故障排除 DNS 事件 ID 4013: DNS 服务器无法加载 AD 集成 DNS 区域

文章翻译 文章翻译
文章编号: 2001093
展开全部 | 关闭全部

症状

  • 在基于 Windows 的计算机上承载 Active Directory 域控制器,DNS 服务器角色停止响应 (挂起),15 到 25 分钟后会显示正在准备网络连接消息,并在 Windows 登录提示 (Ctrl + Alt + Del) 之前将显示消息。
  • 在 Windows 启动后承载 DNS 服务器角色的域控制器的 DNS 事件日志中记录下列 DNS 事件 ID 4013:

    事件类型: 警告
    事件源: DNS
    事件类别: 无
    事件 ID: 4013
    日期: <date>
    时间: <time>
    用户: 不适用
    计算机: < 计算机名 >
    说明:
    DNS 服务器无法打开活动目录。该 DNS 服务器是
    配置为使用目录服务信息,并且不能没有访问权限
    要在目录中。DNS 服务器将等待目录启动。如果 DNS
    服务器已启动但未进行相应的事件记录,然后 DNS
    服务器会继续等待目录启动。

    有关详细信息,请参阅帮助和支持中心
    http://go.microsoft.com/fwlink/events.asp。
    数据:
    0000: < %状态代码 %>

    在此日志条目中,可能的值为 < %状态代码 %> 不记录或包括但不限于以下:

    十六进制

    字节

    十进制

    符号

    错误字符串

    000025f5

    f5 25 00 00

    9717

    DNS_ERROR_DS_UNAVAILABLE

    目录服务不可用

    0000232d

    2d 23 00 00

    9005

    DNS_ERROR_RCODE_REFUSED

    拒绝 DNS 操作。

    0000232a

    2a 23 00 00

    9002

    DNS_ERROR_RCODE_SERVER_FAILURE

    DNS 服务器故障。

    示例客户案例

    • 在 Active Directory 站点同时重新启动的多个域控制器
      • 在同一个数据中心部署两个域控制器的域。
      • 这两个域控制器上安装 DNS 服务器角色,它承载 AD 集成的 _msdcs。 < 目录林根域 > 和 Active Directory 域区域的副本。
      • DC1 被配置为使用备用 DNS 的首选的 DNS 和本身 DC2。
      • DC2 DC1 首选的 DNS 和本身使用备用 DNS 配置。
      • 所有域控制器都具有 uninterrruptible 电源 (UPS) 和电气发电机备份。
      • 数据中心都经历过频繁的停电的 2 至 10 个小时。UPS 设备保留直到生成器提供电源,但它们不能运行 HVAC 系统操作的域控制器。内置于服务器类计算机温度保护内部温度达到制造商限制时关闭域控制器。
      • 最终恢复电源后,域控制器将挂起的 20 分钟后将显示正在准备网络连接和登录前提示。
      • DNS 事件 ID 4013 记录的 DNS 事件日志中。
      • 打开 DNS 管理控制台 (DNSMGMT。MSC) 失败,并生成以下错误消息:

        "无法联系服务器 <computername>。错误是: 服务器不可用。您想添加它吗?"

        打开的 Active Directory 用户和计算机管理单元 (DSA。MSC) 生成以下错误消息:

        "命名信息找不到"
    • Active Directory 站点中的单个域控制器
      • 在一个站点部署一台域控制器。
      • 安装了 DNS 服务器角色,并承载 AD 集成的 _msdcs。 < 目录林根域 > 和 Active Directory 域区域的副本。
      • 域控制器指向了自身的首选 DNS。
  • 域控制器指定没有备用 DNS 服务器,或通过广域网 (WAN) 链接指向的域控制器。
  • 由于停电的重新启动域控制器。
  • 在重新启动,WAN 链接可能无法操作。
  • 当启动域控制器时,它可能会挂起 20 分钟后将显示正在准备网络连接和登录前提示。
  • DNS 事件 ID 4013 记录的 DNS 事件日志中。
  • 打开 DNS 管理控制台 (DNSMGMT。MSC) 失败,并生成以下错误消息:

    "无法联系服务器 <computername>。错误是: 服务器不可用。您想添加它吗?"

    打开的 Active Directory 用户和计算机管理单元 (DSA。MSC) 生成以下错误消息:
  • 原因

    活动目录的副本包含对入站林尝试中其他域控制器的域控制器中复制所有本地保存的目录分区在 Windows 启动过程中,作为一部分的初始同步或"初始化同步"。

    在尝试启动的最新的 DNS 区域内容,AD 集成的 DNS 区域的副本 Microsoft DNS 服务器延迟 DNS 服务启动在 Windows 启动后的分钟数除非 Active Directory 已完成其在 Windows 启动过程中的初始同步。同时,Active Directory 被延迟从入站复制目录分区,直到它可以用于在目标域控制器名称解析的 DNS 服务器的 IP 地址解析它的源域控制器的 CNAME GUID。正在准备网络连接的数量取决于时挂起的持续时间本地保存目录分区驻留在一个域控制器的复制 Active directory 中。大多数的域控制器中有至少包含五个分区 (架构、 配置、 域、 林范围的 DNS 应用程序分区、 整个域的 DNS 应用程序分区),并会有 15-20 分钟启动延迟。其他分区的存在会增加启动延迟。

