Problèmes avec de nombreux contrôleurs de domaine avec les zones DNS intégrées à Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 267855 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
IMPORTANT : cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Symptômes

Les inscriptions DNS (Domain Name System) de SRV et des enregistrements "A" (enregistrés par Netlogon) et "NS" (ajoutés par les serveurs DNS qui font autorité) du pointeur de contrôleurs de domaine (CD) d'une zone DNS intégrée à Active Directory pour certains contrôleurs de domaine peuvent ne pas fonctionner dans un domaine qui contient un grand nombre de contrôleurs de domaine (habituellement plus de 800). Si la zone DNS intégrée à Active Directory a le même nom que le domaine Active Directory, les problèmes d'inscription des enregistrements A et NS au niveau de la racine de zone semblent se produire dans un domaine avec plus de 400 contrôleurs de domaine. De même, un ou plusieurs des messages d'erreur suivants peuvent être enregistrés dans le journal des événements :
Type d'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucune
ID de l'événement : 4011
Date : 6/28/2000
Heure : 19:50:13
Utilisateur : N/A
Ordinateur : MACHINE1
Description : Le serveur DNS n'a pas pu ajouter ou écrire une mise à jour du nom de domaine xyz dans la zone xyz.exemple.com dans Active Directory. Vérifiez que Active Directory fonctionne correctement et ajoutez ou mettez à jour ce nom de domaine en utilisant la console DNS. Les données d'événement contiennent l'erreur.
Données : 0000: 2a 23 00 00 *#..

Type d'événement : Erreur
Source de l'événement : DNS
Catégorie de l'événement : Aucune
ID de l'événement : 4015
Date : 6/28/2000
Heure : 19:50:13
Utilisateur : N/A
Ordinateur : MACHINE1
Description : Le serveur DNS a rencontré une erreur critique venant d'Active Directory. Vérifiez que Active Directory fonctionne correctement. Les données d'événement contiennent l'erreur.
Données : 0000: 0b 00 00 00 ....

Le code d'état final de l'événement 4015, 0x00000b, mappe sur l'erreur "LDAP_ADMIN_LIMIT_EXCEEDED Limite d'administration dépassée sur le serveur".

Type d'événement : Avertissement
Source de l'événement : Réplication NTDS
Catégorie de l'événement : Réplication
ID de l'événement : 1093
Date : 6/28/2000
Heure : 19:33:24
Utilisateur : Tout le monde
Ordinateur : MACHINE1
Description : L'Agent de réplication d'annuaire (DRA) n'a pas pu appliquer les modifications à l'objet DC=@,DC=xyz.exemple.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=exemple, DC=com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11) car les modifications entrantes font dépasser à l'objet la taille limite autorisée pour les entrées de la base de données. La modification entrante sur l'attribut 9017e (dnsRecord) va être annulée pour que les modifications tiennent dans la taille autorisée. La modification de l'attribut ne sera pas appliquée localement, et la valeur actuelle de l'attribut sur ce système sera envoyée à tous les autres systèmes pour que cette version soit définitive. Ceci annulera la modification pour le reste de l'entreprise.
Cette annulation peut être identifiée de la façon suivante : version 5474, date de modification 28/06/2000 19:33:24 et USN de 2873104.

Type d'événement : Informations
Source de l'événement : Réplication NTDS
Catégorie de l'événement : Réplication
ID de l'événement : 1101
Date : 6/28/2000
Heure : 19:33:24
Utilisateur : Tout le monde
Ordinateur : MACHINE1
Description : L'Agent de réplication d'annuaire (DRA) est parvenu à appliquer les modifications à l'objet DC=@,DC=xyz.exemple.com,CN=MicrosoftDNS,CN=System, DC=xyz,DC=exemple,DC=com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11) après avoir annulé une ou plusieurs modifications d'attributs. Les messages précédents indiqueront quels attributs ont été rétablis. Ceci aura pour effet d'annuler la modification là où elle a été effectuée ; la mise à jour d'origine ne prendra pas effet. L'auteur de cette mise à jour doit être informé que ses changements n'ont pas été acceptés par le système.

Cause

Ce problème se produit parce qu'Active Directory a une limitation d'approximativement 800 valeurs qui peuvent être associées à un objet seul. Dans une zone DNS intégrée à Active Directory, les noms DNS sont représentés par des objets dnsNode et les enregistrements DNS sont stockés sous forme de valeurs dans l'attribut dnsRecord à plusieurs valeurs des objets dnsNode, ce qui provoque les messages d'erreur répertoriés plus haut dans cet article.

