Acabo de intentar reemplazar uno de mis controladores de dominio en un bosque de dominio único manteniendo la IP anterior (pero un nuevo nombre de computadora). Como este es un entorno que he "heredado" de un administrador de sistemas anterior, no tengo todos los antecedentes sobre cómo se configuró. Creo que este podría haber sido el primer DC en AD, pero es un viejo Windows 2003 que ha estado funcionando mal de muchas maneras últimamente.
Antes del cambio tenía:
- 2 x Windows 2003 CC
- 2 x Windows 2008 R2 CC
- Todos menos el resto de Win 2003 tienen GC
Después del cambio, tengo la sensación de que el servicio DNS del nuevo DC no funciona como debería. Si lo tengo configurado como mi DNS principal, obtengo una latencia extraña en mis consultas de DNS para sitios públicos. Las consultas de registros internos parecen estar funcionando. Intenté establecer el tiempo de espera para los reenviadores en 1 segundo en el nuevo DC, lo que me dio una latencia más corta para las consultas públicas, lo que me hace pensar que todas las consultas del sitio público expiran en ese servidor y las reenvío.
Antes de degradar la máquina antigua del AD, me aseguré de que todas las funciones de FSMO estuvieran en un DC diferente y, como se indicó anteriormente, hay varios GC.
¿Hay alguna configuración de DNS para el dominio que me he perdido o tienes alguna idea sobre dónde buscar a continuación?
¿El nuevo nombre de computadora que usa la misma IP es el culpable? ¿Sería prudente degradar al nuevo DC, abandonar el AD, cambiar de nombre y luego unirse nuevamente?
En los registros DNS del administrador del servidor, recibo una advertencia en cada reinicio que dice:
El servidor DNS está esperando que los Servicios de dominio de Active Directory (AD DS) indiquen que se ha completado la sincronización inicial del directorio.
Pero justo después de eso, hay una entrada de información que dice:
"El servidor DNS se ha iniciado.
Ejecutar NSLOOKUP y elegir el servidor "nuevo DC" funciona bien y es instantáneo para consultas internas, pero se agota el tiempo de espera para consultas públicas. Ejecutar PING desde el nuevo DC a un sitio público resuelve la multa por IP pública.
El firewall está desactivado en el servidor y el servicio del servidor DNS se está ejecutando.
Respuesta1
Todos sus registros DNS para AD apuntan al servidor anterior con un nombre diferente, incluso si es la misma IP. Deberías haber agregado el nuevo DC con una nueva IP. Probablemente por eso tienes problemas. Intente realizar un "ipconfig /registerdns" desde su nuevo DC si aún no lo ha hecho. Además, los GC se utilizan principalmente para búsquedas de objetos entre bosques/dominios. Como solo tienes 1 dominio, no sospecho que ese sea el problema principal.
Respuesta2
Creo que ya descubrí cuál era el problema. De forma predeterminada, parece que el nuevo servidor quiere utilizar los otros DC como reenviadores para consultas que no están almacenadas en caché, razón por la cual las consultas internas funcionaron y las públicas no. Simplemente eliminé esas publicaciones y dejé el DNS público como reenviador, y ahora funciona mucho mejor. Supongo que el tiempo de espera se produjo porque consulté un nombre que ninguno de los DC tenía en caché y, por lo tanto, mi nuevo DC primero tuvo que esperar a que el otro DC resolviera el nombre y luego obtuviera una respuesta. Con el tiempo muerto de 2 segundos, esto nunca tuvo éxito.
¡Gracias a Jon por tu aporte!