無關的_msdcs。正向查找區域複製失敗,我如何檢查它的用途?我可以刪除它嗎?
我們在 Windows Server 2008 和 2008 R2 上以 2008 AD 模式執行 Active Directory。
我們的 DNS 是 AD 的一部分,並在與全球目錄相同的伺服器上執行。
我的前任在 domain.local 中創建了環境(域是替代品,.local 不是)
在正向查找區域中,我們有一個名為 domain.local 的容器,其中包含一個工作的 _msdcs 容器。
然而,在頂層,我們有一個名為 _msdcs.domain.net 的容器(注意它是同一個域,但 .net tld 而不是 .local)這個容器主要包含與 domain.local 內的工作 _msdcs 容器相同的記錄,但有一些次要記錄差異。
DNS 管理器中的佈局範例(沒有足夠的信譽點來發布圖像)
+ Forward Lookup Zones - _msdcs.domain.net + dc + domains + gc + pdc - domain.local - _msdcs + dc + domains + gc + pdc
我想找出它在用什麼?我想知道它是怎麼來的?我想刪除它或修復它。
我可以在 _msdcs 上找到的所有 MS 文件都描述了它的用途及其包含的內容,但沒有說明為什麼在我的 AD 以外的域的正向查找區域頂部會有一個單獨的文件。
================
更新
看起來 AD 已使用 rendom 重命名但未清理/完成。
要確認這一點,請使用 sysinternals Active Directory Explorer(請注意此工具中有龍)
然後查看此容器(並非所有容器都顯示,假設您的域是 domain.local)
-servername [servername.domain.local] -CN=Configuration,DC=domain,DC=local -CN=Partitions CN=DOMAIN
對於名為 msDS-DnsRootAlias 的屬性
就我而言,這顯示了 domain.net
不確定如何解決,但這是另一個問題。
如果有人認為您的域是 domain.net 而不是 domain.local(實際上您不應該使用 .local,但這完全是另一回事),它將在 _msdcs.domain.net 中查找您的 DC。
不知道這可能會破壞什麼(想到 kerberos,以及動態 DNS 更新),所以我想很少或根本沒有使用它。但是,如果您願意,可以進行數據包擷取(使用wireshark,或者最好複製埠並在其他設備上使用wireshark,這樣您就不必在生產伺服器上執行wireshark)過濾DNS記錄,並蒐索結果數據對於涉及 _msdcs.domain.net 的查詢。如果您碰巧找到一個,請檢查查詢設備以查看配置錯誤的設備。
也許您也擁有或曾經擁有一個具有該名稱的 AD 域。如果是這樣,並且它不再存在,您可以清除這些記錄。當您最終從 .local 遷移出去時,這將使您的生活更輕鬆。