Я только что попытался заменить один из моих контроллеров домена в лесу с одним доменом, сохранив старый IP (но новое имя компьютера). Поскольку это среда, которую я «унаследовал» от предыдущего системного администратора, у меня нет всех предысторий того, как она была настроена. Я думаю, что это мог быть первый контроллер домена в AD, но это старая Windows 2003, которая в последнее время ведет себя по-разному.
До изменения у меня было:
- 2 x Windows 2003 DC
- 2 x Windows 2008 R2 DC
- Все, кроме оставшихся Win 2003, имеют GC
После изменений у меня возникло ощущение, что служба DNS нового DC не работает так, как должна. Если я устанавливаю его в качестве основного DNS, я получаю странную задержку в моих DNS-запросах для публичных сайтов. Запросы для внутренних записей, похоже, работают. Я попробовал установить тайм-аут для пересылок до 1 секунды на новом DC, что дало мне более короткую задержку для публичных запросов, из-за чего я подумал, что все запросы публичных сайтов истекают по тайм-ауту на этом сервере, и пересылает их.
Прежде чем я удалил старую машину из AD, я убедился, что все роли FSMO находятся на другом DC, и, как уже говорилось ранее, там есть несколько GC.
Есть ли какие-то настройки DNS для домена, которые я пропустил, или у вас есть идеи, где искать дальше?
Является ли причиной новое имя компьютера, использующее тот же IP? Будет ли разумно понизить новый DC, выйти из AD, изменить имена, а затем снова присоединиться?
В журналах DNS диспетчера сервера при каждой перезагрузке появляется предупреждение следующего содержания:
DNS-сервер ожидает сигнала от доменных служб Active Directory (AD DS) о завершении начальной синхронизации каталога.
Но сразу после этого идет информационная запись:
«DNS-сервер запущен.
Запуск NSLOOKUP и выбор сервера "новый DC" работает отлично и мгновенно для внутренних запросов, но тайм-аут для публичных запросов. Запуск PING с нового DC на публичный сайт разрешает публичный IP отлично.
На сервере отключен брандмауэр, а служба DNS-сервера запущена.
решение1
Все ваши записи DNS для AD указывают на старый сервер с другим именем, даже если тот же IP. Вам следовало бы добавить новый DC с новым IP. Вероятно, поэтому у вас и возникли проблемы. Попробуйте выполнить "ipconfig /registerdns" с вашего нового DC, если вы еще этого не сделали. Кроме того, GC в основном используются для поиска объектов между лесами/доменами. Поскольку у вас только 1 домен, я не подозреваю, что это главная проблема.
решение2
Думаю, я выяснил, в чем проблема. По умолчанию новый сервер хочет использовать другие DC в качестве пересылок для некэшированных запросов, поэтому внутренние запросы работали, а публичные — нет. Я просто удалил эти сообщения и оставил публичные DNS в качестве пересылок, и теперь все работает гораздо более гладко. Предполагаю, что тайм-аут произошел из-за того, что я запросил имя, которого ни у одного из DC не было в кэше, и поэтому моему новому DC сначала пришлось ждать, пока другой DC разрешит имя, а затем получить ответ. С 2-секундным тайм-аутом это никогда не удавалось.
Спасибо Джону за ваш вклад!