我的一个客户试图通过向 DNS 服务器添加/删除一堆条件转发器、存根区域和正向查找区域记录,从 Active Directory 中写入/删除每个添加/删除(ADDS 使用自己)来“解决”他们 DC 的 DNS作为 DNS 服务器)。4 天后没有问题,已注销的用户由于“没有可用的登录服务器”而无法重新登录。保持登录状态的用户在访问映射驱动器时也遇到了间歇性困难。
登录到 DC 并尝试打开 dsa.msc 并遇到 ADDS 错误对话框,指出“无法找到命名信息,因为:指定的域不存在或无法联系”。然而,我能够打开和访问 dnsmgmt.msc。
dcdiag /test:dns 回过头来警告我没有 AAAA 记录(没有 IPv6,所以这是可以理解的)。我还能够 ping 服务器的主机名,也能够毫无问题地 ping 域名。
我注意到 SYSVOL 和 NTDS 没有共享,并且同样注意到事件日志中的 DfsSvc 错误 (ID:14550) “DFS 命名空间服务无法初始化此域控制器上的跨林信任信息,但它会定期重试该操作。返回代码在记录数据中”以及事件 ID 7009“在等待文件复制服务连接时达到超时(120000 毫秒)。” 瞧,文件复制服务无法启动,因为错误 1053:服务没有及时响应启动或控制请求”。
我撞到了一堵砖墙。如果有人有任何建议或问题,任何事情都会有所帮助,因为我在这里遇到了障碍。
我的猜测是,这些问题是一直在进行的所有 DNS 猴子业务的结果。我的建议是从头开始重新创建 AD DNS 区域。
如果 AD DNS 区域被破坏得超出希望,那么您可以执行此操作从头开始重新创建它们。此答案假定_msdcs.yourdomain.com和yourdomain.com区域是独立的单独区域。在执行此过程之前,请记下区域名称。
将区域从 AD 集成区域更改为标准主要区域(取消选中区域类型的“将区域存储在 Active Directory 中”复选框)。
将区域文件复制(不要移动)到安全的目的地(区域文件可以在 %systemroot%\system32\dns 中找到)。
将区域更改回 AD 集成区域。
删除区域。
重新创建区域。
在yourdomain.com区域中为_msdcs区域创建一个新委派。
重新启动服务器。
等待。
从区域的文本副本重新创建任何静态 DNS 记录。
您的_msdcs.yourdomain.com和yourdomain.com区域应该已经完全正确地重新创建。
如果由于某种原因这不起作用,您有两种选择:
如果您有备份,请执行 DC 的权威恢复。
从您制作的区域文件的副本重新创建原始区域。
我可能会建议两件事:
考虑可能通过 WINS 与 DNS 解决的问题,特别是 DNS 解析的来源(本地 HOSTS 文件、DNS 解析缓存或您的服务器之一)。
我发现使用 nslookup(查看机器如何解析 fqdn 并强制它使用特定的 DNS 服务器解析)是一个有启发性的故障排除练习。