DNS и VPN: проблема с передачей зон
Модератор: Модераторы
Сообщений: 17
• Страница 1 из 2 • 1, 2
- grant2user
- Новый участник
- Сообщения: 11
- Зарегистрирован: 10 ноя 2004, 15:31
grant2user » 10 ноя 2004, 15:57
Имеется два оффиса (соответственно 192.168.1.0 и 192.168.20.0) связанных VPN (через RRAS и ISA). На компьютере с ISA сервер удаленного оффиса (он и все комп-ы удал. оффиса введены в домен центр. оффиса) установлен DNS-сервер для поддержания разрешения имен в случае проблем с VPN. При попытке создать secondary standart zone в журнале появляется ошибка, что зона найдена, но сервер отверг запрос на передачу (для данной зоны, DNS удаленного оффиса внесен в список серверов имен, и передача зоны настроена для серверов, явл-хся серверами имен). Если разрешить передачу зоны на любые серверы, то передача проходит без ошибок. В удаленном оффисе netbios отключен, домен. контроллеров нет (т. к. имеются аппартные ограничения).
Все условия статьи "Объединение двух сетей c использованием VPN" соблюдены, кроме использования dcdiag.exe и netdiag.exe - с ними не работал и сейчас на то, чтобы разобраться с ними времени мне не выделят. Домен ставил не я (прошел год), VPN настраивал я (работаю два месяца).
Помогите, пожалуйста, определить, с какой стороны подступиться к проблеме.
Все условия статьи "Объединение двух сетей c использованием VPN" соблюдены, кроме использования dcdiag.exe и netdiag.exe - с ними не работал и сейчас на то, чтобы разобраться с ними времени мне не выделят. Домен ставил не я (прошел год), VPN настраивал я (работаю два месяца).
Помогите, пожалуйста, определить, с какой стороны подступиться к проблеме.
- grant2user
- Новый участник
- Сообщения: 11
- Зарегистрирован: 10 ноя 2004, 15:31
grant2user » 11 ноя 2004, 13:01
Протокол работы netdiag:
______________________________________________
netdiag /q
...
ИНФОРМАЦИЯ О СЕТЕВЫХ АДАПТЕРАХ
...
Global results:
Redir and Browser test . . . . . . : Failed
[FATAL] Cannot send mailslot message to '\\TEST-DOMAIN*\MAILSLOT\NET\NETLOGON' via redir. [ERROR_BAD_NETPATH]
DC list test . . . . . . . . . . . : Failed
Failed to enumerate DCs by using the browser. [ERROR_NO_BROWSER_SERVERS_FOUND]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for PROBLEM-SERVER$.
Cannot get the phone book entries for vpn_ACCOUNT. [26F]
_______________________________________________________________
Где:
TEST-DOMAIN - МОЙ ДОМЕН
PROBLEM-SERVER - СЕРВЕР, НА КОТОРЫЙ ЗОНА НЕ ПЕРЕДАЕТСЯ
VPN_aCCOUNT - УЧЕТНАЯ ЗАПИСЬ ПОЛЬЗОВАТЕЛЯ, аккредитованного на создание подлкючения "demand-dial"
Отдельно тест на "DC list", проходит успешно (в чем суть его не очень понятно):
_____________________________________________________________
netdiag /test:dclist
...
Netcard queries test . . . : Passed - для всех адаптеров
...
Global results:
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{...идентификатор...}
NetBT_Tcpip_{...идентификатор...}
NetBT_Tcpip_{...идентификатор...}
3 NetBt transports currently configured.
DC list test . . . . . . . . . . . : Passed
________________________________________________________________
Служба browser не сконфигурирована на мастер броузер сети центрального офиса т. к. нет необходимости в просмотре сетевого окружения. Полагаю, что проблема в передаче зон не связана с данной ошибкой. Напишите, если я не прав.
Остается ошибка kerberos. С ней может быть связана проблема в передаче зон?
P.S. Успешно проходит тест netdiag /test:DNS (хотя сейчас на данный сервер зона закачана и срок ее еще не истек).
______________________________________________
netdiag /q
...
ИНФОРМАЦИЯ О СЕТЕВЫХ АДАПТЕРАХ
...
Global results:
Redir and Browser test . . . . . . : Failed
[FATAL] Cannot send mailslot message to '\\TEST-DOMAIN*\MAILSLOT\NET\NETLOGON' via redir. [ERROR_BAD_NETPATH]
DC list test . . . . . . . . . . . : Failed
Failed to enumerate DCs by using the browser. [ERROR_NO_BROWSER_SERVERS_FOUND]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for PROBLEM-SERVER$.
Cannot get the phone book entries for vpn_ACCOUNT. [26F]
_______________________________________________________________
Где:
TEST-DOMAIN - МОЙ ДОМЕН
PROBLEM-SERVER - СЕРВЕР, НА КОТОРЫЙ ЗОНА НЕ ПЕРЕДАЕТСЯ
VPN_aCCOUNT - УЧЕТНАЯ ЗАПИСЬ ПОЛЬЗОВАТЕЛЯ, аккредитованного на создание подлкючения "demand-dial"
Отдельно тест на "DC list", проходит успешно (в чем суть его не очень понятно):
_____________________________________________________________
netdiag /test:dclist
...
Netcard queries test . . . : Passed - для всех адаптеров
...
Global results:
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{...идентификатор...}
NetBT_Tcpip_{...идентификатор...}
NetBT_Tcpip_{...идентификатор...}
3 NetBt transports currently configured.
DC list test . . . . . . . . . . . : Passed
________________________________________________________________
Служба browser не сконфигурирована на мастер броузер сети центрального офиса т. к. нет необходимости в просмотре сетевого окружения. Полагаю, что проблема в передаче зон не связана с данной ошибкой. Напишите, если я не прав.