    DNS 的 DNS 事件日志中的事件 ID 4013 指示 DNS 服务启动后已剩有尚未发生 Active Directory 分区的入站的复制。

    有可以恶化 Windows 启动速度慢的多个条件,Microsoft DNS 服务器上的 DNS 4013 事件的日志记录配置为主机活动目录集成的区域 (该隐式驻留在作为域控制器的计算机上)。这些包括:

    • 配置 DNS 服务器承载 AD 集成的 DNS 区域的活动目录的副本包含指向它自己专用于 DNS 名称解析林中其他域控制器的知识
  • 配置 DNS 服务器承载 AD 集成的 DNS 区域的活动目录的副本包含知识点 DNS 服务器要么不存在,林中其他域控制器当前处于脱机状态,无法访问在网络上,或者,不承载所需的区域和入站复制 Active Directory (亦即,CNAME GUID 记录的域控制器和相应的主机 A 或 AAAA 记录潜在的源域控制器的) 所需的记录
  • 启动域控制器和 DNS 主持的活动目录的副本包含其他域控制器的知识内容实际上是一个独立的网络,因为 AD 集成的 DNS 区域:
    • 网络适配器或网络堆栈的调用方或目标计算机上已禁用或无法正常工作。
    • 已隔离的网络上启动的域控制器。
    • 本地域控制器的 Active Directory 副本包含陈旧不再存在于网络上的域控制器的引用。
    • 本地域控制器的复制 Active directory 包含到其他域控制器当前关闭用户的引用。
    • 本地域控制器的 Active Directory 副本包含到其他域控制器处于联机状态并可访问,但不能从中成功复制的源域控制器,目标域控制器或 DNS 或网络基础结构上的问题由于引用。

    在 Windows Server 2003 和 Windows 2000 Server SP3 或更高版本,则主机操作主机角色必须还成功地复制目录分区,用于维护操作上的入站的更改的域控制器主机角色的状态。可以执行 FSMO 相关操作之前,必须进行成功的复制。确保域控制器与 FSMO 角色的所有权和角色状态协议中已添加了此类初始化同步。从初始同步不同本文所讨论的 Active Directory 必须入站复制,以便立即启动 DNS 服务器服务运营的 FSMO 角色所需的初始同步要求。

  • 解决方案

    某些 Microsoft 和外部的内容有建议执行初始化同步复制的注册表值设置为0 ,以绕过在 Active Directory 中的初始同步要求。特定的注册表子项设置的值如下所示:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    值名称: 执行初始化同步复制
    值类型: REG_DWORD
    值数据: 0

    不建议在生产环境中或在任何环境中不断地使用此配置更改。执行初始同步复制的使用应仅在紧急情况下解决临时和特定的问题。此类问题解决后,应恢复默认设置。

    可行的备选方案包括:

    • 删除过时的域控制器的引用。

    • 使脱机或不起作用的域控制器正常运行。

    • 域控制器承载 AD 集成 DNS 区域不应指向的单个域控制器,尤其是要作为首选的 DNS 名称解析为本身。

      域控制器的 DNS 名称注册和名称解析是相对轻量高缓存的 DNS 客户端和服务器的操作。

      配置域控制器,使其指向一个 DNS 服务器的 IP 地址,包括 127.0.0.1 环回地址表示单点故障。林中只能有一个域控制器,但不是在具有多个域控制器的目录林中,这是某种程度上可承受的。

      中心站点域控制器应指向与它们的首选和备用 DNS 服务器位于同一站点中的 DNS 服务器,然后最后到其他备用的 DNS 服务器作为其自身。

      分支站点域控制器应该配置首选的 DNS 服务器 IP 地址,使其指向中心站点的 DNS 服务器,使其指向站点中的 DNS 服务器或最近的可用站点中的一个备用 DNS 服务器 IP 地址和最后自身使用 127.0.0.1 环回地址或当前的静态 IP 地址。

      指向中心站点的 DNS 服务器可以减少获取关键的域控制器 SRV 和主机记录完全注册所需的跃点数。中心站点内的域控制器通常吸引大多数管理、 通常在同一网站中,有的域控制器的域的最大集合,因为它们位于同一站点中,相互之间每隔 15 秒 (Windows Server 2003 或更高版本) 或每隔五分钟 (Windows 2000 Server),使此类 DNS 记录"众所周知"的更改复制。

      动态的域控制器 SRV 和主机 A 和 AAAA 记录注册不会使其框关闭如果分支站点中注册的域控制器无法将出站复制。

      成员计算机和服务器应继续指向站点最佳的 DNS 服务器作为首选 DNS,并可能指向非现场的 DNS 服务器实现的更多的容错能力。

      您的最终目的是为了防止所有内容复制滞后时间和复制故障硬件故障、 软件故障、 操作实践、 短期和长期的停电、 火灾、 盗窃、 洪水、 地震和恐怖主义事件,从而导致拒绝服务的同时平衡成本、 风险和网络利用率从。
    • 请确保目标域控制器可以解析源域控制器使用 DNS 的域 (即,避免备用)

