2 DNS в одном домене. Ошибка Kerberos. Ошибка DCOM
 

Всем здравствуйте. Имеется ситуация. Есть домен. В нем один контроллер домена, он же DNS на Windows Server 2008 SP1. В этом же домене есть Windows Server 2003 Enterprise 2003 SP2, на нем тоже установлена роль DNS.
В последнее время стал часто получать ошибку службы DCOM (рис. 1)
После беглого просмотра, обнаружил что ей предваряет ошибка службы Kerberos (рис. 2)
Обратите внимание на имена компьютеров к которым обращается Керберос.
После проверки зон DNS я обнаружил что в зоне, которую держит контроллер домена, присутствуют станции, с разными именами, но зарегестрированные на один и тот же IP адрес.
После удаления, ошибка не исчезла.
Затем был проверен также Сервер 2003. Оказалось что записи присутствуют и там.
Настраивал всю систему не я. Так что претензии к прошлому админу.
Я же прошу совета.
1. Scaveging\Aging настроен для обоих серверов, на No-Refresh/Refresh interval выставлено 5 и 6 дней соответственно. Несмотря на это, записи которые не были обновлены уже более месяца не удаляются. Даже при ручном запуске Scavenge Stale Resource records. Какова может быть причина?
2. Как можно настроить 2003-й сервер, чтобы он получал обновления зон только с контроллера домена? В SOA Forward lookup zone, Serial number 2003-го сервера выше чем той же зоны у контроллера домена.

Если нужны какие либо дополнительные сведения, готов предоставить :)

покажите вывод команды repadmin /showrepl с каждого КД

DC один, если автор правильно понимает и описал ситуацию. DNS-зона может быть и без интеграции в AD.

Моё предложение - удалить роль DNS и всё такое на сервере с 2k3. А затем создать заново. На DC при этом в параметрах зоны указать, что DNS-сервер на 2k3 - secondary DNS. Тогда будет, что автор хочет - 'чтобы он получал обновления зон только с контроллера домена'. И лучше перенести зону на интеграцию в AD, если это возможно в принципе, без пересоздания зоны.

Вот вывод команды. (рис. 3)
На сколько я понимаю КД принимает обновления со второго сервера, который new-server. Вопрос в том отправляет ли?

Это будет следующий шаг.

На сколько я понимаю все зоны интегрированы с AD.

Чтобы и нам было понятно без необходимости прибегать к телепатии, сообщите имя второго компьютера, который Вы контроллером домена называете. Если важна конспирация в плане заведомо недоступного извне имени - придумайте вымышленное, но на каждом скриншоте и в логах чтобы было понятно, о чём речь идёт. На первых скриншотах имя домена ux.local затёрто, на вторых оно светится. Что так? Не доглядели? ;)

Также залезьте в Domains and Trusts -> ... ->Default-First-Site-Link и скриншот. Как раз здесь отображается всё, что якобы несёт на себе какие-то доменные роли.

Тогда DNS-сервер на 2k3 точно должен нести роль DC, иначе как ему ещё интегрировать? :) Скриншотики, откуда это понятно, в студию :)

Скорее перебдел в первый раз :) Зря как оказалось. Я как говорится еще не волшебник :)

В свойствах зоны указано (рис. 4) Причем и для контроллера домена (имя компьютера Elvis) и для второго сервера (тот который New-server под управлением Windows server 2003).

Не совсем понял что именно нужно заскриншотить.
Вот все что нашел (рис. 5)

Это я чушь сказал. Смотрите в 'Active Directory Sites and Services'.

Меня тоже удивило :)

вот скриншот (рис. 6)

Т.о. у вас и Elvis, и New-server - оба контроллеры доменов. 'Ошибка службы DCOM' и 'ошибка службы Kerberos' к делу не относятся, потому что там про компьютер с именем 'E5520-<>'.

По совету Ivan Bardeen давайте выполним команду repadmin /showrepl на new-server.

Это абсолютно нормально.

