web-dev-qa-db-ja.com

ドメインコントローラーを再起動した後、ドメインコントローラーでDNSが失敗する

私にはこの正確な問題があります イベントID 4013:「DNSサーバーはActive Directoryドメインサービス(AD DS)が信号を送るのを待っています...」

私の問題を除いて、2つのDCと2つのDNSサーバーはもう少し複雑です。したがって、ドメインを再起動すると、両方のDCが完全に起動し、ADが初期同期を実行できるようになるまで、ドメインにログオンしたり、リソースにアクセスしたりできません。

これは煩わしいことですが、Server 2008ではDNSがロードされていないため、ネットワークプロファイルが「未確認」に変更され、この「未確認」プロファイルがファイアウォールをオンにしてDC/DNSトラフィックをブロックするため、問題が拡大します。 DC/DNSサーバーの1つを再度再起動するか、プロファイルのファイアウォールを無効にするまで、ネットワークに完全にアクセスできません。

確かに、そのプロファイルのファイアウォールを無効にすることでこれを修正できますが、この問題を回避する方法は他にありませんか?それは巨大な設計の見落としのようです。

windows-server-2008domain-name-systemsynchronization
2
hax0r_n_code

DC1のプライマリDNSリゾルバーがDC2、DC2のプライマリDNSリゾルバーがDC1になるようにドメインコントローラーを構成する必要があります。次に、DC1とDC2の両方でセカンダリDNSリゾルバーとして127.0.0.1を設定し、最後に再起動しないでください。それらを同時に。よろめきが再起動します。

これは、この問題に関する Microsoftベストプラクティスアナライザーの記事 からの抜粋です。

ループバックIPアドレスは、アクティブな各ネットワークアダプター上のDNSサーバーの1つとして構成する必要がありますが、最初のDNSサーバーとしては構成しないでください。

ループバックIPアドレスがDNSサーバーのリストの最初のエントリである場合、ActiveDirectoryはそのレプリケーションパートナーを見つけることができない可能性があります。

DNSサーバーのリストに独自のIPアドレスを含めると、パフォーマンスが向上し、DNSサーバーの可用性が向上します。ただし、DNSサーバーがドメインコントローラーでもあり、DNSサーバーがそれ自体のみを指している場合、または名前解決のために最初にそれ自体を指している場合、起動中に遅延が発生する可能性があります。このため、サーバーがドメインコントローラでもある場合は、アダプタにループバックアドレスを構成するときに注意が必要です。ループバックアドレスは、ドメインコントローラー上のセカンダリまたはターシャリDNSサーバーとしてのみ構成する必要があります。

はい、マイクロソフトがレプリケーションの「アイランド」問題を軽減するためにいくつかの作業を行ったことを知っていますが、これはマイクロソフトから今日までのベストプラクティスのアドバイスとして残っています。

4
Ryan Ries

人々がADに問題を抱えていることはまだ私を驚かせます。それは13年以上前から存在し、その基本的なメカニズムは変わっていません。確かに、あちこちでいくつかの調整がありますが、内部ではまだいくつかの基本を整える必要があります。

はい、MicrosoftはDNSアイランドの問題を解決したと思われますが、Active Directoryドメインサービスサービスを正常に開始するには、サービスが最初にドメインと親フォレストを支えているサーバーを見つけられる必要があります。当然のことながら、ロケーションはDNSのサービスロケーション(SRV)レコードによって検出されます。

したがって、パッカーDNSレプリカにアクセスできない場合、ADを開始できないため、ActiveDirectory統合DNSを開始できません。ライアンが言うように、最初のDNSリゾルバーを別のDCに向け、2番目のDNSリゾルバーを3番目のDCまたはローカルに向けます。個人的には、自分自身を指す前に2つのリモートDCを使用します。これは、後続のDNSサーバーエントリが無応答の後にのみ使用されるためです。

PDCエミュレーターFSMOについては、そこで何が起こっているのかよくわかりません。ダウンレベルのサービスを除いて、PDCeは時間同期に関してのみ特別な目的を持っています。 -ドメイン内のPDCeDCはPDCeから時間を取得します。このDCは、RTSを使用するように構成することも、ルートドメインのPDCeから時間を取得するように構成することもできます。

この種のことを本当に頭に入れておく1つの方法は、ADを含む災害復旧演習を実行することです。 DNSの_msdcsゾーン、SYSVOLレプリケーション、ADレプリケーションの監視(REPADMINを使用)などを理解する必要があるため、これを試すことをお勧めします。

</ rant>

0
Simon Catlin