Résolution

Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260910 Comment faire pour obtenir le dernier Service Pack Windows 2000
La version anglaise de ce correctif doit avoir les attributs de fichier suivants ou ceux d'une version ultérieure :
   Date      Heure  Taille     Nom de fichier
   ------------------------------------------------------
   08/02/01  13:32  5 090 728  Q267855_W2K_SP2_x86_en.EXE  
				

Ce correctif contient des correctifs pour les composants DNS et Netlogon. Les correctifs ne suppriment pas la limitation portant sur le nombre d'enregistrements pouvant être ajoutés pour le même nom DNS lorsque la zone DNS est intégrée à Active Directory, mais fournissent un mécanisme permettant de désactiver les inscriptions DNS inutiles de SRV et des enregistrements A et NS du pointeur de contrôleurs de domaine dans une zone DNS intégrée à Active Directory.

Correctif DNS

Appliquez ce correctif sur chaque serveur DNS qui s'exécute sur un contrôleur de domaine. La partie DNS du correctif contient également une version mise à jour de Dnscmd.exe, installée dans le dossier Lecteur_système:\Program Files\Support Tools. Après avoir appliqué ce correctif, appliquez l'une des méthodes suivantes :

Méthode 1

Si vous souhaitez spécifier une liste de serveurs DNS pouvant ajouter des enregistrements NS, qui leur correspondent, à une zone spécifiée, choisissez un serveur DNS, puis exécutez Dnscmd.exe avec le commutateur /AllowNSRecordsAutoCreation :
  • Pour définir une liste d'adresses TCP/IP de serveurs DNS autorisés à créer automatiquement des enregistrements NS pour une zone, utilisez la commande dnscmd nom_serveur /config nom_zone /AllowNSRecordsAutoCreation IPList. Par exemple :
    Dnscmd NS1 /config nom_zone.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
  • Pour effacer la liste d'adresses TCP/IP de serveurs DNS autorisés à créer automatiquement des enregistrements NS pour une zone et remettre la zone sur son état par défaut lorsque chaque serveur DNS principal ajoute automatiquement à une zone un enregistrement NS qui lui correspond, utilisez la commande dnscmd nom_serveur /config nom_zone /AllowNSRecordsAutoCreation. Par exemple :
    Dnscmd NS1 /config nom_zone.com /AllowNSRecordsAutoCreation
  • Pour émettre une requête à la liste d'adresses TCP/IP de serveurs DNS autorisés à créer automatiquement des enregistrements NS pour une zone, utilisez la commande dnscmd nom_serveur /zoneinfo nom_zone /AllowNSRecordsAutoCreation. Par exemple :
    Dnscmd NS1 /zoneinfo nom_zone.com /AllowNSRecordsAutoCreation
REMARQUE : exécutez cette commande sur un seul serveur DNS uniquement. La réplication Active Directory propage les modifications sur tous les serveurs DNS qui s'exécutent sur des contrôleurs de domaine du même domaine.

Dans un environnement dans lequel la majorité des contrôleurs de domaine DNS pour un domaine se trouvent dans des bureaux distants et quelques-uns se trouvent dans un emplacement central, vous utiliserez peut-être la commande Dnscmd décrite plus haut dans cet article pour définir la liste IP afin qu'elle inclue seulement les contrôleurs de domaine DNS de l'emplacement central. En procédant ainsi, seuls les contrôleurs de domaine DNS de l'emplacement central ajoutent leurs enregistrements NS respectifs à la zone du domaine Active Directory.

Méthode 2

AVERTISSEMENT : toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Si vous souhaitez choisir quel serveur DNS n'ajoute pas d'enregistrements NS lui correspondant à une zone DNS intégrée à Active Directory, quelle qu'elle soit, utilisez l'Éditeur de Registre (Regedt32.exe) pour configurer la valeur de Registre suivante sur chaque serveur DNS affecté :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valeur de Registre : DisableNSRecordsAutoCreation
Type de données : REG_DWORD
Plage de données : 0x0 | 0x1
Valeur par défaut : 0x0
Cette valeur affecte toutes les zones DNS intégrées à Active Directory. Les valeurs ont les significations suivantes :
Valeur  Signification
----------------------------------------------------------------------------------
  0     Le serveur DNS crée automatiquement des enregistrements NS pour toutes les 
        zones DNS intégrées à Active Directory, à moins qu'une zone, hébergée
        par le serveur, ne contienne l'attribut AllowNSRecordsAutoCreation 
        (décrit plus haut dans cet article) qui n'inclut pas 
        le serveur. Dans ce cas, le serveur utilise la configuration 
        AllowNSRecordsAutoCreation.