Когда серверы синхронизируются друг с другом, записи на них будут идентичны. В этом и цель, зачем нужно 'иметь несколько'. Только в вашем случае DNS-зоны хранятся не в файлах, а в 'directory partition', который 'несут' на себе Active Directory Services, запущенные на контроллерах домена. DNS-сервера напрямую записями не обмениваются, весь обмен происходит через AD.

На 'втором' DC new-server выполните команду dnscmd /zoneinfo ux.local Если zone type = 1, то это primary zone, и обмен ведётся в обе стороны. Тогда на обоих серверах:
на скриншоте 4 перейдите на вкладку SOA. В поле 'Primary server' задаётся 'главный' сервер;
на вкладке 'Name servers' должны быть указаны оба сервера.

Если нужен обмен только elvis -> new-server, то на new-server должна быть secondary зона. Наверное, у неё тип 2 :)

А вообще Вам точно нужен 2-й DNS-сервер? :)

Они могут немного отличаться, ведь синхронизация происходит не ежесекундно.

Если у Вас остались ещё какие-то задачи в этом плане, приведите всю выясненную информацию на предыдущих шагах и эту (с обеих машин):
nslookup
set type=soa
ux.local

P.S. Мне кажется, удобнее, когда текст остаётся текстом, а не превращается в картинку.

В каком смысле не относятся? Ведь получается что Kerberos ищет компьютер в сети, но на его IP адрес есть другая запись. Вследствие чего, возникает ошибка DCOM. Именно так это выглядит в логах, с моей точки зрения.

Вот первая строчка ошибки Кербероса:
The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server e6410-5ljq1m1$. The target name used was RPCSS/dt-012.ux.local. This indicates that the target server failed to decrypt

А вот ощибка DCOM которая следует за ней, причем повтоярется 5 раз:
DCOM was unable to communicate with the computer dt-012.ux.local using any of the configured protocols.

Команды repadmin и dnscmd на new-server не распознаются. Сервер выдает ошибку is not recognized as an internal or external command, operable program or batch file. С этим я буду бороться, вот сервер только рестартну вечером. :)

Хороший вопрос. Начинаю об этом думать :)

Настроил primary server в SOA для обоих зон сервер ELVIS


Результат на сервере ELVIS
Server: UnKnown
Address: fe80::3c67:3180:7db1:9e71

ux.local
primary name server = elvis.ux.local
responsible mail addr = hostmaster
serial = 14466
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
elvis.ux.local internet address = 192.168.10.250

Результат на сервере new-server
Server: elvis.ux.local
Address: 192.168.10.250

ux.local
primary name server = elvis.ux.local
responsible mail addr = hostmaster
serial = 14466
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
elvis.ux.local internet address = 192.168.10.250

И я все равно не могу понять почему не работает aging\scaveging.

И Вы абсолютно правы. Для имени 'E5520-<>' на DNS должно быть число записей, равное или меньшее тому, сколько у компьютера 'E5520-<>' IP-адресов. Если на Elvis'е для этого компьютера присутствуют неверные записи - удалите их. Если присутствуют записи с IP-адресами, по которым требуемые службы 'E5520-<>' недоступны, то либо сделайте, чтобы были доступны, либо удалите и эти записи, а на 'E5520-<>' отключите динамическое обновление данных в DNS.
Я имел ввиду, это не относится к делу проблем с DNS-серверами. Потому что эти ошибки Kerberos и DCOM либо являются следствиями этих проблем (а не причиной!), либо вызваны проблемами на 'E5520-<>'. В обоих случаях они не относятся к причинам проблем с DNS-серверами.

Неудивительно, ведь там w2k3 :) А что мешает обе программы запускать на другом компьютере, а им уже указывать, с какого именно сервера 'спрашивать'? Хотите, чтобы непременно начали 'распознаваться' на w2k3? Если x86-версия ОС, то можно установить 'Windows Server 2003 Support Tools'.

О каких 2-х зонах идёт речь?