      您的主要目标是确保域控制器的当前和潜在的源域控制器,从而避免了高延迟名称解析后备逻辑主机记录成功解决有指导的 CNAME 记录。

      域控制器应指向 DNS 服务器的:
      • 在 Windows 启动时可用
      • 主机、 转发或委派 _msdcs。 < 目录林根域 > 和当前和潜在的源域控制器的主 DNS 后缀区域
      • 可以解析当前的 GUID CNAME 记录 (例如,dded5a29-fc25-4fd8-aa98-7f472fc6f09b._msdcs.contoso.com) 和主机的当前和潜在的源域控制器的记录。

    丢失、 重复或陈旧的 CNAME 和主机记录所有影响这一问题。清理情况下不启用 Microsoft DNS 服务器上默认情况下,增加主机陈旧记录的可能性。同时,DNS 清理可以配置太宽松,导致过早地清除 DNS 区域的有效记录。

    • 优化备用名称解析的域的控制器

      无法正确配置 DNS,使域控制器无法解析主机记录在 DNS 中的 GUID CNAME 记录了常见 Windows Server 2003 SP1 和更高版本的域控制器从域控制器完全限定主机名,CNAME GUID 和 NetBIOS 计算机名的完全限定主机名,试图确保端到端的活动目录分区的复制执行备用名称解析已修改的域控制器。

      NTDS 复制事件 ID 2087 和 2088 记录在目录服务事件日志中存在指示目标域控制器无法解析为主机记录的域控制器的 GUID CNAME 记录,并且正在发生这种备用名称解析。
    请参阅以下的详细信息在 Microsoft 知识库文章:

    出现的 DNS 查找故障,事件 ID 2087 或事件 ID 2088 824449故障排除 Active Directory 复制失败

    由于 WINS、 主机文件和 LMHOST 文件可以所有配置,以便在目标域控制器可以解决当前和潜在的源域控制器的名称。三个解决方案,使用 WINS 是更具可扩展性由于 WINS 支持动态更新。

    IP 地址和计算机名称的计算机不可避免地会失效,导致静态项,随着时间的推移变得无效的主机和 LMHOST 文件中。有经验的管理员和支持专业人员具有所花费的时间来计算出网络跟踪,只为最后一个主机或 LMHOST 文件中找到过时的主机的 IP 映射中的一个域控制器没有名称查询与另一个域控制器错误地解析的查询观察到的原因。
    • 如果启动到已知的错误配置,DNS 服务器服务的启动值更改为手动

      如果已知会导致本文中讨论的操作系统启动速度慢,将 DNS 服务器服务的服务启动值设置为手动,重新启动,等待公布域控制器配置中启动域控制器,然后重新启动 DNS 服务器服务。

      如果 DNS 服务器服务的服务启动值设置为手动,Active Directory 不等待启动 DNS 服务器服务。

    其他注意事项:

    • 避免单点故障。

      单点故障的示例包括:
      • 配置为指向单个 DNS 服务器的 DC IP
      • 将所有 DNS 服务器都放在同一台物理主机上的来宾虚拟机上
      • 将所有 DNS 服务器都放在同一物理站点
      • 限制网络连接,以便在目标域控制器必须只有一个网络路径来访问 KDC 或 DNS 服务器

    安装足够的 DNS 服务器的本地、 区域和企业范围内的冗余性能,但不是太多的管理已成了一种负担。DNS 是通常高度由 DNS 客户端和 DNS 服务器缓存的轻量操作。

    现代的硬件上运行的每个 Microsoft DNS 服务器可以满足每个服务器的 10000-20000 个客户端。每个域控制器上安装 DNS 角色可能会导致过多的 DNS 服务器,可以增加成本的企业中。

    • 错开可能情况下在企业中的 DNS 服务器重新的启动。
      • 某些修补程序、 服务包和应用程序的安装可能需要重新启动。
      • 有些客户重新启动域控制器上定期 (每隔 7 天,每隔 30 天)。
      • 安排重新启动,并需要重新启动,以防止唯一 DNS 服务器或潜在源复制伙伴的目标域控制器进行名称解析从正在重新启动一次,以智能方式的软件的安装。

    如果 Windows Update 或管理软件已安装需要重新启动的软件,在目标的域控制器上错开安装以便一半可用的 DNS 服务器进行名称解析指向域控制器重新启动一次。

    • 在短期电源停机期间确保 DNS 可用性战略位置中安装 UPS 设备。
    • 与现场生成器扩充备有 UPS 的 DNS 服务器。

      为处理长时间停机,一些客户已部署现场发电机保证关键服务器联机。

    属性

    文章编号: 2001093 - 最后修改: 2013年4月19日 - 修订: 3.0
    关键字:?
    kbmt KB2001093 KbMtzh
    机器翻译
    重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
    点击这里察看该文章的英文版: 2001093
    Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

    提供反馈

     

    Contact us for more help

    Contact us for more help
    Connect with Answer Desk for expert help.
    Get more support from smallbusiness.support.microsoft.com