Problemas en muchos controladores de dominio con las zonas DNS integradas en Active Directory

Seleccione idioma Seleccione idioma
Id. de artículo: 267855 - Ver los productos a los que se aplica este artículo
IMPORTANTE
Este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad de él y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Los registros del Sistema de nombres de dominio (DNS) de SRV y A del localizador de controladores de dominio (DC) (que registra Netlogon) y los registros NS (que agregan los servidores DNS autorizados) en una zona DNS integrada en Active Directory para algunos controladores de dominio pueden no funcionar en un dominio que contenga un gran número de controladores de dominio (normalmente, más de 800). Si la zona DNS integrada en Active Directory tiene el mismo nombre que el dominio de Active Directory, puede parecer que los problemas con el registro de los registros A y NS en la raíz de la zona se producen en un dominio con más de 400 controladores de dominio. Además, pueden grabarse algunos de los mensajes de error siguientes en el registro de sucesos:
Tipo de suceso: Error
Origen del suceso: DNS
Categoría del suceso: Ninguna
Id. de suceso: 4011
Fecha: 6/28/2000
Hora: 7:50:13 p.m.
Usuario: N/D
Equipo: MACHINE1
Descripción: el servidor DNS no puede agregar o escribir una actualización del nombre de dominio xyz en la zona xyz.ejemplo.com en Active Directory. Compruebe que Active Directory funciona correctamente y agregue o actualice este nombre de dominio mediante la consola DNS. Los datos del suceso contienen el error.
Datos: 0000: 2a 23 00 00 *nº..

Tipo de suceso: Error
Origen del suceso: DNS
Categoría del suceso: Ninguna
Id. de suceso: 4015
Fecha: 6/28/2000
Hora: 7:50:13 p.m.
Usuario: N/D
Equipo: MACHINE1
Descripción: el servidor DNS ha encontrado un error crítico de Active Directory. Compruebe que Active Directory funciona correctamente. Los datos del suceso contienen el error.
Datos: 0000: 0b 00 00 00 ....

El último código de estado del suceso 4015, 0x00000b, corresponde al error "LDAP_ADMIN_LIMIT_EXCEEDED Se ha superado el límite de administración en el servidor".

Tipo de suceso: Advertencia
Origen del suceso: Replication de NTDS
Categoría del suceso: Replicación
Id. de suceso: 1093
Fecha: 6/28/2000
Hora: 7:33:24 p.m.
Usuario: Todos
Equipo: MACHINE1
Descripción: el agente de replicación de directorios (DRA) no pudo aplicar los cambios al objeto DC=@,DC=xyz.ejemplo.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=ejemplo,DC=com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11) porque éstos hacen que el objeto exceda el límite de tamaño de registro de la base de datos. El cambio en el atributo 9017e (dnsRecord) se revertirá para intentar que la actualización se lleve a cabo. Además de que el cambio en el atributo no se aplica localmente, el valor actual del atributo en este sistema se enviará a los demás sistemas para hacer que sea la versión definitiva. Esto tiene el efecto de anular el cambio en el resto de la empresa.
La reversión se puede reconocer de la forma siguiente: versión 5474, hora del cambio 2000-06-28 19:33.24 y USN 2873104.

Tipo de suceso: Información
Origen del suceso: Replication de NTDS
Categoría del suceso: Replicación
Id. de suceso: 1101
Fecha: 6/28/2000
Hora: 7:33:24 p.m.
Usuario: Todos
Equipo: MACHINE1
Descripción: El agente de replicación de directorios (DRA) pudo aplicar correctamente los cambios en el objeto DC=@,DC=xyz.ejemplo.com,CN=MicrosoftDNS,CN=System,DC=xyz, DC=ejemplo,DC=com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11) después de revertir algunos de los cambios del atributo. Los mensajes anteriores indicarán qué atributos se revirtieron. Observe que esto tendrá el efecto de anular el cambio donde se realizara, con lo que la actualización original no tiene efecto. Se debería informar al autor de que el sistema no aceptó su cambio.

Causa

Este problema se produce porque Active Directory tiene una limitación de los valores que se pueden asociar a un objeto único: aproximadamente 800. En una zona DNS integrada en Active Directory, los objetos dnsNode representan a los nombres DNS y los registros DNS se almacenan como valores en el atributo dnsRecord de varios valores en los objetos dnsNode, lo que ocasiona los mensajes de error mostrados anteriormente en este artículo.

