Ошибка DNS - PTR record query for the
 

Конфигурация

КД1

10.0.0.1 mask 255.255.254.0 10.0.0.100

dns 10.0.0.1

DNS
DHCP


КД2

10.0.2.2 mask 255.255.254.0 10.0.2.100

dns 10.0.0.1
10.0.8.6

DNS
DHCP

КД3

10.0.8.6 mask 255.255.254.0 10.0.8.100

dns 10.0.0.1
10.0.2.2

DNS
DHCP

Маршрутизатор pfsense

6 подсетей

wan
10.0.0.0
10.0.2.0
10.0.4.0
10.0.6.0
10.0.8.0
***************

Команда ping по имени сервера в обе стороны проходит только между КД1 и КД3

Команда ping по имени сервера проходит только от КД1 к КД2,
в обратную сторону от КД2 к КД1 не идет, а пытается пройти через адаптер которого уже давно нет на КД1

Команда ping во обе стороны по IP проходит на всех серверах

Каталог Sysvol и папки общего доступа доступны с КД2 и КД3 по имени сервера КД1

dcdiag /test:dns

nslookup КД1.domain.com 10.0.0.1

10.0.6.1 , 10.0.4.1 , 10.0.2.1 - этих адаптеров давно нет в системе

nslookup КД2.domain.com 10.0.2.2

nslookup КД3.domain.com 10.0.8.6

10.0.4.1 этого адаптера давно нет в системе на КД1


Подскажите пожайлуста как исправить эту ошибку, чтобы после этого исправить репликацию.

Цитата:

Цитата maslinaV Маршрутизатор pfsense 6 подсетей »

Вы-таки решили нормальную схему делать.
Ищите в DNS упоминания о лишних адресах и удаляйте их.

Цитата User001:
Находил удалял в свойствах зон

domain.com и _msdcs.domain.com видно, что на КД1 добавлены IP старых адаптеров, я все удалил и со всех остальных, выполнил

ipconfig /registerdns

перезагрузил все КД, но эти записи снова появились на всех КД в оснастках DNS

Адаптеры были физически изъяты из сервера или нет?

ipconfig /all с первого DC можно увидеть?

Цитата Telepuzik:
Я их удалил, сервер на HYper-v находится
То есть убрал с настроек параметров виртуальной машины.


Цитата ko4evneg:
Вообще эта проблема появилась после того как сделал слияние снимков на КД1, так как Host машина , на которой базировался Hyper-v вышла из строя.

Открываете на данном КД консоль cmd от имени Администратора и вводите там set devmgr_show_nonpresent_devices=1, затем devmgmt.msc. В консоли переходите в меню Вид->Показать скрытые устройства. Скриншот с раздела Сетевые адаптеры покажите.

Рисунок

И так на всех КД, отличие только в количестве

Я их убрал, после опять на всех КД почистил записи, но после перезагрузки DNS записи типа А - о несуществующих адаптерах на КД1, опять появляются, хотя уже этих скрытых устройств нет

Может они еще храняться в Глобальном каталоге, но как их убрать ?

Удаляйте скрытые устройства на всех КД. Чистите зону DNS и затем перезагружайте КД и смотрите будут ли появляться записи в зоне DNS.

Убрал адаптеры на все КД, после этого выключил и загрузил только КД1, и все равно они появляются

Я правильно понимаю что Вы все эти адаптеры из консоли управления устройствами удалили, затем почистили зону DNS и перезагрузив КД они (сетевые адаптеры) снова появились в консоли управления устройствами??

Начальная запись зоны (SOA),и в свойствах этой записи на закладке Сервера имен все равно генерируются IP старых адаптеров, которые удалены.
Хоть я вручную указываю для какого имени разрешить IP адрес, после перезагрузки DNS эти IP, все равно появляются.
Ну а дальше записи распространяются в другие папки

Так Вы удалили адаптеры из консоли Диспетчер устройств или нет?

Цитата Telepuzik:
Да с самого начала на всех Контроллерах домена из консоли Диспетчер устройств удалил сетевые адаптеры,они больше не появляются.

После этого удалил все записи на все Контроллерах домена об устаревших IP адаптерах

p.s У нас сообщение в этом посте вразнобой появляются, поэтому кажется что я вас не слышу, просто не видел вашего вопроса пока свой писал...

Почистил записи,после того как удалил запись (находилась в каталоге выделенным серым цветом ) типа NS, одноименный каталог _msdcs в корне зоны domain.com
таких каталогов было 2 каталог _msdcs, один из них содержал только одну запись, в которой и перечислялись все адаптеры.