Нужен результат с машины (т.е. с DNS-сервера) new-server. Вы nslookup'ом можете опрашивать откуда угодно, только после входа в программу сначала укажите, чтобы будете узнавать информацию у new-server командой server new-server.ux.local

Я тоже пока не понимаю :)

Выводы команд repadmin и dnscmd.
C:\Users\servero>dnscmd new-server /zoneinfo ux.local

Zone query result:

Zone info:
ptr = 000000000034CDD0
zone name = ux.local
zone type = 1
shutdown = 0
paused = 0
update = 2
DS integrated = 1
read only zone = 0
in DS loading queue = 0
currently DS loading = 0
data file = (null)
using WINS = 0
using Nbstat = 0
aging = 1
refresh interval = 144
no refresh = 120
scavenge available = 3600898
Zone Masters NULL IP Array.
Zone Secondaries NULL IP Array.
secure secs = 3
directory partition = AD-Domain flags 00000015
zone DN = DC=ux.local,cn=MicrosoftDNS,DC=DomainDnsZones,DC
=ux,DC=local
Command completed successfully.


C:\Users\servero>repadmin /showrepl new-server.ux.local
Default-First-Site-Name\NEW-SERVER
DSA Options: (none)
Site Options: (none)
DSA object GUID: c685f0e4-1f88-4a94-8cf8-19f95a83f9b2
DSA invocationID: a9b9b89e-5933-4f9d-8dee-1bb13bcc3a2f

==== INBOUND NEIGHBORS ======================================

DC=ux,DC=local
Default-First-Site-Name\ELVIS via RPC
DSA object GUID: be3b6ec4-61c4-4048-8d7d-11e75e1c73b8
Last attempt @ 2011-10-11 08:15:12 was successful.

CN=Configuration,DC=ux,DC=local
Default-First-Site-Name\ELVIS via RPC
DSA object GUID: be3b6ec4-61c4-4048-8d7d-11e75e1c73b8
Last attempt @ 2011-10-11 07:56:41 was successful.

CN=Schema,CN=Configuration,DC=ux,DC=local
Default-First-Site-Name\ELVIS via RPC
DSA object GUID: be3b6ec4-61c4-4048-8d7d-11e75e1c73b8
Last attempt @ 2011-10-11 07:56:41 was successful.

DC=DomainDnsZones,DC=ux,DC=local
Default-First-Site-Name\ELVIS via RPC
DSA object GUID: be3b6ec4-61c4-4048-8d7d-11e75e1c73b8
Last attempt @ 2011-10-11 08:11:09 was successful.

DC=ForestDnsZones,DC=ux,DC=local
Default-First-Site-Name\ELVIS via RPC
DSA object GUID: be3b6ec4-61c4-4048-8d7d-11e75e1c73b8
Last attempt @ 2011-10-11 07:56:41 was successful.


Глупость сказал. Не для 2-х зон а для одной и той же зоны, на двух серверах. Что странно, сегодня все вернулось обратно. У каждого сервера в настройках зоны ux.local в закладке SOA в качестве Primary server указан он сам, т.е. у ELVIS ELVIS.ux.local а у new-server new-server.ux.local

Дайте ответ с nslookup'а.

Интересно... Но раз зона на new-server имеет zone type = 1, а Вы хотите синхронизацию в один конец, можно на new-server просто пересоздать зону. Тогда этот вопрос в принципе решать не придётся.

Одна из возможных теорий - эти штуки работают, только содержимое восстанавливается со второго сервера после синхронизации из-за того, что они между собой 'не могут договориться'.

Надеюсь, что кто-то по результатам команд repadmin и dnscmd сможет сделать ещё какие-то выводы...

После выходных попробую снести зону на сервере new-server полностью и пересоздать ее как secondary.

Итак. Зона на сервере New-server пересоздана.
Теперь она secondary тип. Master Servers: Elvis
На сервере Elvis настроены Zone Transfers для сервера new-server.
Также на сервере Elvis настроены интервалы Aging\Scaveging 5 и 6 дней соответственно.

Жду :)

Не уверен, что это нужно, если зона интегрирована в AD.

Итак день второй.
Пока что ошибка DCOM, отосительно которой я и открывал тему, не появляется. Появилась другая :) Но об этом позднее.
Aging\Scavenging для зоны ux.local на сервере Elvis так и не работает.