服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 多余的_msdcs。 正向查找区域复制失败,我该如何检查使用它? 我可以删除它吗?
Intereting Posts
重新启动CentOS 6.3后,没有外出网路连线 pipe理多个IIS服务器而不共享configuration 如何检测哪个进程正在进行端口扫描 AWS目录服务 nohup创build多个进程 没有指定网关的Windows静态路由(下一跳) 如何防止Apache服务.git目录? Google云端Shell暂时不可用 转发请求进入端口80,为一个特定的链接,本地端口8080 将Outlook用户迁移到随行人员 LXDE桌面快捷方式布局configuration文件 chmod不能在vbox共享文件夹上工作 监视或logging目录权限更改? 同时使用亚马逊EC2 ami工具和EC2 api工具? CISCO PIX可以通过IPSEC隧道传输SCTPstream量

多余的_msdcs。 正向查找区域复制失败,我该如何检查使用它? 我可以删除它吗?

我们在2008 AD模式下运行Windows Server 2008和2008 R2上的Active Directory。

我们的DNS是AD的一部分,与全局编录在相同的服务器上运行。

我的前任在domain.local中创build了环境(域是替代,.local不是)

在正向查找区域中,我们有一个名为domain.local的容器,它包含一个正在工作的_msdcs容器。

然而,在顶层,我们有一个名为_msdcs.domain.net的容器​​(注意它的域名相同,但是.net tld而不是.local),这个容器大多包含与domain.local中工作的_msdcs容器相同的logging,但是有一些小的差异。

DNSpipe理器中的布局示例(没有足够的信誉点来发布图像) 

+ Forward Lookup Zones - _msdcs.domain.net + dc + domains + gc + pdc - domain.local - _msdcs + dc + domains + gc + pdc

我想find什么使用它? 我想知道它是如何到达那里? 我想删除它或修复它。

我可以在_msdcs上find的所有MS文档都描述了它的用途以及它包含的内容,但不是为什么在除了我的AD之外的其他域中,我的正向查找区域的顶部会有一个单独的文档。

================

更新

看起来AD使用rendom重命名,但没有清理/完成。

要确认这一点,请使用sysinternals Active Directory Explorer(请仔细阅读本工具中的龙)

然后看看这个容器(不是所有的容器显示,asuming你的域名是domain.local) 

 -servername [servername.domain.local] -CN=Configuration,DC=domain,DC=local -CN=Partitions CN=DOMAIN

用于名为msDS-DnsRootAlias的属性

在我的情况下,这表明domain.net

不确定如何解决,但这是另一个问题。

如果有什么认为你的域是domain.net而不是domain.local(实际上你不应该使用.local,但这完全是另一个对话),它会在_msdcs.domain.net寻找你的DC。

有没有什么可能会打破(kerberos想到,以及dynamicDNS更新),所以我想可能很less或没有使用它。 但是,如果你愿意,可以做一个数据包捕获(使用wireshark,或者更好的方法是克隆端口,在别的东西上使用wireshark,这样你就不必在生产服务器上运行wireshark)过滤DNSlogging,search结果数据涉及_msdcs.domain.net的查询。 如果碰巧find一个,请检查设备查询,看看它是如此错误configuration。

也许你也有,或者有,这个名字的AD域。 如果是这样,并且不再存在,则可以清除这些logging。 最终有一天你会从.local迁移出去,这会让你的生活更轻松。

domain.local下的_msdcs .domain.local (这是林中的第一个域)通过右键单击domain.local并select“New Delegation …”向导来授予权限。 运行该向导以指向与SOA相同的PDC。 这样做可能看起来没有成果,但它有一个确定的目的。

通常,整个networking中的域控制器都包含DNS区域的副本,并且仅在该域中具有权威性。 委派向导在与domain.local相同的级别创build一个新的_msdcs.domain.local作为新的域。 它是所有区域的副本,并使整个森林的名称服务器成为权威。 目的是通过WAN连接上的大型networking在每个站点都有域控制器。 这些域控制器都是具有整个AD DNS副本(所有区域)的DNS复制服务器,但执行委派向导允许它们作为权威性的可写。 系统logging的dynamic更新不再需要在PDC的域中的所有PC之间完成,而是仅在其本地DC上进行,这将在其定期更新周期内更新PDC。

默认情况下,_msdcs中的名称服务器(NS)的复制范围将设置为域中的所有DNS服务器,但现在_msdcs.domain.local中的NS对森林是权威的。 这允许LDAP查询在其本地DC上的本地域中进行接口,这是一个小原因。 但是,即使所有的DNS副本都在总部,在这个委派完成之前,名称服务器(NS)仅仅是关于在domain.local(或者更好地写成domain1.local)的AD详细信息的权威性,而不是授权给域即domain2.local)与森林中的第一个域相同。

有些人认为森林中第一个域的子域也需要这个错误。 但名称服务器是他们的域的权威,即使child.domain.local驻留在domain.local内。

至于_msdcs.domain.net名称是不同的,从同一级别的域名来的,domain.local? 这可能是一个菜鸟pipe理员,他认为_msdcs.domain.local域名将与domain.local下的_msdcs域名(FQDN:_msdcs.domain.local)冲突,因为它将被命名并可能导致损坏。