ARUBA INSTANT WI-FI: SIMPLĂ, PUTERNICĂ, DISPONIBILĂ
Dacă serverul este "pierdut"
Din cauza a ceea ce apare problema? Pentru a înțelege acest lucru, este necesar să reconstruim evenimentele.
Căutarea serverului DNS
Când porniți Dcpromo pentru a configura un controler de domeniu suplimentar, programul afișează caseta de dialog Network Credentials. Acesta solicită numele, domeniul și parola unui cont care are autoritate suficientă pentru a adăuga controlere de domeniu unui domeniu existent (în acest caz, acme.com). Apoi, Dcpromo accesează controlerul de domeniu acme.com și încearcă să se înregistreze în domeniul cu acel nume și parolă. Dar mai întâi, Dcpromo trebuie să găsească controlerul de domeniu primar.
Pentru a înțelege ce server DNS accesează sistemul specific, este suficient să executați comanda din linia de comandă:
Probleme de autentificare în AD
Nslookup poate emite un mesaj similar dacă există o problemă cu serverul DNS la care este configurat clientul DNS:
Acum, să încercăm să folosim Nslookup pentru a simula procesul de înregistrare pe controlerul de domeniu local. Pentru a face acest lucru, trebuie să știți numele domeniului și numele site-ului AD. Cel puțin un site este întotdeauna disponibil: când se creează primul controler de domeniu din pădure, Dcpromo creează un site numit Default-First-Site-Name. Din linia de comandă, sunați la Nslookup. În prompt trebuie să introduceți două comenzi utilizând sintaxa propusă:
Dacă comanda este introdusă corect, rezultatul va fi similar celui afișat pe ecranul 1. Dacă nu a funcționat - nu vă faceți griji, la urma urmei, facem depanare. Dar dacă aceste comenzi nu au funcționat, atunci Dcpromo nu se va putea înregistra în domeniu. În acest caz, Dcpromo accesează serverul DNS: "Informați-mă despre toate controlerele de domeniu existente pentru acme.com". Pentru a emula această interogare, puteți utiliza Nslookup:
Dar, în cazul în care prima cerere nu a reușit, probabil, cu al doilea să se întâmple la fel, sistemul va emite un mesaj de genul ns1.yourisp.com nu pot găsi kerberos._tcp.dc._msdcs. acme.com: Domeniu non-existent (ns1.yourisp.com nu poate detecta kerberos._tcp.dc._msdcs.acme.com: domeniul nu există).
Motivul pentru cele mai multe probleme de rețea de testare este că numele de domeniu AD (în cazul nostru acme.com) este același cu numele de domeniu înregistrat pe Internet, adică apare un conflict de nume. Pentru a înțelege cauzele a ceea ce se întâmplă, trebuie să vă amintiți ce acțiuni au fost realizate atunci când creați primul controler de domeniu din testul forestier AD.
Cauze ale defecțiunilor
Apoi, Dcpromo spune serverului Unix găsit: "Voi scrie câteva înregistrări SRV în domeniul DNS dinamic (DDNS). Vă deranjează? "Serverul Unix răspunde:" Nici un fel! Nu vă cunosc și nu vă lasă să înregistrați nimic în zona mea! "Este clar că un astfel de răspuns dă Dcpromo în confuzie.
Mai degrabă decât să anunțe că a găsit serverul DNS acme.com domeniu nu permite actualizarea, dcpromo încearcă să inducă în eroare și rapoarte care serverul DNS nu este găsit pentru acme.com. Astfel, dcpromo oferă o alternativă: „Doriți să configurați un server DNS pentru acel domeniu?“ Cu siguranță sunteți de acord, bucuros, ceea ce un program de dcpromo, cât de mult se poate face. Dcpromo configurează viitorul controler de domeniu cu un server DNS, creează o zonă acme.com pe server, configurează această zonă pentru a instala acme.com și repornește computerul.
În acest moment problemele încep.
Înregistrarea în AD și prelucrarea separată a interogărilor DNS
Confuz Dcpromo întreabă ce să facă? În loc să raporteze că serverul găsit nu permite actualizări dinamice, Dcpromo raportează că nu este posibil să găsească serverul DNS pentru domeniul acme.com. Apoi Dcpromo sugerează instalarea serviciilor serverului DNS pe serverul Unix pe Internet și configurarea acestuia ca server DNS pentru domeniul local acme.com. Majoritatea utilizatorilor acceptă această ofertă și, așa cum am spus mai devreme, aici sunt problemele.
Când configurați un server DNS local, Dcpromo creează o zonă cu un nume care se potrivește cu numele domeniului - în exemplul nostru, acme.com. Astfel, după crearea unui nou domeniu AD, computerul începe să realizeze două funcții: este atât primul controler de domeniu, cât și serverul DNS pentru domeniu. Dar, deoarece Dcpromo nu raportează software-ului de controler de domeniu că software-ul serverului DNS rulează pe același computer, controlerul de domeniu nu poate găsi un server DNS care să permită actualizarea dinamică pentru acme.com.
Cu alte cuvinte, Dcpromo configurează serviciul de server DNS și creează o zonă acme.com, dar nu spune stack-ului TCP / IP că este necesar să se contacteze atunci când caută un server DNS. Serverul DNS funcționează, însă niciun computer, inclusiv cel pe care funcționează, "știe" că atunci când căutăm un domeniu, este necesar să accesăm mai întâi acest computer. Se pare că Dcpromo efectuează configurația de bază a domeniului și apoi, cu permisiunea utilizatorului, repornește computerul.