Solución

Para resolver este problema, obtenga el Service Pack más reciente de Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el Service Pack más reciente para Windows 2000
La versión en inglés de esta corrección debería tener los atributos de archivo siguientes o unos posteriores:
   Fecha      Hora    Tamaño  Nombre de archivo
   ---------------------------------------------------------
   02/08/2001  01:32p  5.090.728  Q267855_W2K_SP2_x86_en.EXE  
				

Este hotfix contiene las correcciones para los componentes DNS y Netlogon. Las correcciones no quitan la limitación en el número de registros que se pueden agregar para el mismo nombre DNS cuando la zona DNS se integra con Active Directory, pero proporciona un mecanismo para deshabilitar registros DNS innecesarios de registros A de ubicador de DC y A, y registros NS en una zona DNS integrada en Active Directory.

Corrección de DNS

Aplique el hotfix en cada servidor DNS que se ejecute en un DC. La parte de DNS del hotfix también contiene una versión actualizada de Dnscmd.exe que se instala en la carpeta UnidadDelSistema:\Archivos de programa\Herramientas de soporte. Después de aplicar el hotfix, utilice cualquiera de los métodos siguientes:

Método 1

Si desea especificar una lista de los servidores DNS que pueden agregar registros NS que corresponden a ellos mismos a una zona especificada, elija un servidor DNS y, a continuación, ejecute Dnscmd.exe con el modificador /AllowNSRecordsAutoCreation:
  • Para establecer una lista de direcciones TCP/IP de servidores DNS que tengan permiso para crear automáticamente registros NS para una zona, utilice el comando dnscmd nombreDeServidor/config nombreDezona /AllowNSRecordsAutoCreation IPList. Por ejemplo:
    Dnscmd NS1 /config nombreDeZona.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
  • Para borrar la lista de direcciones TCP/IP de servidores DNS que tienen permiso para crear automáticamente registros NS para una zona y devolver la zona al estado predeterminado cuando cada servidor DNS principal agrega automáticamente a una zona el registro NS correspondiente, utilice el comando dnscmd nombreDeZona /config nombreDeServidor /AllowNSRecordsAutoCreation. Por ejemplo:
    Dnscmd NS1 /config nombreDeZona.com /AllowNSRecordsAutoCreation
  • Para establecer una lista de las direcciones TCP/IP de servidores DNS que tengan permiso para crear automáticamente registros NS para una zona, utilice el comando dnscmd nombreDeServidor /zoneinfo nombreDezona /AllowNSRecordsAutoCreation. Por ejemplo:
    Dnscmd NS1 /zoneinfo nombreDeZona.com /AllowNSRecordsAutoCreation
NOTA
Ejecute este comando en un sólo servidor DNS. La replicación de Active Directory propaga los cambios a todos los servidores DNS que se ejecutan en los controladores de dominio del mismo dominio.

En un entorno en el que la mayoría de los controladores de dominio DNS para un dominio se encuentra en sucursales y sólo unos pocos se encuentran en una ubicación central, puede ser aconsejable utilizar el comando Dnscmd descrito anteriormente en este artículo para establecer IPList de modo que incluya sólo los DC DNS situados de forma centralizada. Así, sólo estos DC DNS agregan sus registros NS respectivos a la zona del dominio de Active Directory.

Método 2

ADVERTENCIA
Si utiliza incorrectamente el Editor del Registro, puede causar serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Si desea elegir qué servidor DNS no agrega los registros NS correspondientes a alguna zona DNS integrada en Active Directoriy, utilice el Editor del Registro (Regedt32.exe) para configurar el valor del Registro siguiente en cada servidor DNS afectado:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valor del Registro: DisableNSRecordsAutoCreation
Tipo de datos: REG_DWORD
Intervalo de datos: 0x0 | 0x1
Valor predeterminado: 0x0
Este valor afecta a todas las zonas DNS integradas en Active Directoriy. Los valores tienen el significado siguiente:
Valor    Significado
----------------------------------------------------------------------
  0     El servidor DNS crea automáticamente los registros NS para todas las zonas
        DNS integradas en Active Directory a menos que alguna, que el servidor 
        aloje, contenga el atributo AllowNSRecordsAutoCreation
        (descrito anteriormente en este artículo) que no incluye
        el servidor. En esta situación, el servidor utiliza la
        configuración de AllowNSRecordsAutoCreation.

   1    El servidor DNS no crea automáticamente los registros NS para todas
        las zonas DNS integradas en Active Directory, sin tener en cuenta la
        configuración de AllowNSRecordsAutoCreation en las zonas DNS
        integradas en Active Directory.
					
NOTA
Windows 2000 no agrega este valor al Registro. Para aplicar los cambios a este valor, debe reiniciar el servicio Servidor DNS.