Перезагрузил все КД

Этот тест

dcdiag /test:dns

Показал прохождение DNS без каких либо ошибок. Прогнал на всех КД.
Все КД в этот момент должны быть доступны и включен DNS forwarder на маршрутизаторе

Но ошибка обращения с КД2 на КД1 отсается, ping по имени не проходит
И к тому все равно появляются записи о несуществующих адаптерах

Покажите
nslookup КД1.domain.com 10.0.0.1
nslookup КД1.domain.com 10.0.2.2
nslookup КД1.domain.com 10.0.8.6

Есть возможность на некоторое время остановить проблемный КД и посмотреть будут ли появляться данные записи?

nslookup КД.domain.com 10.0.0.1

C:\Windows\system32>nslookup КД.domain.com 10.0.0.1
╤хЁтхЁ: КД.domain.com
Address: 10.0.0.1

╚ь : КД.domain.com
Addresses: 10.0.0.1
10.0.2.1
10.0.6.1
10.0.4.1


+++++++++++++++++++++++++++++++++++++++++++


nslookup КД-2.domain.com 10.0.2.2

C:\Windows\system32>nslookup КД-2.domain.com 10.0.2.2
╤хЁтхЁ: КД-2.domain.com
Address: 10.0.2.2

╚ь : КД-2.domain.com
Address: 10.0.2.2

+++++++++++++++++++++++++++++++++++++++++++++++++


nslookup КД-3.domain.com 10.0.8.6

C:\Windows\system32>nslookup КД-3.domain.com 10.0.8.6
╤хЁтхЁ: КД-3.domain.com
Address: 10.0.8.6

╚ь : КД-3.domain.com
Address: 10.0.8.6

остановил КД-1, все как обычно КД-2 и КД-3 пингуются в обе стороны и на них нет лишних записей об адаптерах

Я чего то не понимаю наверно, если Вы говорите что сразу удалили все адаптеры и они больше не появляются, то откуда Вы показывали мне скриншот в 8 сообщение? С какого КД этот скриншот и когда он был сделан?

Цитата Telepuzik:
Вы попросили сделать скриншот, я его сделал , этот контроллер КД-1.

После этого я удалил все адаптеры и написал все в одно сообщениии.

Физически этих адаптеров не существует, но записи о них в DNS на КД1 появляются и соответственно все остальные DNS сервера знают об этих адаптерах , КД-2 не может найти по имени КД-1, ping направляется на не существующий адаптер (которого уже нет на КД-1).

Хорошо, то есть если выполнить действия что написаны тут адаптеры больше не появляются в диспетчере устройств, правильно?
Покажите скриншот содержимого ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces с проблемного КД.

Их тоже для КД1. Т.е. покажите как разрешают имя КД1 остальные сервера, т.к. надо убедиться, что лишние адреса появляются в DNS от КД1.

да

Приведу пример только с КД-2, но такой вывод идентичен на всех Контроллерах домена

Временное решение

На pfsense в DNS Forwarder включил функцию Host overrides и выставил соответствие, IP адреса и имени Контроллера домена (на котором DNS)

Репликация заработала.

Но проблема в том , что все еще остаются записи о несуществующих адаптерах на КД-1.

Вопрос.

Не подскажите, что за программа или им подобные, что это за класс программ ? (на скриншоте)

Нужно проследить путь выполнения или невыполнения запросов клиентской машины к серверу.

Wireshark.
Я от вас просил nslookup КД1 (а не КД2, КД3) 10.0.2.2 и 10.0.8.6 - как проблемные контроллер разрешают два других.
А после удаления записи все равно появляются?

Так я же сказал что такой же вывод и на КД1


да

а после указания в Host overrides теперь так

Теперь разрешаются записи вот так.

До изменения в Host overrides

Включите ведение журнала в DNS -> смотрите в какой момент приходят пакеты с адресами отсутствующих адаптеров.

Поищите в реестре упоминания о старых адресах.

Цитата User001:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\IntranetAuth


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DNS\Parameters

ListenAddresses
PublishAddresses

Удалил и лишние записи исчезли
Затем в маршрутизаторе убрал Host overrides
Перезагрузил все КД и роутер

Проверил репликацию на каждом КД

repadmin /showreps


Запускаем на каждом Контроллере домена (синхронизации с глобальным хранилищем
информации в доменных службах Active Directory)

DFSRDIAG PollAD /Member:<контроллер домена>

Ошибки остаются

Затем
Принудительно заставил каждый контроллер домена запросить изменения у всех своих партнеров по репликации, и смотрел выполнение ключ /p делает паузу при проверке

repadmin /syncall <контроллер домена> /Adp

Через некоторое время ошибки устранились.