Автоматическая очистка DNS записей в AD и Репликация Sysvol?

Question

[tits]

Доброго времени суток.
2 вопроса:

1) Имеется единственный контроллер домена на Windows Server 2019, клиентов порядка 300 компов. Роль DNS так же поднята на контроллере. Нужно ли ставить галочку очистки устаревших записей DNS? Какой интервал оптимальный? Что станет со статическими DNS записями? На DHCP сервере делается резервирование каждого компьютера в сети.

2) При прохождении проверки dcdiag, контроллер постоянно ругается на ошибку SYSVOL: Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. В чём причина ошибки? В том, что контроллер домена один, и не может никуда реплицировать? Можно ли и нужно ли отключить репликацию, если один контроллер домена?

Comments

[tits]

Вот скрин, остальных ошибок по dcdiag нету

Answer 1

[Sergey Ryzhkin]

1. Статика не тронется. Очищаться будут автоматически созданные записи, когда устройство первый раз получает адрес. Интервал оставляйте по-умолчанию, в большей части его хватает. Его надо менять если у вас часто меняются ПК в сети/имена/адреса. Ставите короткий срок, чтобы записи всегда были актуальны.

2. Скрины с ошибкой бы увидеть и логи из журнала.

Comments

[tits]

Имя журнала: DFS Replication
Источник: DFSR
Дата: 15.09.2023 10:56:15
Код события: 4012
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: srv01.domen.domen.ru
Описание:
Служба репликации DFS остановила репликацию на папке со следующим локальным путем: C:\Windows\SYSVOL\domain. Этот сервер был отключен от других партнеров в течение 1585 дн., что превышает период, разрешенный параметром MaxOfflineTimeInDays (60). Репликация DFS считает данные в папке устаревшими, и этот сервер не будет реплицировать данную папку до устранения ошибки.

Чтобы возобновить репликацию этой папки, воспользуйтесь оснасткой управления DFS для удаления этого сервера из группы репликации, а затем добавьте ее обратно в группу. Сервер выполнит задачу начальной синхронизации, которая заменит устаревшие данные новыми данными с других участников группы репликации.

Дополнительные сведения:
Ошибка: 9061 (Реплицированная папка была автономной слишком долго.)
Имя реплицированной папки: SYSVOL Share
ИД реплицированной папки: 29811586-95E7-40BD-A406-9721EA1DA76F
Имя группы репликации: Domain System Volume
ИД группы репликации: 3FD0ABF2-E152-4A6C-BDC0-C590EE9EF39D
ИД участника: A44553D4-8499-495D-8AEA-681FA905EBA4
Xml события:



4012
2
0
0x80000000000000

5997
DFS Replication
srv01.domen.domen.ru



29811586-95E7-40BD-A406-9721EA1DA76F
1585
C:\Windows\SYSVOL\domain
9061
Реплицированная папка была автономной слишком долго.
SYSVOL Share
Domain System Volume
3FD0ABF2-E152-4A6C-BDC0-C590EE9EF39D
A44553D4-8499-495D-8AEA-681FA905EBA4
60

[Sergey Ryzhkin]

tits, Легко гуглится по фразе "DFSR ошибка 4012", там же есть мануалы в сети по устранению.

[tits]

Sergey Ryzhkin, а если у нас 1 контроллер домена? Можно забить на эту ошибку?

[Sergey Ryzhkin]

tits, Нет, проблема - есть проблема, и ее надо фиксить DFSR Error 4012 on Stand-Alone Domain Controller

Насколько я помню, ПК в сети не берут параметры GPO с контроллера, потому что их можно быть много, они как раз-таки лезут в папку sysvol для получения настроек. А если у вас туда ничего не будет сгружаться с основного/единственного сервера, то ничего работать и не будет.

[tits]

Все политики, все скрипты отрабатывают. Клиенты видят SYSVOL

[Sergey Ryzhkin]

tits, Ну тогда придерживайтесь "золотого правила". Тем более в пятницу.

Answer 2

[MVV]

По п.2: эта проверка всего лишь проверяет наличие событий ошибок и предупреждений в журнале событий репликации DFS за последние 24 часа (или от момента запуска службы, если он был в течение этих 24 часов). Открывайте журнал и смотрите, что у вас там за события. Чтобы ничего не упустить, рекомендуется перед этим перезапустить службу репликации DFS и подождать минут пять (а лучше - 15): некоторые ошибки фиксируются только при запуске.
Для работы ровно одного контроллера репликация SYSVOL не нужна (очевидно), но желательно ее все-таки починить, если что.

Comments

[tits]

Если роль репликации DFS не установлена. Стоит ли ее устанавливать если у меня один контроллер домена?

[MVV]

tits, роль репликации DNS устанавливать не надо: та связанная с репликацией DFS часть, которая требуется для репликации SYSVOL, входит и в состав роли AD Directory Services. Что может окзаться полезным (не в вашем случае - у вас репликация не используется - а вообще) - так это установить средства упраления ролью DFS: нам есть кое-что, что может быть полезным и для контроля/починки репликации SYSVOL.

Answer 3

[cinquefoil2016]

Я бы посоветовал вам пойти таким путей:
1. Установить дополнительный контроллер домена
2. Перенести на него роли FSMO
3. Посмотреть репликацию, если будут ошибки поправить, если нет, то убить первый контроллер и за место него сделать новый
4. Всегда имейте два минимум контроллера