这个是我在虚拟机中做的一个试验,目的想研究域环境下的ISA,不过中途却出了“事故”。
环境:虚拟机Vmware,一台2003系统搭建DC,一台2003系统准备搭建ISA,双网卡。其中DC为单网卡,设置为Vmnet2;ISA为双网卡,LAN网卡为Vmnet2,WAN网卡为NAT模式(可以上网)
操作:DC的配置IP:192.168.2.5,网关空,DNS指向自己192.168.2.5;ISA的LAN网卡设置IP:192.168.2.254,网关:192.168.2.5(当然这个在真实的环境中以路由IP为准),DNS指向DC的IP为192.168.2.5
然后现在在DC机上安装域,选择同时安装DNS,安装结束,到客户机上加域,提示“不能联系域vennger.cn的域控制器”,具体如下图:
然后来排查一下问题(我这习惯不太好,最好是在加域之前就检查下可能出现问题的地方是否OK,然后再加域,这样出现问题的机率就会小很多):
(1)ISA可以ping通DC机的IP;
(2)两台机的防火墙都是关闭状态;
(3)ISA通过DNS解析IP,失败;
那问题就跟DNS有关系了,看了下DC上的DNS事件如下图:
通过上面的事件内容可以看出DNS的A记录不存在;
查看DNS的正向区域,果然没有A记录
添加完成,然后设置NS记录,因为之前没有A记录,所以NS记录也是不全的
NS记录原图为:
点击上图中的“编辑”重新设置如图:
然后正确的为:
设置完成后,重启系统,客户机再加域,仍然失败,当然解析不成功
删除DNS,重建,仍然失败。(好吧,莫非我RP差?)
后来鉴于TT,博客地址为http://itmydream.blog.51cto.com/#用了和我一样的环境测试OK,所以有猜测可能与我虚拟机的系统有关,把系统都还原,然后所以环境重新部署。
新环境一切顺利,加域成功,见到了久违的加域成功提示,多少有些小激动呀!
出于遇到问题不是所有都方便环境还原,想着,在环境无问题的情况下再试下DNS重建。
下面来看下DNS重建的操作:
我为了模拟“原事故现场”,将DNS的正向区域及反向区域的记录全部删除,然后再来重建
点击“是”即可删除,其他的_msdcs.vennger.cn区域和反向查找区域,同理删除。
现在现场弄好了。
1,现在我们来新建区域,点击下一步;
2,选择主要区域,并勾选下选项,点击下一步;
3,选择“至Active Directory域vennger.cn中的所有DNS服务器”,点击下一步;
4,输入和原区域名称一样的域名,点击下一步;
5,选择“只允许安全的动态更新”只有这样DC才可以自动注册,点击下一步,至完成;
6,然后再新建名称为_msdcs.vennger.cn区域,方法如上,步骤相同,只有下图中的步骤不一样;
7,除了以上的,还需要新建反向区域,步骤与以上两种相同,只有下图中的不同
8,输入cmd, 然后重启netlogon和dns服务;
如此以上就是完整的步骤,做下解析,成功,就OK了。
PS:现在补下一个小插曲,以上DNS重建步骤是参照TT博客,原文http://itmydream.blog.51cto.com/961933/771985,TT可能觉得反向区域比较简单,所以没写进去或者是之前没删除,而我偷了下懒,原封不动的照着做,结果没有新建反向区域,当然解析未能成功,只解析出IP,没有域名
后果发现问题,加上了反向区域,结果仍然解析未能成功,最后是通过:先禁用DC的网卡,然后再启用,终于解析成功
通过以上问题,总结了一下心得:
1.IT没有小细节;
2.搭建环境后一定要先测试,不要等出问题后再反向查找,会很被动;
3.参照其他人的方法,要多思考,要结合自己的环境,不要原封不动照搬;
最后附上一个命令,是在客户机上查询是否登录域的,觉得有些用
还有关于_msdcs在DNS区域作用讲解的一篇文章http://lzy821218.blog.51cto.com/209800/498906
关于DC当机,使用缓存登录理解的文章http://itmydream.blog.51cto.com/961933/772368
如果有什么讲的不对的地方,敬请各位指出!