Acabei de tentar substituir um dos meus controladores de domínio em uma única floresta de domínio, mantendo o IP antigo (mas um novo nome de computador). Como este é um ambiente que "herdei" de um administrador de sistema anterior, não tenho todos os fatos básicos sobre como ele foi configurado. Acho que este pode ter sido o primeiro DC no AD, mas é um antigo Windows 2003 que tem funcionado de todas as maneiras ultimamente.
Antes da mudança eu tinha:
- 2 x Windows 2003 DC
- 2x Windows 2008 R2 DC
- Todos, exceto o restante do Win 2003, têm GC
Após a mudança, tenho a sensação de que o serviço DNS do novo DC não está funcionando como deveria. Se eu definir isso como meu DNS primário, recebo uma latência estranha em minhas consultas de DNS para sites públicos. As consultas de registros internos parecem estar funcionando. Tentei definir o tempo limite para encaminhadores para 1 segundo no novo DC, o que me proporcionou uma latência mais curta para as consultas públicas, o que me fez pensar que todas as consultas de sites públicos atingiram o tempo limite naquele servidor e as encaminharam.
Antes de rebaixar a máquina antiga do AD, certifiquei-me de que todas as funções FSMO estavam em um DC diferente e, como afirmado anteriormente, existem vários GCs.
Há alguma configuração de DNS para o domínio que perdi ou você tem alguma ideia de onde procurar em seguida?
O novo nome do computador usando o mesmo IP é o culpado? Seria sensato rebaixar o novo DC, sair do AD, mudar de nome e depois ingressar novamente?
Nos logs DNS do gerenciador do servidor, recebo um aviso a cada reinicialização dizendo:
O servidor DNS está aguardando que os Serviços de Domínio Active Directory (AD DS) sinalizem que a sincronização inicial do diretório foi concluída
Mas logo depois disso, há uma entrada de informações dizendo:
"O servidor DNS foi iniciado.
Executar NSLOOKUP e escolher o servidor "novo DC" funciona bem e é instantâneo para consultas internas, mas atinge o tempo limite para consultas públicas. A execução do PING do novo controlador de domínio para um site público resolve a multa do IP público.
O firewall está desligado no servidor e o serviço do servidor DNS está em execução.
Responder1
Todos os seus registros DNS do AD apontam para o servidor antigo com um nome diferente, mesmo que seja o mesmo IP. Você deveria ter adicionado o novo DC com um novo IP. Provavelmente é por isso que você está tendo problemas. Tente fazer um "ipconfig/registerdns" do seu novo controlador de domínio, caso ainda não tenha feito isso. Além disso, os GCs são usados principalmente para pesquisas de objetos entre florestas/domínios. Como você tem apenas um domínio, não suspeito que esse seja o problema principal.
Responder2
Acho que descobri qual era o problema. Por padrão, parece que o novo servidor deseja usar os outros DCs como encaminhadores para consultas não armazenadas em cache, e é por isso que as consultas internas funcionaram e as públicas não. Simplesmente removi essas postagens e deixei o DNS público como encaminhadores, e está funcionando muito melhor agora. Suponho que o tempo limite ocorreu porque consultei um nome que nenhum dos controladores de domínio tinha em cache e, portanto, meu novo controlador de domínio primeiro teve que esperar que o outro controlador de domínio resolvesse o nome e, em seguida, obtivesse uma resposta. Com o tempo limite de 2 segundos, isso nunca foi bem-sucedido.
Obrigado a Jon pela sua contribuição!