检查及修复PDA DNS缺少SRV记录gc._msdcs.shuncom.local
根据你提供的 PDC (S-DNS1) dcdiag 测试结果,结合 repadmin 信息,可以总结如下:
🔹 主要现象
-
警告信息
DNS 服务器 192.168.0.5 上缺少 SRV 记录: _ldap._tcp.gc._msdcs.shuncom.local
DNS 服务器 192.168.0.5 上缺少 A 记录: gc._msdcs.shuncom.local
但随后又发现:
Matching SRV record found at DNS server 192.168.0.5: _gc._tcp.Default-First-Site-Name._sites.shuncom.local
Matching SRV record found at DNS server 192.168.0.5: _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.shuncom.local
说明:缺少全局 GC 根域记录 (_msdcs) 的警告,但实际在站点范围内注册的 SRV 记录存在。
-
Netlogon 和 SYSVOL
-
Netlogon 服务正常运行
-
SYSVOL 正常
-
复制(repadmin /showrepl & /replsummary)没有失败
✅ 核心 AD 功能正常,PDC 与其他 DC(S-DNS6)之间复制无错误。
-
DNS 测试
-
dcdiag /test:dns显示 S-DNS1 基本功能正常,但 S-DNS1 的外部 RReg 检查失败 -
S-DNS6 测试失败,说明其他 DC 的 DNS 注册存在轻微问题
-
Authentication / Locator / FSMO / Intersite
全部 PASS,说明客户端定位 DC 和 FSMO 角色查找均正常。
🔹 结论
-
核心 AD 服务健康
-
复制正常,FSMO 角色、GC、Netlogon、SYSVOL 都正常
-
客户端通过 LDAP/Kerberos 可以访问 DC
-
-
警告原因
-
_ldap._tcp.gc._msdcs.shuncom.local和gc._msdcs.shuncom.local缺失 → 属于 全局 GC 根域记录,可能是:-
Netlogon 注册时未同步
_msdcs子域的 A/SRV 记录 -
S-DNS1 可能曾经还原或重建过,导致
_msdcs根域记录未动态注册
-
-
由于站点范围的 SRV 记录存在,所以绝大多数客户端不会受影响
-
-
对业务影响
-
警告不会影响现有 AD 功能
-
只有依赖 全局 GC 根域记录 的客户端查询(极少情况)可能收到延迟
-
🔹 建议修复步骤
为了消除警告和确保 _msdcs 记录完整:
-
在 PDC 上强制 Netlogon 重新注册 SRV/A 记录:
net stop netlogon
ipconfig /flushdns
ipconfig /registerdns
net start netlogon
-
检查 DNS 是否注册完整:
dcdiag /test:dns /v /s:S-DNS1.shuncom.local /DnsBasic
-
可选:手动检查
_msdcs区域
在 DNS 管理器 → Forward Lookup Zones →_msdcs.shuncom.local,确认:
-
A 记录:gc、PDC
-
SRV 记录:_ldap, _kerberos, _gc
-
确认 S-DNS6 同步
-
S-DNS6 上
_msdcs区域与 PDC_msdcs区域一致 -
必要时在 S-DNS6 执行:
repadmin /syncall /AeD
🔹 总结
-
核心问题:PDC 上
_msdcs根域 A/SRV 记录缺失 → 警告 -
AD 健康:复制、Netlogon、SYSVOL、FSMO 全部正常 → 对业务影响小
-
推荐操作:强制注册 DNS 记录 + 检查
_msdcs区域
如果你需要,我可以帮你写一份 一键刷新 _msdcs SRV/A 记录的操作脚本,确保 PDC 和其他 DC 的 DNS 完全同步。
你希望我写吗?
No Comments