Server 2012 R2 Active DirectoryドメインSRV DNSレコードが突然消えた

最近構成したテストドメインがあります。突然、キャッシュされた資格情報を持つユーザーを除いて、ユーザーはログインできなくなります。ドメインには、相互に複製する両方のグローバルカタログである2つのドメインコントローラーが含まれています。

問題を調査した後、すべての_mcdcsドメインレコードが両方のDNSサーバーで完全になくなっていることがわかりました。これにより、_ldapや_kerberosなどのSRVレコードが解決できないため、ドメインコントローラーを見つけることができなくなります。

これがどのように発生したのかはよくわかりません...これは、DNSキャッシュまたはDNS清掃をクリアすることによって引き起こされるものですか？

この時点で、なんとかしてレコードを復元する必要があります。別のドメインの設定を確認しましたが、手動で再作成できるようですが、一部のDNSレコードにはSID名が含まれているようです...それらを再作成するために使用されます。

このような状況から抜け出すために使用できるより良いプロセスはありますか？

1. ドメインコントローラの1つでNetlogonサービスを再起動します

または

2. DCDiag / fixを実行します。

または

3. ドメインコントローラの1つからのnetlogon.dnsファイルからレコードを手動で作成します。

DNSレコードが削除されるのは珍しいことです（誰かが削除した場合を除きます）。通常、これらはdnsTombstonedであるため、ADSIEditなどの別のツールを使用すると、DNSマネージャーやnslookupに表示されていなくても、レコードが表示される可能性があります。

清掃がこれを引き起こす可能性のあるエッジケースがあります（清掃が適切に構成されていない場合、他の多くの問題が発生します）。

http://blogs.technet.com/b/askpfeplat/archive/2012/07/09/the-case-of-the-missing-srv-records.aspx

http://blogs.technet.com/b/ad/archive/2008/08/08/a-complicated-scenario-regarding-dns-and-the-dc-locator-srvs.aspx

NetLogonサービスを再起動して実行しましdcdiag /fixたが、うまくいきませんでした。3〜4時間検索して読んだ後、Active Directoryサービスをアンインストールして再度インストールすることにしましたが、インストールも失敗しました。

次に、これとこれに従ってDNSレコードを手動で追加することにしたので、ドメインのゾーンを削除して再度追加しました。ゾーンを追加するときに、[セキュリティで保護された動的更新のみを許可する]に気付き、この設定を有効にする必要があることをどこかで思い出しました。このチェックボックスをオンにしてから、netlogonサービスとtadaaaを再起動しました。すべてのレコードを追加しました。また、私は走ったdcdiag /fix当時とdcdiag。私が無視した1つ（SystemLog）を除いて、すべてのテストに合格しました。その後、他のPCをドメインに参加させることができました。これはおそらく他の人にも当てはまります。ドメインのゾーンで安全な動的更新を有効にするためだけに必要です。

これにより、他の人が私が行ったすべての問題を回避できることを願っています。