최근에 구성한 테스트 도메인이 있습니다. 캐시 된 자격 증명을 가진 사용자를 제외하고 갑자기 사용자가 로그인 할 수 없습니다. 도메인에는 서로 복제되는 글로벌 카탈로그 인 두 개의 도메인 컨트롤러가 있습니다.
문제를 조사한 후 모든 _mcdcs 도메인 레코드가 두 DNS 서버 모두에서 완전히 사라짐을 발견했습니다. _ldap 및 _kerberos와 같은 SRV 레코드를 확인할 수 없기 때문에 도메인 컨트롤러를 찾을 수 없습니다.
어떻게 이런 일이 일어 났는지 잘 모르겠습니다. 이것이 DNS 캐시 또는 DNS 청소를 지우는 원인입니까?
이 시점에서 나는 어떻게 든 레코드를 복원해야한다. 다른 도메인의 설정을 검토 한 결과 수동으로 다시 생성 할 수있는 것처럼 보이지만 일부 DNS 레코드에는 SID 이름이있는 것으로 나타났습니다. 그것들을 다시 만드는 데 사용됩니다.
이와 같은 상황에서 벗어나기 위해 사용할 수있는 더 나은 프로세스가 있습니까?
답변
1.
도메인 컨트롤러 중 하나에서 Netlogon 서비스를 다시 시작하십시오.
또는
2.
DCDiag / fix 실행
또는
3.
도메인 컨트롤러 중 하나에서 netlogon.dns 파일의 레코드를 수동으로 작성하십시오.
답변
사람이 삭제하지 않는 한 DNS 레코드가 삭제되는 경우는 드 unusual니다. 일반적으로 dnsTombstoned이므로 DNS 관리자 나 nslookup에 표시되지 않더라도 ADSIEdit과 같은 다른 도구를 사용하는 경우 레코드가 계속 나타날 수 있습니다.
청소를 통해이 문제가 발생할 수있는 경우가 있습니다 (청소가 제대로 구성되지 않은 경우 다른 많은 문제가 발생 함).
http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx
답변
NetLogon 서비스를 다시 시작하고 실행 dcdiag /fix
했지만 운이 없었습니다. 3-4 시간 동안 검색하고 읽은 후에 Active Directory 서비스를 제거하고 다시 설치하기로 결정했지만 설치도 실패했습니다!
그런 다음 this 와 this 에 따라 DNS 레코드를 수동으로 추가하기로 결정 했으므로 도메인 영역을 삭제하고 다시 추가했으며 영역을 추가 할 때 보안 동적 업데이트 만 허용 이라는 것을 알았 으며이 설정을 활성화해야한다는 것을 기억했습니다. 그래서이 확인란을 선택한 다음 netlogon 서비스와 tadaaa를 다시 시작했습니다 !! 모든 기록을 추가했습니다. 또한 실행 dcdiag /fix
다음과 dcdiag
. 내가 무시한 하나 (SystemLog 생각)를 제외하고 모든 테스트를 통과했습니다. 그 후 다른 PC를 도메인에 가입시킬 수있었습니다. 이것은 아마도 다른 사람들의 경우 일 것입니다. 내 도메인 영역에서 보안 동적 업데이트를 활성화해야했습니다.
이것이 내가 겪었던 모든 문제를 다른 사람들이 겪지 못하게하기를 바랍니다.