Si desea evitar que ciertos servidores DNS agreguen sus registros NS correspondientes a las zonas DNS integradas en Active Directory que alojan, puede utilizar el valor del Registro DisableNSRecordsAutoCreation descrito anteriormente en este artículo.

Tenga en cuenta que si el valor del Registro DisableNSRecordsAutoCreation se establece en 0x1, ninguna de las zonas DNS integradas en Active Directory que aloje ese servidor DNS contendrá sus registros NS. Por consiguiente, si este servidor debe agregar su propio registro NS al menos a una zona DNS integrada en Active Directory que aloje, no establezca el valor del Registro en 0x1.

Corrección de Netlogon

ADVERTENCIA
Si utiliza incorrectamente el Editor del Registro, puede causar serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar problemas que resulten del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

La parte de este hotfix correspondiente a Netlogon da un mayor control a los administradores según se ha descrito anteriormente en este artículo. Debería aplicar la corrección en cada DC. Además, para evitar que un DC intente realizar actualizaciones dinámicas de ciertos registros DNS que, de forma predeterminada, se actualizan dinámicamente con Netlogon, utilice Regedt32.exe para configurar el valor del Registro siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor del Registro: DnsAvoidRegisterRecords
Tipo de datos: REG_MULTI_SZ
En este valor, especifique la lista de mnemotécnicos que corresponden a los registros DNS que este DC no debería registrar. NOTA
Establezca el valor en la lista de mnemotécnicos delimitados mediante un retorno de carro que se especifica en la tabla siguiente. La lista de mnemotécnicos incluye:
Mnemotécnico Tipo   Registro DNS
--------------------------------------------------------------------------
LdapIpAddress    A     <NombreDeDominioDNS>
Ldap             SRV   _ldap._tcp.<NombreDeDominioDNS>
LdapAtSite       SRV   _ldap._tcp.<NombreDeSitio>._sites.<NombreDeDominioDNS>
Pdc              SRV   _ldap._tcp.pdc._msdcs.<NombreDeDominioDNS>
Gc               SRV   _ldap._tcp.gc._msdcs.<NombreDeBosqueDNS>
GcAtSite         SRV   _ldap._tcp.<NombreDeSitio>._sites.gc._msdcs.<NombreDeBosqueDNS>
DcByGuid         SRV   _ldap._tcp.<GUIDDeDominio>.domains._msdcs.<NombreDeBosqueDNS>
GcIpAddress      A     _gc._msdcs.<NombreDeBosqueDNS>
DsaCname         CNAME <GUIDDsa>._msdcs.<NombreDeBosqueDNS>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<NombreDeDominioDNS>
KdcAtSite        SRV    _kerberos._tcp.dc._msdcs.<NombreDeSitio>._sites.<NombreDeDominioDNS>
Dc               SRV   _ldap._tcp.dc._msdcs.<NombreDeDominio>
DcAtSite         SRV   _ldap._tcp.<NombreDeSitio>._sites.dc._msdcs.<NombreDeDominioDNS>
Rfc1510Kdc       SRV   _kerberos._tcp.<NombreDeDominioDNS>
Rfc1510KdcAtSite SRV   _kerberos._tcp.<NombreDeSitio>._sites.<NombreDeDominioDNS>
GenericGc        SRV   _gc._tcp.<NombreDeBosqueDNS>
GenericGcAtSite  SRV   _gc._tcp.<NombreDeSitio>._sites.<NombreDeBosqueDNS>
Rfc1510UdpKdc    SRV   _kerberos._udp.<NombreDeDominioDNS>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<NombreDeDominioDNS>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<NombreDeDominioDNS>
				
NOTA
Windows 2000 no agrega este valor al Registro y no es necesario reiniciar el servicio Netlogon. Si el valor del Registro DnsAvoidRegisterRecords se crea o se modifica mientras el servicio Netlogon está detenido o durante los primeros 15 minutos una vez iniciado, se realizan las actualizaciones de DNS adecuadas con un retraso corto (sin embargo, el retraso no es de más de 15 minutos una vez iniciado Netlogon).

