Server 2012 R2 Active DirectoryドメインSRV DNSレコードが突然消えた
最近構成したテストドメインがあります。突然、キャッシュされた資格情報を持つユーザーを除いて、ユーザーはログインできなくなります。ドメインには、相互に複製する両方のグローバルカタログである2つのドメインコントローラーが含まれています。
問題を調査した後、すべての_mcdcsドメインレコードが両方のDNSサーバーで完全になくなっていることがわかりました。これにより、_ldapや_kerberosなどのSRVレコードが解決できないため、ドメインコントローラーを見つけることができなくなります。
これがどのように発生したのかはよくわかりません...これは、DNSキャッシュまたはDNS清掃をクリアすることによって引き起こされるものですか?
この時点で、なんとかしてレコードを復元する必要があります。別のドメインの設定を確認しましたが、手動で再作成できるようですが、一部のDNSレコードにはSID名が含まれているようです...それらを再作成するために使用されます。
このような状況から抜け出すために使用できるより良いプロセスはありますか?
1.ドメインコントローラの1つでNetlogonサービスを再起動します
OR
2. DCDiag/fixを実行します
OR
3.いずれかのドメインコントローラのnetlogon.dnsファイルから手動でレコードを作成します
DNSレコードが削除されるのは珍しいことです(誰かが削除した場合を除きます)。通常、それらはdnsTombstonedであるため、ADSIEditなどの別のツールを使用すると、DNSマネージャーやnslookupに表示されていなくても、レコードが表示される場合があります。
清掃がこれを引き起こす可能性のあるEdgeのケースがあります(清掃が適切に構成されていない場合、他の多くの問題が発生します)。
http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx
NetLogonサービスを再起動してdcdiag /fixを実行しましたが、うまくいきませんでした。 3〜4時間検索して読んだ後、Active Directoryサービスをアンインストールして再度インストールすることにしましたが、インストールも失敗しました。
次に、 this および this に従ってDNSレコードを手動で追加することにしました。そのため、ドメインのゾーンを削除して再度追加し、ゾーンを追加するときに気づきました安全な動的更新のみを許可します。この設定を有効にする必要があることをどこかで思い出したので、このチェックボックスをオンにしてから、netlogonサービスとtadaaaを再起動しました。すべてのレコードを追加しました。また、dcdiag /fix、次にdcdiagも実行しました。私が無視した1つ(SystemLog)を除いて、すべてのテストに合格しました。その後、他のPCをドメインに参加させることができました。これはおそらく他の人にも当てはまります。ドメインのゾーンで安全な動的更新を有効にするためだけに必要です。
これにより、他の人が私が行ったすべてのトラブルを回避できますように.