Active Directory: восстановление записей DNS

Недавно ко мне обратился клиент со следующей «горящей» проблемой: с терминального сервера невозможно получить доступ к общим сетевым ресурсам. Как следствие невозможно распечатать документы на сетевых принтерах, не работал импорт/экспорт в клиент-банке и т.д. И это все, как обычно, в разгар рабочего дня.

Исходные данные

На предприятии развернута Active Directory. Основным контроллером домена является сервер с именем MAINSERV на ОС Windows 2000 Advanced Server. Терминальные службы подняты на серверах с ОС Windows 2003 Server и Windows Server 2008: Standart. Проблемы начались после проведения каких-то работ на сервере штатным системным администратором.

Диагностика проблемы

Характер описанных выше проблем соответствовал неправильной работе DNS. Поэтому первым делом я запустил средство проверки работоспособности контроллера домена (dcdiag.exe):

c:\> dcdiag
Domain Controller DiagnosisPerforming initial setup:
Done gathering initial info.Doing initial required testsTesting server: Default-First-Site-Name\MAINSERV
Starting test: Connectivity
cccb3911-af6f-4bb5-abc1-6af8f69cf083._msdcs.censored.local's server GUID DNS name could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(cccb3911-af6f-4bb5-abc1-6af8f69cf083._msdcs.censored.local)
couldn't be resolved, the server name (mainserv.censored.local)
resolved to the IP address (192.168.1.1) and was pingable. Check that
the IP address is registered correctly with the DNS server.
......................... MAINSERV failed test ConnectivityDoing primary testsTesting server: Default-First-Site-Name\MAINSERV
Skipping all tests, because server MAINSERV is
not responding to directory service requestsRunning enterprise tests on : censored.local
Starting test: Intersite
......................... censored.local passed test Intersite
Starting test: FsmoCheck
......................... censored.local passed test FsmoCheck

 

Было очевидно, что DNS по каким-то причинам не работает. Чтобы получить полную картину происходящего было запущено средство диагностики сети (netdiag.exe), в отчете которого были только ошибки связанные с DNS:

DNS test . . . . . . . . . . . . . : Failed
[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.1.1'. Please wait for 30 minutes for DNS server replication.
[FATAL] No DNS servers have the DNS records for this DC registered.

Это упрощало задачу. Открыв консоль DNS я обнаружил, что полностью отсутствует зона прямого просмотра censored.local и обратного просмотра — 1.168.192.in-addr.arpa. Впрочем, если говорить строго, зоны обратного просмотра могло и не быть изначально, но как выяснилось по ходу дальнейшей работы, она все таки тоже была нужна.

Решение

Надо было восстановить зону прямого просмотра т.е. восстановить все записи связанные с AD: _msdcs, _sites, _tcp, _udp. Для этого в через консоль DNS была создана новая пустая зона прямого просмотра censored.local. После этого на контроллере домена запущен netdiag в режиме исправления ошибок — параметр /fix. В результате в DNS появились отсутствующие ранее служебные записи, и dcdiag стал выдавать следующее:

Domain Controller DiagnosisPerforming initial setup:
Done gathering initial info.Doing initial required testsTesting server: Default-First-Site-Name\MAINSERV
Starting test: Connectivity
......................... MAINSERV passed test ConnectivityDoing primary testsTesting server: Default-First-Site-Name\MAINSERV
Starting test: Replications
......................... MAINSERV passed test Replications
Starting test: NCSecDesc
......................... MAINSERV passed test NCSecDesc
Starting test: NetLogons
......................... MAINSERV passed test NetLogons
Starting test: Advertising
......................... MAINSERV passed test Advertising
Starting test: KnowsOfRoleHolders
......................... MAINSERV passed test KnowsOfRoleHolders
Starting test: RidManager
......................... MAINSERV passed test RidManager
Starting test: MachineAccount
......................... MAINSERV passed test MachineAccount
Starting test: Services
......................... MAINSERV passed test Services
Starting test: ObjectsReplicated
......................... MAINSERV passed test ObjectsReplicated
Starting test: frssysvol
......................... MAINSERV passed test frssysvol
Starting test: kccevent
......................... MAINSERV passed test kccevent
Starting test: systemlog
......................... MAINSERV passed test systemlogRunning enterprise tests on : censored.local
Starting test: Intersite
......................... censored.local passed test Intersite
Starting test: FsmoCheck
......................... censored.local passed test FsmoCheck

 

Итог

После перерегистрации в DNS компьютеров сети, проблема была полностью устранена и работа предприятия восстановилась. Как показало дальнейшее расследование инцидента, штатный системный администратор просто решил почистить «лишние» записи в DNS.

Пожалуйста, оцените статью:
(всего оценок: 3, средняя: 5,00 из 5)