這個是我在虛拟機中做的一個試驗,目的想研究域環境下的ISA,不過中途卻出了“事故”。
環境:虛拟機Vmware,一台2003系統搭建DC,一台2003系統準備搭建ISA,雙網卡。其中DC為單網卡,設定為Vmnet2;ISA為雙網卡,LAN網卡為Vmnet2,WAN網卡為NAT模式(可以上網)
操作:DC的配置IP:192.168.2.5,網關空,DNS指向自己192.168.2.5;ISA的LAN網卡設定IP:192.168.2.254,網關:192.168.2.5(當然這個在真實的環境中以路由IP為準),DNS指向DC的IP為192.168.2.5
然後現在在DC機上安裝域,選擇同時安裝DNS,安裝結束,到客戶機上加域,提示“不能聯系域vennger.cn的域控制器”,具體如下圖:
然後來排查一下問題(我這習慣不太好,最好是在加域之前就檢查下可能出現問題的地方是否OK,然後再加域,這樣出現問題的機率就會小很多):
(1)ISA可以ping通DC機的IP;
(2)兩台機的防火牆都是關閉狀态;
(3)ISA通過DNS解析IP,失敗;
那問題就跟DNS有關系了,看了下DC上的DNS事件如下圖:
通過上面的事件内容可以看出DNS的A記錄不存在;
檢視DNS的正向區域,果然沒有A記錄
添加完成,然後設定NS記錄,因為之前沒有A記錄,是以NS記錄也是不全的
NS記錄原圖為:
點選上圖中的“編輯”重新設定如圖:
然後正确的為:
設定完成後,重新開機系統,客戶機再加域,仍然失敗,當然解析不成功
删除DNS,重建,仍然失敗。(好吧,莫非我RP差?)
後來鑒于TT,部落格位址為http://itmydream.blog.51cto.com/#用了和我一樣的環境測試OK,是以有猜測可能與我虛拟機的系統有關,把系統都還原,然後是以環境重新部署。
新環境一切順利,加域成功,見到了久違的加域成功提示,多少有些小激動呀!
出于遇到問題不是所有都友善環境還原,想着,在環境無問題的情況下再試下DNS重建。
下面來看下DNS重建的操作:
我為了模拟“原事故現場”,将DNS的正向區域及反向區域的記錄全部删除,然後再來重建
點選“是”即可删除,其他的_msdcs.vennger.cn區域和反向查找區域,同理删除。
現在現場弄好了。
1,現在我們來建立區域,點選下一步;
2,選擇主要區域,并勾選下選項,點選下一步;
3,選擇“至Active Directory域vennger.cn中的所有DNS伺服器”,點選下一步;
4,輸入和原區域名稱一樣的域名,點選下一步;
5,選擇“隻允許安全的動态更新”隻有這樣DC才可以自動注冊,點選下一步,至完成;
6,然後再建立名稱為_msdcs.vennger.cn區域,方法如上,步驟相同,隻有下圖中的步驟不一樣;
7,除了以上的,還需要建立反向區域,步驟與以上兩種相同,隻有下圖中的不同
8,輸入cmd, 然後重新開機netlogon和dns服務;
如此以上就是完整的步驟,做下解析,成功,就OK了。
PS:現在補下一個小插曲,以上DNS重建步驟是參照TT部落格,原文http://itmydream.blog.51cto.com/961933/771985,TT可能覺得反向區域比較簡單,是以沒寫進去或者是之前沒删除,而我偷了下懶,原封不動的照着做,結果沒有建立反向區域,當然解析未能成功,隻解析出IP,沒有域名
後果發現問題,加上了反向區域,結果仍然解析未能成功,最後是通過:先禁用DC的網卡,然後再啟用,終于解析成功
通過以上問題,總結了一下心得:
1.IT沒有小細節;
2.搭建環境後一定要先測試,不要等出問題後再反向查找,會很被動;
3.參照其他人的方法,要多思考,要結合自己的環境,不要原封不動照搬;
最後附上一個指令,是在客戶機上查詢是否登入域的,覺得有些用
還有關于_msdcs在DNS區域作用講解的一篇文章http://lzy821218.blog.51cto.com/209800/498906
關于DC當機,使用緩存登入了解的文章http://itmydream.blog.51cto.com/961933/772368
如果有什麼講的不對的地方,敬請各位指出!