私は、古い IP (ただし新しいコンピュータ名) を維持したまま、単一ドメイン フォレスト内のドメイン コントローラの 1 つを交換しようとしました。これは以前のシステム管理者から「継承」した環境であるため、どのように設定されたかに関する背景情報をすべて把握しているわけではありません。これは AD の最初の DC だったと思いますが、これは最近あらゆる点で動作不良を起こしている古い Windows 2003 です。
変更前は次のとおりでした:
- 2 x Windows 2003 DC
- 2 x Windows 2008 R2 DC
- 残りのWin 2003を除くすべてにGCが搭載されている
変更後、新しい DC の DNS サービスが正常に動作していないような気がします。これをプライマリ DNS として設定すると、パブリック サイトの DNS クエリで異常な遅延が発生します。内部レコードのクエリは動作しているようです。新しい DC でフォワーダーのタイムアウトを 1 秒に設定してみましたが、パブリック クエリの遅延が短くなりました。これは、すべてのパブリック サイト クエリがそのサーバーでタイムアウトし、転送されると考えられます。
古いマシンを AD から降格する前に、すべての FSMO ロールが別の DC 上にあることを確認しました。前述のとおり、GC は複数あります。
ドメインの DNS 設定で見逃しているものがあるのでしょうか、それとも次にどこを確認すればよいか、何かアイデアはありますか?
同じ IP を使用する新しいコンピューター名が原因でしょうか? 新しい DC を降格し、AD から離脱し、名前を変更してから再度参加するのが賢明でしょうか?
サーバー マネージャーの DNS ログには、再起動のたびに次のような警告が表示されます。
DNS サーバーは、ディレクトリの初期同期が完了したことを Active Directory ドメイン サービス (AD DS) が通知するのを待機しています。
しかし、その直後に次のような情報エントリがあります:
「DNS サーバーが起動しました。
NSLOOKUP を実行し、サーバー「新しい DC」を選択すると、内部では正常に動作し、即時に実行されますが、パブリック クエリではタイムアウトになります。新しい DC からパブリック サイトへの PING を実行すると、パブリック IP が正常に解決されます。
サーバーのファイアウォールはオフになっており、DNS サーバー サービスが実行されています。
答え1
AD のすべての DNS レコードは、同じ IP であっても、異なる名前の古いサーバーを指しています。新しい IP で新しい DC を追加する必要があります。おそらくこれが問題の原因です。まだ実行していない場合は、新しい DC から「ipconfig /registerdns」を実行してみてください。また、GC は主にフォレスト/ドメイン間のオブジェクト検索に使用されます。ドメインが 1 つしかないため、これが主な問題であるとは考えられません。
答え2
問題が何だったのかがわかったと思います。デフォルトでは、新しいサーバーはキャッシュされていないクエリのフォワーダーとして他の DC を使用するようです。そのため、内部クエリは機能しましたが、パブリック クエリは機能しませんでした。これらの投稿を削除し、パブリック DNS をフォワーダーとしてそのままにしておくと、はるかにスムーズに動作するようになりました。タイムアウトが発生したのは、どの DC にもキャッシュされていない名前をクエリしたためだと思います。そのため、新しい DC は、まず他の DC が名前を解決するのを待ってから応答を取得する必要がありました。2 秒のタイムアウトでは、これは決して成功しませんでした。
ご意見をくださったJonに感謝します!