   1    Le serveur DNS ne crée pas automatiquement d'enregistrements NS pour toutes
        les zones DNS intégrées à Active Directory, quelle que soit la 
        configuration AllowNSRecordsAutoCreation dans les zones 
        DNS intégrées à Active Directory.
					
REMARQUE : Windows 2000 n'ajoute pas cette valeur au Registre. Pour appliquer les modifications apportées à cette valeur, vous devez redémarrer le service DNS Server.

Si vous souhaitez empêcher certains serveurs DNS d'ajouter leurs enregistrements NS correspondants aux zones DNS intégrées à Active Directory qu'ils hébergent, vous pouvez utiliser la valeur de Registre DisableNSRecordsAutoCreation décrite plus haut dans cet article.

Notez que si la valeur de Registre DisableNSRecordsAutoCreation est définie sur 0x1, aucune des zones DNS intégrées à Active Directory par ce serveur DNS ne contiendra ses enregistrements NS. Par conséquent, si ce serveur doit ajouter son propre enregistrement NS à au moins une zone DNS intégrée à Active Directory qu'il héberge, ne définissez pas la valeur de Registre sur 0x1.

Correctif Netlogon

AVERTISSEMENT : toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

La partie Netlogon de ce correctif accorde aux administrateurs davantage de contrôle, comme précédemment décrit dans cet article. Vous devez appliquer le correctif sur chaque contrôleur de domaine. De même, pour empêcher un contrôleur de domaine d'essayer de mettre à jour dynamiquement certains enregistrements DNS qui sont, par défaut, mis à jour dynamiquement par Netlogon, utilisez Regedt32.exe pour configurer la valeur de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valeur de Registre : DnsAvoidRegisterRecords
Type de données : REG_MULTI_SZ
Dans cette valeur, spécifiez la liste de mnémoniques correspondant aux enregistrements DNS qui ne doivent pas être enregistrés par ce contrôleur de domaine. REMARQUE : définissez la valeur sur la liste des mnémoniques délimitées par des entrées, spécifiées dans le tableau suivant. La liste des mnémoniques inclut :
Mnémonique       Type  Enregistrement DNS
------------------------------------------------------------------------------------
LdapIpAddress    A     <Nom_domaine_dns>
Ldap             SRV   _ldap._tcp.<Nom_domaine_dns>
LdapAtSite       SRV   _ldap._tcp.<Nom_site>._sites.<Nom_domaine_dns>
Pdc              SRV   _ldap._tcp.pdc._msdcs.<Nom_domaine_dns>
Gc               SRV   _ldap._tcp.gc._msdcs.<Nom_forêt_dns>
GcAtSite         SRV   _ldap._tcp.<Nom_site>._sites.gc._msdcs.<Nom_forêt_dns>
DcByGuid         SRV   _ldap._tcp.<Guid_domaine>.domains._msdcs.<Nom_forêt_dns>
GcIpAddress      A     _gc._msdcs.<Nom_forêt_dns>
DsaCname         CNAME <Guid_dsa>._msdcs.<Nom_forêt_dns>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<Nom_domaine_dns>
KdcAtSite        SRV    _kerberos._tcp.dc._msdcs.<Nom_site>._sites.<Nom_domaine_dns>
Dc               SRV   _ldap._tcp.dc._msdcs.<Nom_domaine_dns>
DcAtSite         SRV   _ldap._tcp.<Nom_site>._sites.dc._msdcs.<Nom_domaine_dns>
Rfc1510Kdc       SRV   _kerberos._tcp.<Nom_domaine_dns>
Rfc1510KdcAtSite SRV   _kerberos._tcp.<Nom_site>._sites.<Nom_domaine_dns>
GenericGc        SRV   _gc._tcp.<Nom_forêt_dns>
GenericGcAtSite  SRV   _gc._tcp.<Nom_site>._sites.<Nom_forêt_dns>
Rfc1510UdpKdc    SRV   _kerberos._udp.<Nom_domaine_dns>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<Nom_domaine_dns>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<Nom_domaine_dns>
				
REMARQUE : Windows 2000 n'ajoute pas cette valeur au Registre et il n'est pas nécessaire de redémarrer le service Netlogon. Si la valeur de Registre DnsAvoidRegisterRecords est créée ou modifiée alors que le service Netlogon est arrêté ou dans les 15 premières minutes suivant son démarrage, les mises à jour DNS appropriées ont lieu avec un léger retard (toutefois, le retard ne dure pas plus de 15 minutes après le démarrage de Netlogon).