Остается ошибка kerberos. С ней может быть связана проблема в передаче зон?
P.S. Успешно проходит тест netdiag /test:DNS (хотя сейчас на данный сервер зона закачана и срок ее еще не истек).
GifteD » 11 ноя 2004, 14:51
ИМХО, пока ошибки не исправить, можно и не пробовать.
Когда писалась статься у нас была подобная ситуация, пока все не исправили.
1. dcdiag на контроллерах?
2. Сколько их в каждой из сети?
3. Ресурс Кит соответствует сервис паку?
(По сетевому окружению не в браузере дело, WINS для этого.)
Когда писалась статься у нас была подобная ситуация, пока все не исправили.
1. dcdiag на контроллерах?
2. Сколько их в каждой из сети?
3. Ресурс Кит соответствует сервис паку?
(По сетевому окружению не в браузере дело, WINS для этого.)
- grant2user
- Новый участник
- Сообщения: 11
- Зарегистрирован: 10 ноя 2004, 15:31
grant2user » 11 ноя 2004, 15:17
1. Запустить dcdiag на контроллерах?
2. Два в центр. оффисе (в удал. оффисе - отсутствуют).
3. Ресурс Кит не соответствует (2SP, а стоит 4SP). Не знаю имеет ли значение для него версия сервера (Advance или просто) и локаль (русская или английская)?
P.S.
На сервере в центр. оффисе ошибка Kerberos звучит так:
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for RESERVE-SERVER$.
нет второй строки про акаунт - думаю копать здесь.
Dcdiag попробую сделать.
Сетевое окружение - настроенная служба обозревателя компьютеров (может можно и WINS-ом)
2. Два в центр. оффисе (в удал. оффисе - отсутствуют).
3. Ресурс Кит не соответствует (2SP, а стоит 4SP). Не знаю имеет ли значение для него версия сервера (Advance или просто) и локаль (русская или английская)?
P.S.
На сервере в центр. оффисе ошибка Kerberos звучит так:
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for RESERVE-SERVER$.
нет второй строки про акаунт - думаю копать здесь.
Dcdiag попробую сделать.
Сетевое окружение - настроенная служба обозревателя компьютеров (может можно и WINS-ом)
GifteD » 11 ноя 2004, 15:30
1. Да
2. Хорошо что не фиксили ничего. Ресукрс кит должен соответствовать сервис паку, обязательно.
2. Хорошо что не фиксили ничего. Ресукрс кит должен соответствовать сервис паку, обязательно.
- grant2user
- Новый участник
- Сообщения: 11
- Зарегистрирован: 10 ноя 2004, 15:31
grant2user » 11 ноя 2004, 20:22
Закачал ресурс кит sp4 с сайта майкрософт.
В работе netdiag изменений нет.
DcDiag запускал на обоих DC - результат один и тот же.
На DC1
dcdiag.exe /a /q
RPCLOCATOR Service is stopped on [dc1-server]
TrkWks Service is stopped on [dc1-server]
TrkSvr Service is stopped on [dc1-server]
......................... dc1-server failed test Services
На DC2
dcdiag /a /q
RPCLOCATOR Service is stopped on [dc1-server]
TrkWks Service is stopped on [dc1-server]
TrkSvr Service is stopped on [dc1-server]
......................... dc1-server failed test Services
Ничего не понятно.
Служб TrkWks и TrkSvr я не нашел. RPClocator находится по умолчанию в режиме auto.
Может надо dcdiag в другом режиме запускать?
В работе netdiag изменений нет.
DcDiag запускал на обоих DC - результат один и тот же.
На DC1
dcdiag.exe /a /q
RPCLOCATOR Service is stopped on [dc1-server]
TrkWks Service is stopped on [dc1-server]
TrkSvr Service is stopped on [dc1-server]
......................... dc1-server failed test Services
На DC2
dcdiag /a /q
RPCLOCATOR Service is stopped on [dc1-server]
TrkWks Service is stopped on [dc1-server]
TrkSvr Service is stopped on [dc1-server]
......................... dc1-server failed test Services
Ничего не понятно.
Служб TrkWks и TrkSvr я не нашел. RPClocator находится по умолчанию в режиме auto.
Может надо dcdiag в другом режиме запускать?
- grant2user
- Новый участник
- Сообщения: 11
- Зарегистрирован: 10 ноя 2004, 15:31
grant2user » 12 ноя 2004, 14:45
Может по другому вопрос сформулировать: имеются ли у кого-нибудь сведения о том, что происходит при передаче зоны DNS: кто у кого спрашивает разрешения, к каким сервисам обращается, какими протоколами пользуется, необходимые и достаточные условия успешной передачи зон и т.д.
Кто что может сказать?
Кто что может сказать?
- biruk
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 12 ноя 2004, 16:23
| Цитата (grant2user @ 12.11.2004 - 13:45) | ||||
| Может по другому вопрос сформулировать: имеются ли у кого-нибудь сведения о том, что происходит при передаче зоны DNS: кто у кого спрашивает разрешения, к каким сервисам обращается, какими протоколами пользуется, необходимые и достаточные условия успешной передачи зон и т.д.
Кто что может сказать? [/quote] _обычно_ secondary запрашивает зону у primary но может кто угодно запросить зону. даже я  nslookup-ом или dig-ом.
на сервере _обычно_ прописывается кому можно трансферить. запрос идет на tcp/53 часто тоже с 53-го порта. но не обязательно. и передача с него же... Trust me - i know what i’m doing © Sledge Hummer
grant2user
|