Nad tímhle s železnou pravidelností vždy zaváhám. Jak správně nastavit DNS servery v konfiguraci DC (Active Directory řadiče), který je sám DNS serverem?
První IP adresa DNS serveru musí být adresa druhého DNS serveru. Druhá nebo třetí adresa DNS serveru může být adresa toho DC, který konfiguruji, ale musí to být loopback adresa (tj. 127.0.0.1), nikoliv IP adresa nakonfigurovaná na síťové kartě.
V případě používání IPv6 platí to samé, pouze loopback adresa je ::1.
A jak v případě jediného DC ala SBS? MS říká, že DC by měly být vždy min. dva. Ale pokud není zbytí, lze si pomoci třeba tím, že zprovozním sekundární DNS server třeba na Synology boxu, ten si bude stahovat zóny z primárního DNS (tj. DC), kde musím samozřejmě povolit sekundární BIND servery a povolit stahování zón. Na DC poté nastavím coby primární DNS server IP adresu Synology boxu, jako druhou pak 127.0.0.1.
Zdroje:
https://blogs.technet.microsoft.com/askds/2010/07/17/friday-mail-sack-saturday-edition/#dnsbest
https://technet.microsoft.com/en-us/library/dd378900(WS.10).aspx
https://technet.microsoft.com/en-us/library/ff807362(v=ws.10).aspx
Tahle chyba mne dlouho vytáčela k šílenství. V případě internetového serveru, kdy na straně klienta může být blbě nastavené cokoliv, je ve finále tisíc logování této chyby úplně nanic. Nakonec pomůže změnit jeden záznam v registrech. Více...
Dneska to bylo pěkné. Chcípající DC (The RPC server is unavailable.), hromada záznamů v Eventlogu s ID 4227 a 4231, postupně umírající replikace mezi AD sajtami, uživatelé stěžující si na nedostupnost DFS namespace \\domena.tld\. Prostě zpráva z kategorie těch po ránu nejméně oblíbených. Více...
V roce 2011 jsem si na tomto blogu poznamenal a sám sobě opakovaně vysvětlil, jak funguje koncept vícero IP adres na jedné síťovce ve Windows od Vist, resp. Serveru 2008. Jsme u Serveru 2016 a vše funguje pořád stejně. A pořád se najdou situace, kdy se zaseknu a musím si tenhle článek starý 6 let najít, přečíst a znovu pochopit :) Naposledy dneska. Každopádně pokrok nezastavíš a tak jsem si řekl, že netsh je překonané a že by to chtělo způsob, který nebude vyžadovat odebrání IP adresy, která byla původně přidaná přes GUI. A jo, ono to už jde! Více...
Dnešní den jsem plánoval něco zcela jiného. Nakonec to dopadlo tak, že jsem se celý den snažil pochopit, co se to proboha stalo ve dvou různých firmách, ve kterých se v noci nainstalovaly na servery hotfixy. A od rána prudí uživatelé, že se nemůžou přihlásit přes RDP na server, že se jim Outlook nedokáže přihlásit k Exchange 2003 či Exchange 2010, ale přitom přes OWA vše jde. A nefunkční jsou i Outlooky na MAC OS X. Teď, po dvanácti hodinách, už samozřejmě vidím souvislost, ale ráno ani omylem. Takže co se to vlastně stalo? Více...
V poslední době jsem několikrát řešil problémy s časem ve forestu, případně v doméně s vícero sajtami. Párkrát jsem se k tomu dostal v okamžiku, kdy někdo přede mnou dočasně “poléčil” problémy času na non-PDC DC fixním nastavením NTP serveru. To je řešení následků problému, nikoliv odstranění příčiny. Takže v prvním kroku je třeba uvést nastavení non-PDC do pořádku:
w32tm /config /syncfromflags:domhier /update
w32tm /resync /rediscover
Jiný postup opravy (pro krapet odlišný problém) jsem si uložil zde.
V druhém kroku pak následuje vysvětlení lokálnímu IT týmu, jak se věci mají, jak to funguje. K tomu je nejlepší tento obrázek, který jsem, přiznávám, někde ukradl (s odkazováním na externí URL obrázku mám špatné zkušenosti, někdo změní blogovací nástroj, tím pádem změní URL a obrázek je v háji):
Obrázek je všeříkající, bez nutnosti složitě popisovat, co si odkud může vzít čas.
Pokud se jedná o virtualizovaný DC, je nutné vypnout podporu synchronizace času mezi DC a hypervisorem. Postup pro Hyper-V jsem si popsal zde.
Na závěr je třeba mrknout na nastavení PDC, otestování povolené komunikace mezi PDC a externím zdrojem času. Často jsem se setkal s chybějícími či chybnými pravidly v korporátním firewallu. A koneckonců je nutné se podívat i na korektní konfiguraci PDC – popsáno tady.
W2008 R2 a W2012 přináší zajímavou fíčuru – možnost změnit snadno edici. Bohužel to funguje jen směrem nahoru. V dřívějších verzích Windows bych to chápal, různé edice obsahovaly různé funkce a změna edice např. z Enterprise na Standard by byla docela problematická. Nicméně u Windows 2012 se říká, že vše je stejné, liší se jen práva virtualizace. Asi to bude problém v rozdílných možnostech určitých rolí, bůh ví.
Zjištění aktuální edice W2012:
DISM /Online /Get-CurrentEdition
Essentials vrátí Current Edition : ServerSolution
Standard vrátí Current Edition : ServerStandard
Datacenter vrátí Current Edition : ServerDatacenter
Zjištění možné cílové edice W2012: Více...
Říkal jsem si, že to není možné. Poté, co mne kontaktovali kolegové ze Střední Ameriky, jsem zjistil, že to je možné. Jeden DC je hardwarově mrtev a na druhý se nedokáže nikdo z lokálních IT připojit, protože to vypadá, že zapomněli heslo.
Jelikož jedou na W2008R2, poslal jsem jim tento návod - http://www.howtogeek.com/106333/how-to-reset-your-forgotten-domain-admin-password-on-server-2008-r2/.
Napadlo mne se preventivně podívat, jak tuto situaci řešit v případě, kdy by byl na DC nasazen W2012 nebo W2012 R2. No, kupodivu naprosto stejně. Výborný step-by-step návod, dokumentující odlišnosti obrazovek mezi W2008R2 a W2012, je tady - http://vthoughtsofit.blogspot.cz/2013/03/reset-your-domain-administrator.html.
Na jednom serveru jsme se potkali s opakovaným selháváním zálohy virtuálního stroje. Hlášky, které se objevovaly v EventLogu, byly velmi podivné. Zkoušeli jsme zálohovat pomocí Symantec BackupExec, Windows Server Backup, Altaro Hyper-V Backup. Chyba vypadala všude stejně: Více...
Narazil jsem dnes na problém Windows Serveru 2008 R2, na kterém byl nainstalovaný IE 11. V IIS byl nakonfigurovaný intranetový web, který vyžadoval Windows ověření (Kerberosem nebo NTLM). Zatímco vzdálený přístup na web z jiného počítače šel bez problémů, z lokálně puštěného prohlížeče ani omylem.
Dohledal jsem, že je to zabezpečení “by design” už od doby WXP SP2 a Windows Serveru 2003 SP1. Jde o to, že systém kontroluje, zdali autentizace pomocí FQDN DNS jména obsahuje název serveru. A pokud ne, zobrazí se HTTP 401.1 – Unauthorized: Logon Failed. Více...