Los registros DNS de los registros A que realiza Netlogon también se pueden modificar con el valor del Registro RegisterDnsARecords. Para obtener información adicional acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
246804 Cómo habilitar y deshabilitar registros DNS dinámicos de Windows 2000
Tenga en cuenta que la configuración del valor del Registro DnsAvoidRegisterRecords tiene prioridad sobre la configuración del valor del Registro RegisterDnsARecords. Por consiguiente, si los mnemotécnicos LdapIpAddress y/o GcIpAddress se utilizan en el valor del Registro DnsAvoidRegisterRecords, se aplican las condiciones siguientes:
  • Si DnsAvoidRegisterRecords contiene LdapIpAddress y RegisterDnsARecords se establece en 0x0, Netlogon no registra los registros A del NombreDeDominioDNS.
  • Si DnsAvoidRegisterRecords no contiene LdapIpAddress y RegisterDnsARecords se establece en 0x1, Netlogon no registra los registros A del NombreDeDominioDNS.
  • Si DnsAvoidRegisterRecords contiene GcIpAddress y RegisterDnsARecords se establece en 0x0 _gc._msdcs, Netlogon no registra los registros A del NombreDeBosqueDNS.
  • Si DnsAvoidRegisterRecords no contiene GcIpAddress y RegisterDnsARecords se establece en 0x1, _gc._msdcs, Netlogon no registra los registros A del NombreDeBosqueDNS.
Para evitar que el problema descrito anteriormente en este artículo se produzca en un entorno en el que un conjunto de DC y/o servidores de catálogo global (GC) se encuentran en una ubicación central y una gran cantidad de ellos están en sucursales, el administrador puede deshabilitar el registro de algunos de los registros DNS a través de Netlogon en los DC y GC de las sucursales. En esta situación, la lista de mnemotécnicos que no se deberían registrar incluye:
Registros específicos del DC:

Mnemotécnico       Tipo   Registro DNS
---------------------------------------------------------------------------
LdapIpAddress    A     <NombreDeDominioDNS>
Ldap             SRV   _ldap._tcp.<NombreDeDominioDNS>
DcByGuid         SRV   _ldap._tcp.<GUIDDeDominio>.domains._msdcs.<NombreDeBosqueDNS>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<NombreDeDominioDNS>
Dc               SRV   _ldap._tcp.dc._msdcs.<NombreDeDominio>
Rfc1510Kdc       SRV   _kerberos._tcp.<NombreDeDominioDNS>
Rfc1510UdpKdc    SRV   _kerberos._udp.<NombreDeDominioDNS>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<NombreDeDominioDNS>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<NombreDeDominioDNS>
 
Registros específicos del GC:

Mnemotécnico  Tipo   Registro DNS
---------------------------------------------------------------------------
Gc               SRV   _ldap._tcp.gc._msdcs.<NombreDeBosqueDNS>
GcIpAddress      A     _gc._msdcs.<NombreDeBosqueDNS>
GenericGc        SRV   _gc._tcp.<NombreDeBosqueDNS>
				
Observe que estas listas no incluyen los registros específicos del sitio. Por consiguiente, los servidores de GC y DC de las sucursales se localizan al lado de los registros específicos del sitio que suele usar un ubicador de DC. Si un programa busca un DC o GC utilizando registros genéricos (que no son específicos del sitio) como alguno de los registros de las listas mostradas anteriormente en este artículo, encuentra un DC o GC de la ubicación central.

Un administrador también puede decidir limitar el número de registros de ubicador DC como los registros SRV y A que registra Netlogon para el mismo nombre DNS genérico (_ldap._tcp.dc._msdcs.NombreDeDominio), incluso en un escenario con menos de 800 DC en el mismo dominio, para reducir el tamaño de las respuestas de DNS a las consultas para tales registros.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados al principio de este artículo. Este problema se corrigió por primera vez en el Service Pack 2 de Windows 2000.

Más información

Cada servidor DNS que está autorizado para una zona DNS integrada en Active Directory agrega un registro NS. De forma predeterminada, cada DC de un dominio registra un registro SRV para un conjunto de nombres que no son específicos del sitio como "_ldap._tcp.nombreDeDominio" y registros A que asignan el nombre de dominio DNS de Active Directory a la dirección o direcciones TCP/IP del DC. Cuando un servidor DNS intenta escribir un registro después de aproximadamente 800 registros con el mismo nombre compartido, la Autoridad de seguridad local (LSA) se ejecuta con un uso de la CPU del 100 por cien durante aproximadamente 10 segundos y el registro no tiene éxito. Netlogon reintenta este registro cada hora; el pico de uso del 100 por cien de CPU reaparece por lo menos una vez cada hora y los registros intentados no tienen éxito.

Para obtener información adicional acerca de cómo instalar Windows 2000 y sus hotfix al mismo tiempo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
249149 Instalar Microsoft Windows 2000 y revisiones para Windows 2000

Propiedades

Id. de artículo: 267855 - Última revisión: miércoles, 29 de marzo de 2006 - Versión: 3.3
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbqfe kbhotfixserver kbbug kbdns kbenv kberrmsg kbfix kbnetwork kbwin2000presp2fix KB267855

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com