【求助】Win2K 額外網域控制站架不起來的問題

**xacx** · 2004-12-31, 02:45 PM

操作失敗。原因:
無法尋找可適用網域 xxx.com.tw 的網域控制站
"指定的網域可能不存在或無法連線。 "

原本的DC上面的DNS server已經關閉服務,改交由網域外的獨立伺服器運作;
今天我想架第二台成員伺服器作為額外的網域控制站,DNS server也在本身啟用了,想說覆寫原本第一台DC上的AD資料,可是當執行dcpromo到最後一個步驟時,都發生上面的錯誤訊息...但這兩台server都在LAN裡,第二台server也加入到網域中,慣用DNS 指到DC或網域外的那台,就是不曉得為何不能升當額外網域控制站?

THANKS FOR YOUR ANSWERS ...

**aiken** · 2004-12-31, 05:36 PM

AD 上的 DNS 不能夠關閉吧

**xacx** · 2005-01-02, 08:06 PM

作者：aiken

AD 上的 DNS 不能夠關閉吧

因為AD 上的DNS 實在不能開....也已停止它的服務了...(主管鎖定那台也堅持不能動,我無權再去動,每次只能terminal進去,或在2000 pro 上使用mmc來操作AD)
那有其他的方法嗎?
要架額外的網域控制站這台也設了DNS server,是對網域外獨立的那台server作次要區域,正反解也都正確指到...

門神 · 2005-01-02, 08:51 PM

在第二台的Server上可以對第一台的DNS做NSlookup查詢嗎??
如果不行 , 那.......

DC最重要的是LDAP和DNS Server ,如果掛點一個,你的DC是會有問題的
建議你的主管將第一台的DC管理好再加第二台DC吧 !!

但我們這邊碰過的經驗是有時後中木馬太深 ^^
DC也會出現如此的狀況 !!

**jwenchin** · 2005-01-03, 12:50 AM

AD 跟 DNS 是要相互結合的

**aiken** · 2005-01-03, 01:13 AM

作者：xacx

因為AD 上的DNS 實在不能開....也已停止它的服務了...(主管鎖定那台也堅持不能動,我無權再去動,每次只能terminal進去,或在2000 pro 上使用mmc來操作AD)
那有其他的方法嗎?
要架額外的網域控制站這台也設了DNS server,是對網域外獨立的那台server作次要區域,正反解也都正確指到...

這不光是正反解的問題這麼簡單
你自己去看AD的DNS service
裡面還有一些是必須要有AD整合才能夠更新的項目
網域外面的DNS SERVER是沒有辦法做到的

**xacx** · 2005-01-03, 03:54 PM

謝謝各位的熱情回應....

1.新架起來的第二台server作nslookup查詢是ok的,可以正確解析到DC
2.第一台(DC)之前的確有中過木馬,曾被大陸跟南韓的主機入侵過..
3.DC上的DNS services目前是停用的,跟AD 的整合應該是還好,Domain裡共有60幾台PC,管理帳戶,群組原則倒是正常...

至於架不起來額外的網域控制站,還是繼續想辦法了...

**rEdS** · 2005-01-03, 06:17 PM

1.沒有DNS的AD怎麼叫DC?win2k的AD的邏輯核心單位就是網域.怪怪....
2.即然貴公司的那台"DC",DNS都掛了,你要怎麼再建一台DC??除非另建一個內部用的網域名稱的DC.-->(這是解決方案)
3.貴公司的整個網路設計蠻怪的.AD記錄著貴公司重要的資訊,怎麼可以直接就暴露在網域外的DNS上?有人會把公司內部的網路架構明明白白的攤在internet上的嗎??
4.如果貴公司採相同的外部與內部namespace,防火牆外要架一台DNSsrever,而DC及其AD&DNS應該是在防火牆內的.-->這應該比較安全的做法.但是我看了你的文章猜測貴公司的做法是將資源幾乎可以說完全暴露在internet上了(如果沒防火牆的話更慘)而上面2.的解決方式是內部與外部使用不同的網域名稱,雖然比較麻煩但是內外部的資源不會弄混,安全控管也可以做的好一點.

**xacx** · 2005-01-03, 08:38 PM

作者：rEdS

1.沒有DNS的AD怎麼叫DC?win2k的AD的邏輯核心單位就是網域.怪怪....
2.即然貴公司的那台"DC",DNS都掛了,你要怎麼再建一台DC??除非另建一個內部用的網域名稱的DC.-->(這是解決方案)
3.貴公司的整個網路設計蠻怪的.AD記錄著貴公司重要的資訊,怎麼可以直接就暴露在網域外的DNS上?有人會把公司內部的網路架構明明白白的攤在internet上的嗎??
4.如果貴公司採相同的外部與內部namespace,防火牆外要架一台DNSsrever,而DC及其AD&DNS應該是在防火牆內的.-->這應該比較安全的做法.但是我看了你的文章猜測貴公司的做法是將資源幾乎可以說完全暴露在internet上了(如果沒防火牆的話更慘)而上面2.的解決方式是內部與外部使用不同的網域名稱,雖然比較麻煩但是內外部的資源不會弄混,安全控管也可以做的好一點.

1.DC裡的DNS 設定我看過一次,只有正向區域,指向.tw而已,反向區域則沒有,目前停用...
2.DNS Server沒有掛點,正常地是在公司裡另一台Mail Server上,但不在網域內,是獨立伺服器,兼SQL server...client端的DNS也不指向它,而是指到HiNet的168.95.1.1和168.95.192.1
3.的確沒錯,真的是很神奇....前人留下的這一架構也不好意思一時間大刀破斧重建,但這台DC只有掌管AD兼作公司裡的NAT,存放共用資料而已...說不重要也是不重要,掛了頂多將所有電腦退出網域再重新建而已...但這真的很累...架額外網域控制站只是我單方面的想法...
4.公司的網域資訊安全架構的確漏洞百出,連防火牆也沒有,重要資源的確完全暴露在internet上;上面的也不甚重視...目前都是勤加備份...至於駭客想要就拿去吧...密碼都設到25位以上了,反正只是時間早晚的問題....或許是本身學藝不精吧...準備走人另謀出路了...