наличие других записей для того же имени.
ID 1019 – В данный момент нет настроенных IPv6 DNS-серверов для любого интерфейса на этом хосте. Пожалуйста, настройте параметры DNS-сервера или обновите настройки динамического IP. (странно, так как IPv6 отключен на сетевой карте)
nslookup работает как ожидается и находит все записи, появляющиеся в ID 1017, независимо от того, какой DNS-сервер я выбираю для использования.
Во время выполнения dcdiag появляются следующие события:
Событие ID 10009: DCOM не смог установить связь с компьютером 8.8.4.4, используя любой из настроенных протоколов.
DCOM не смог установить связь с компьютером 8.8.8.8, используя любой из настроенных протоколов.
Событие ID 1014: Разрешение имени для имени 1.0.0.127.in-addr.arpa истекло после того, как ни один из настроенных серверов DNS не ответил.
Я запустил wireshark, пока dcdiag выполнял свой тест, и внутренние DNS-серверы разрешают все запросы, но затем сервер продолжает запрашивать Google DNS и корневые указатели.
Что, черт возьми, происходит? Что я упустил?
Редактировать: реальные сообщения об ошибках теста корпоративного DNS следующие:
Сводка результатов теста для DNS-серверов, используемых указанными выше
контроллерами:
DNS-сервер: 128.63.2.53 (h.root-servers.net.)
1 сбой теста на этом DNS-сервере
Разрешение имени не функционально. _ldap._tcp.domain1.local. не удалось на DNS-сервере 128.63.2.53
DNS-сервер: 128.8.10.90 (d.root-servers.net.)
1 сбой теста на этом DNS-сервере
Запрос записи PTR для 1.0.0.127.in-addr.arpa. не удалось на DNS-сервере 128.8.10.90 Разрешение имени не функционально. _ldap._tcp.domain1.local. не удалось на DNS-сервере 128.8.10.90
DNS-сервер: 192.112.36.4 (g.root-servers.net.)
1 сбой теста на этом DNS-сервере
Разрешение имени не функционально. _ldap._tcp.domain1.local. не удалось на DNS-сервере 192.112.36.4
и так далее, и так далее.
Включите IPv6 на контроллерах домена Windows. Просто сделайте это. Вы можете изменить свойства DNS-сервера, чтобы он прослушивал только интерфейс IPv4.
Убедитесь, что порт 53 открыт для DNS-серверов Google через UDP и TCP (кстати, лучше использовать любую DNS-службу, которая находится выше по вашему потоку, а не Google). Вы можете использовать PortQry для проверки.
На вкладке форвардеров снимите галочку с опции Использовать корневые указатели, если форвардеры недоступны.
Помните, что dcdiag /test:dns включает множество подтестов. У меня всегда появляются ошибки делегирования, даже если делегирования в порядке.
Попробуйте тесты /DNSBasic, /DNSForwarders и /DnsResolveExtName отдельно.
(И вам давно пора уйти от Server 2008 R2. Он полностью достиг конца срока службы в следующем январе, что означает отсутствие обновлений безопасности.)
Ответ или решение
Для устранения проблемы с тестом dcdiag DNS, который не проходит, несмотря на исправную работу DNS, необходимо провести детальный анализ настроек и конфигурации вашей сети Active Directory.
Активная Директория и DNS в контексте
У вас имеется одно лесное окружение с тремя доменами, и каждый домен контролируется по одному контроллеру на базе Windows Server 2008 R2. DNS настроен с зонами, реплицирующимися по всему лесу, и использует Google Public DNS (8.8.8.8 и 8.8.4.4) в качестве пересылающих серверов.
Предварительная диагностика и потенциальные проблемы
-
IPv6 Настройки
Хотя ваш сетевой интерфейс, возможно, отключил IPv6, Windows Server все равно может ожидать его включение. Рекомендуется включить IPv6 на контроллерах домена, но вы можете настроить DNS так, чтобы он слушал только на IPv4-адресах.
-
Проблемы с переадресацией и корневыми подсказками
Тесты dcdiag указывают на проблемы с пересылкой и корневыми подсказками. В настройках DNS сервера:
- Проверьте, что порт 53 открыт для Google DNS серверов по протоколам UDP и TCP. Это важный момент, так как dcdiag может сталкиваться с ошибками доступа к пересылающим серверам.
- На вкладке «Пересылщики» снимите галочку с «Use root hints if no forwarders are available» (использовать корневые подсказки, если пересылающие недоступны).
-
Диагностика протоколов и сетевых подключений
Ошибки DCOM и невозможнось связаться с google DNS-серверами могут указывать на сетевые проблемы. Используйте утилиту PortQry для диагностики сети и убедитесь, что между серверами нет брандмауэров или других ограничений.
-
Подробные тесты dcdiag
Проведите детальные проверки, используя ключи командной строки, такие как /DNSBasic, /DNSForwarders и /DnsResolveExtName. Это позволит более точно определить, где именно возникают сбои.
-
Ошибка 1017 и 1019 в журнале событий
Ошибка 1017 может быть ложным срабатыванием, однако стоит изучить, какие именно записи вызывают эти ошибки. Что касается ошибки 1019, она связана с отсутствием конфигурации IPv6. Конфигурация сетевых параметров с включенным IPv6 может устранить данную ошибку.
-
Переформатирование вашего ИТ-окружения
Ваши серверы работают на устаревшей версии Windows Server 2008 R2. Рассмотрите возможность миграции на более новую версию Windows Server для получения улучшенной поддержки и безопасности.
В итоге, предприняв вышеупомянутые меры, вы сможете решить проблемы с тестами dcdiag, минимизируя сбои в сети и повышая эффективность работы вашего окружения Active Directory.