Ca urmare, după repornirea computerului, configurația DHCP sau configurația sa statică indică computerului că are nevoie de un fel de server DNS străin - posibil unul dintre serverele de Internet. În acest moment, începe serviciul Netlogon.
Dar când stiva acme.com controlerul de domeniu TCP / IP indica faptul ca serverul DNS care este diferit de ea însăși, interogarea la serverul DNS primar se termină detectarea unui server DNS de pe Internet. Apoi, interogarea returnează serverul DNS al domeniului înregistrat acme.com ca rezultat. Când Netlogon încearcă să facă modificări la înregistrarea care rulează sub Unix de management server DNS, serverul nu permite să facă aceste schimbări, și Netlogon raportate în registrul de ID-ul evenimentului 5773: Serverul DNS pentru DC nu acceptă DNS dinamic. Adăugați înregistrările DNS din fișierul „% SystemRoot% System32Config etlogon.dns“ la serverul DNS care servește domeniului de referință în acel server de fișiere ( «DNS pentru DNS dinamic nu are suport pentru acest controler de domeniu. Adăugați înregistrarea DNS din fișierul '% SystemRoot % System32Config etlogon.dns "către serverul DNS care servește domeniului specificat în acest fișier.").
Dacă nu se poate face până stația de lucru la un nou domeniu AD sau dacă dcpromo nu funcționează pe al doilea calculator, care este planificat să numească un al doilea controler de domeniu, verificați jurnalul de sistem pentru prezența ID-ul evenimentului 5773. În cazul în care raportează o dcpromo care DNS este configurat, prezența unor evenimente cu ID-ul 5773 în jurnalul de sistem spune că o configurație de stiva TCP / IP pentru un administrator de controler de domeniu va trebui să le facă.
Pentru mai multă încredere, trebuie să rulați modulul plug-in DNS din Consola de administrare Microsoft (MMC), faceți dublu clic pe pictograma server, deschideți folderul Forward Lookup Zones și faceți dublu clic pe folderul de domeniu. Dacă folderul conține doar câteva intrări și nu există subdosare, înseamnă că Netlogon nu poate detecta un server DNS care rulează pe același computer.
cum ar fi Netlogon. Setările TCP / IP ale computerului trebuie să fie configurate ca prim server DNS, apoi trebuie să reporniți Netlogon și să verificați din nou dosarul de domeniu. Acum există patru subfoldere în dosarul de domeniu care conțin informații despre locația controlerului de domeniu.
Adăugarea unui al doilea controler de domeniu
Acum infrastructura DNS este în formă bună. Cum se poate extinde pentru rețele mari? În loc să folosiți Dcpromo pentru a detecta problemele DNS, vă vom asigura că DNS funcționează corect de la bun început.
Să presupunem că suntem într-adevăr de lucru pentru acme.com și vom institui AD pentru compania noastră. Va ușura acest lucru sarcina noastră? Trebuie doar să înlocuim serverele DNS existente cu serverele care permit actualizări dinamice, nu? Poate că nu. AD stochează informații în zona DNS, care, poate, nu dorește să fie disponibilă de pe Internet. Deci, chiar dacă domeniul ar trebui să fie într-adevăr numit acme.com, va trebui să păcăliți AD, astfel încât serviciul AD utilizează numai servere DNS interne și nu încearcă să acceseze servere publice "publice" DNS. Această setare se numește "split DNS", este necesar să se asigure securitatea rețelei corporative. Lăsați furnizorul Acme să susțină zona accesibilă publicului acme.com. Apoi, vă voi arăta cum să configurați numai DNS-ul intern pentru AD acme.com.
Mai întâi, trebuie să creați cel puțin un server DNS suplimentar pentru rețeaua acme.com. Pe primul server, trebuie să creați o zonă primară standard acme.com și să permiteți actualizări dinamice în acesta. Pe toate serverele ulterioare, trebuie să configurați ac-me.com ca zonă secundară standard. Ca servere DNS secundare în AD, puteți chiar utiliza serverele cu Windows NT 4.0 și SP6a instalate. Trebuie să configurați stiva TCP / IP pe fiecare computer și stație de lucru din rețea, astfel încât aceștia să utilizeze unul dintre serverele interne DNS ca preferate și celălalt server intern ca server alternativ DNS.
Acum, când porniți Dcpromo, veți găsi serverul DNS pentru domeniul acme.com de care aveți nevoie, un server DNS intern și configurați corect AD. Stațiile de lucru și serverele vor putea găsi acest DC și se vor înregistra pe acesta, iar atunci când Dcpromo pornește pe un alt sistem pentru a crea controale de domeniu suplimentare, Dcpromo va funcționa bine. După instalarea AD, puteți converti zona la AD integrată.
Acum, după configurarea parametrilor DNS, rămâne un singur lucru care trebuie luat în considerare. Dacă orice utilizator acme.com încearcă să găsească www.acme.com. el va găsi întotdeauna zonele de pe serverul de rețea internă și nu va putea accesa Internetul public. Deci, trebuie să copiați manual intrările despre zona publică în zonele de rețea interne.
Distribuiți materialul împreună cu colegii și prietenii
Articole similare
Trimiteți-le prietenilor: