Windows-Server-2008

無關的_msdcs。正向查找區域複製失敗,我如何檢查它的用途?我可以刪除它嗎?

  • February 7, 2016

我們在 Windows Server 2008 和 2008 R2 上以 2008 AD 模式執行 Active Directory。

我們的 DNS 是 AD 的一部分,並在與全球目錄相同的伺服器上執行。

我的前任在 domain.local 中創建了環境(域是替代品,.local 不是)

在正向查找區域中,我們有一個名為 domain.local 的容器,其中包含一個工作的 _msdcs 容器。

然而,在頂層,我們有一個名為 _msdcs.domain.net 的容器(注意它是同一個域,但 .net tld 而不是 .local)這個容器主要包含與 domain.local 內的工作 _msdcs 容器相同的記錄,但有一些次要記錄差異。

DNS 管理器中的佈局範例(沒有足夠的信譽點來發布圖像)

+ Forward Lookup Zones
   - _msdcs.domain.net
       + dc
       + domains
       + gc
       + pdc
   - domain.local
       - _msdcs
           + dc
           + domains
           + gc
           + pdc

我想找出它在用什麼?我想知道它是怎麼來的?我想刪除它或修復它。

我可以在 _msdcs 上找到的所有 MS 文件都描述了它的用途及其包含的內容,但沒有說明為什麼在我的 AD 以外的域的正向查找區域頂部會有一個單獨的文件。

================

更新

看起來 AD 已使用 rendom 重命名但未清理/完成。

要確認這一點,請使用 sysinternals Active Directory Explorer(請注意此工具中有龍)

然後查看此容器(並非所有容器都顯示,假設您的域是 domain.local)

-servername [servername.domain.local]
   -CN=Configuration,DC=domain,DC=local
         -CN=Partitions
              CN=DOMAIN

對於名為 msDS-DnsRootAlias 的屬性

就我而言,這顯示了 domain.net

不確定如何解決,但這是另一個問題。

如果有人認為您的域是 domain.net 而不是 domain.local(實際上您不應該使用 .local,但這完全是另一回事),它將在 _msdcs.domain.net 中查找您的 DC。

不知道這可能會破壞什麼(想到 kerberos,以及動態 DNS 更新),所以我想很少或根本沒有使用它。但是,如果您願意,可以進行數據包擷取(使用wireshark,或者最好複製埠並在其他設備上使用wireshark,這樣您就不必在生產伺服器上執行wireshark)過濾DNS記錄,並蒐索結果數據對於涉及 _msdcs.domain.net 的查詢。如果您碰巧找到一個,請檢查查詢設備以查看配置錯誤的設備。

也許您也擁有或曾經擁有一個具有該名稱的 AD 域。如果是這樣,並且它不再存在,您可以清除這些記錄。當您最終從 .local 遷移出去時,這將使您的生活更輕鬆。

引用自:https://serverfault.com/questions/542624