Condividi tramite

La zona _msdcs nei domini Windows (it-IT)

  • Articolo

Le zona _msdcs viene creata nel dominio root della foresta

Prima di illustrare come questa zona viene creata e a cosa serve, vorrei illustrare l’ambiente da cui provengono le immagini e I dati di questo articolo.

Ho una foresta con 3 domini, ognuno con un singolo DC:

[Riconosco che “.ale” è un po’ vanesio e autoreferenziale J]

Quando creiamo il primo dominio di una foresta Active Directory, viene creata una zona DNS denominata _msdcs.nomedominio.tld e, all'interno della zona del dominio viene creata una delega per questa zona [NB: lo screenshot e stato catturato prima di aggiungere altri domini]:

Questa zona contiene tutti i record SRV che consentono di identificare i server a cui possiamo richiedere un servizio specifico. Un esempio su tutti è ben rappresentato da un client del dominio che deve localizzare un Domain Controller per l'autenticazione. La zona nel dominio radice contiene anche i record che identificano tutti i domini della foresta e i global catalog del dominio (ovviamente) e della foresta.

Cosa contiene la zona _msdcs

Nella tabella seguente sono riportati i record relative al dominio della zona _msdcs, ho omesso alcuni attributi come priorità, peso e TTL.

Molto brevemente:

  • Record 1-3                  GUID che identificano il DSA GUID dei DC nella foresta**(*)**

  • Record 4-5                  Servizi del dominio root nel sito “Default-First-Site-Name”

  • Record 6-7                  Servizi del dominio [ldap e kerberos come 4-5 ma non legati al sito]

  • Record 8-10                Identificativi dei domini della foresta (**)

  • Record 11-13              Risolvono negli IP dei global catalog della foresta

  • Record 14-16              Servizi GC della foresta per il sito “Default-First-Site-Name”

  • Record 17-19              Servizi GC della foresta

  • Record 20                    Localizza il PDC del dominio

GUID di dominio

_msdcs nei sottodomini o nei domini tree

Quando aggiungiamo un domino alla foresta, che sia un dominio tree, disgiunto dal namespace del dominio radice, o un sottodominio non viene creata una zona _msdcs per il nuovo dominio, di default viene replicata a livello di foresta quella creata con il dominio radice.

Nei domini aggiuntivi vengono creati dei record _msdcs.<nomedominio.tld> :

I record all’interno della zona di dominio (non è una zona a se come quella creata con il dominio radice) sono i seguenti:

Come si può vedere non ci sono record relativi alla foresta ma solo quelli relativi al dominio.

Se apriamo adsiedit il concetto diventa più chiaro.

**Zona _msdcs creata col dominio radice vista con adsiedit

**

La zona creata contestualmente alla creazione del dominio radice si trova nell’application partition ForestDnsZones e viene quindi replicata di default a tutti i DNS della foresta.

 

Record _msdcs creati con i domini aggiuntivi

Cos succede se mancano record _msdcs o record della zona _msdcs?

Come accennato sopra i servizi AD per l’autenticazione, ricerche su Global Catalog, servizi del PDC e altri dipendono tutti da questo tipo di record, poi ovviamente anche gli altri record nella zona di dominio fanno la loro parte (se per esempio so chi è il DC ma non so qual è l’IP ho fatto fatica per niente J )

 

Come verificare che i record _msdcs siano presenti

 

Possiamo utilizzare nslookup per verificare la presenza dei record.

In particolare per verificare quelli relativi ai DC possiamo seguire questo articolo

 

Come ricreare i record _msdcs (o la zona)

Nel caso ci trovassimo sul dominio root e la zona mancasse completamente possiamo ricrearla a mano vuota e creare la delega all’interno del dominio (basta qualche click destro).

Riavviando il servizio netlogon (net stop netlogon && netstart netlogon) il servizio registrerá tutti i record presenti nel file %systemroot%\System32\config\netlogon.dns. È anche possibile utilizzare il comando nltest /dsregdns. Per non sbagliare io di solito faccio entrambi J

 

Spero di avere chiarito qualche dubbio. Alla prossima!

Alessandro Perelli