Det finns inte ett enda kommandoradsverktyg som direkt och definitivt svarar om en domänkontroller har * registrerats fullt ut i DNS. Registrering involverar flera DNS -poster (SRV, A, CNAME, eventuellt andra beroende på konfigurationen). Du måste kontrollera förekomsten av dessa poster individuellt.
Du kan emellertid använda verktyg som `NSLOOKUP` eller` DIG` för att kontrollera förekomsten av avgörande poster. Specifikt vill du leta efter:
* srv -poster: Dessa är viktiga. De pekar klienter till domänkontrollerna för olika tjänster (LDAP, Kerberos, etc.). Frågan skulle se ut så här (ersätta `_LDAP._tcp.example.com` med lämplig service och domän):
`` `bash
NSLOOKUP -TYPE =SRV _LDAP._TCP.EXOMPLE.COM
Gräva _LDAP._tcp.example.com SRV
`` `
Om domänkontrollanten är korrekt registrerad ser du poster som listar domänkontrollens IP -adresser och portar.
* A Records: Dessa kartlägger domänkontrollens NetBIOS -namn (t.ex. `DC1 ') och eventuellt dess fullt kvalificerade domännamn (FQDN, t.ex.` dc1.example.com') till sin IP -adress.
`` `bash
nslookup dc1.example.com
Gräva dc1.example.com a
`` `
Om A -posten finns ser du IP -adressen.
* cname -poster: Dessa kan användas för aliasnamn.
Viktiga överväganden:
* zonöverföring: För en omfattande kontroll (även om det vanligtvis inte rekommenderas av säkerhetsskäl om du inte är auktoriserad) kan du försöka en zonöverföring från DNS -servern. Detta laddar ner hela zonfilen, så att du kan inspektera alla poster. Detta är dock vanligtvis begränsat för säkerhet.
* replikering: DNS replikeras. Att kontrollera en DNS -server garanterar inte att registreringen är komplett över alla servrar i DNS -infrastrukturen.
* dynamiska uppdateringar: Domänkontroller registrerar sig vanligtvis dynamiskt. Ett tillfälligt nätverksglitch eller konfigurationsproblem kan förhindra registrering i tidpunkten för din check.
Därför är det mest exakta tillvägagångssättet att använda `nslookup` eller` dig för för att kontrollera förekomsten av den kritiska SRV och en poster. En saknad post indikerar ett problem med domänkontrollens DNS -registrering. Frånvaron av flera poster pekar på en mer allvarlig fråga. Du måste undersöka ytterligare med hjälp av verktyg som `DCDIAG` (ett Windows-kommandoradsverktyg som ger en mer omfattande hälsokontroll av domänkontrollanten).