Les inscriptions DNS des enregistrements A effectuées par Netlogon peuvent également être modifiées à l'aide de la valeur de Registre RegisterDnsARecords. Pour plus d'informations sur la marche à suivre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
246804 Comment faire pour activer/désactiver les inscriptions DNS dynamiques de Windows 2000
Notez que les paramètres de la valeur de Registre DnsAvoidRegisterRecords sont prioritaires sur les paramètres de la valeur de Registre RegisterDnsARecords. Par conséquent, si les mnémoniques LdapIpAddress et/ou GcIpAddress sont utilisées dans la valeur de Registre DnsAvoidRegisterRecords, les conditions suivantes s'appliquent :
  • Si DnsAvoidRegisterRecords contient LdapIpAddress et que RegisterDnsARecords est définie sur 0x0, le ou les enregistrements A Nom_domaine_dns ne sont pas enregistrés par Netlogon.
  • Si DnsAvoidRegisterRecords ne contient pas LdapIpAddress et que RegisterDnsARecords est définie sur 0x1, le ou les enregistrements A Nom_domaine_dns ne sont pas enregistrés par Netlogon.
  • Si DnsAvoidRegisterRecords contient GcIpAddress et que RegisterDnsARecords est définie sur 0x0, le ou les enregistrements A _gc._msdcs.Nom_forêt_dns ne sont pas enregistrés par Netlogon.
  • Si DnsAvoidRegisterRecords ne contient pas GcIpAddress et que RegisterDnsARecords est définie sur 0x1, le ou les enregistrements A _gc._msdcs.Nom_forêt_dns ne sont pas enregistrés par Netlogon.
Pour empêcher que le problème décrit plus haut dans cet article ne survienne dans un environnement dans lequel un jeu de contrôleurs de domaine et/ou de serveurs de catalogues globaux se trouve dans un emplacement central et dans lequel un grand nombre de contrôleurs de domaine et/ou de serveurs de catalogues globaux se trouve dans des bureaux distants, l'administrateur peut désactiver l'inscription de certains enregistrements DNS par Netlogon sur les contrôleurs de domaine/serveurs de catalogues globaux des bureaux distants. Dans ce cas, la liste des mnémoniques qui ne doivent pas être enregistrées inclut :
Enregistrements spécifiques aux contrôleurs de domaine :

Mnémonique       Type  Enregistrement DNS
-------------------------------------------------------------------------------
LdapIpAddress    A     <Nom_domaine_dns>
Ldap             SRV   _ldap._tcp.<Nom_domaine_dns>
DcByGuid         SRV   _ldap._tcp.<Guid_domaine>.domains._msdcs.<Nom_forêt_dns>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<Nom_domaine_dns>
Dc               SRV   _ldap._tcp.dc._msdcs.<Nom_domaine_dns>
Rfc1510Kdc       SRV   _kerberos._tcp.<Nom_domaine_dns>
Rfc1510UdpKdc    SRV   _kerberos._udp.<Nom_domaine_dns>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<Nom_domaine_dns>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<Nom_domaine_dns>
 
Enregistrements spécifiques aux serveurs de catalogues globaux :

Mnémonique       Type  Enregistrement DNS
-----------------------------------------------------------
Gc               SRV   _ldap._tcp.gc._msdcs.<Nom_forêt_dns>
GcIpAddress      A     _gc._msdcs.<Nom_forêt_dns>
GenericGc        SRV   _gc._tcp.<Nom_forêt_dns>
				
Notez que ces listes n'incluent pas les enregistrements spécifiques aux sites. Par conséquent, les contrôleurs de domaine et les serveurs de catalogues globaux des bureaux distants sont trouvés par les enregistrements spécifiques aux sites, généralement utilisés par un pointeur de contrôleur de domaine. Si un programme recherche un contrôleur de domaine/serveur de catalogues global à l'aide d'enregistrements génériques (non spécifiques aux sites), tels que l'un des enregistrements des listes répertoriées plus haut dans cet article, il trouve un contrôleur de domaine/serveur de catalogues global dans l'emplacement central.

Un administrateur peut également choisir de limiter le nombre de pointeurs de contrôleurs de domaine tels que SRV et les enregistrements A enregistrés par Netlogon pour le même nom DNS générique (_ldap._tcp.dc._msdcs.Nom_domaine), même dans un scénario avec moins de 800 contrôleurs de domaine dans le même domaine, pour réduire la taille des réponses DNS aux requêtes pour de tels enregistrements.

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés au début de cet article. Ce problème a été corrigé dans le Service Pack 2 Windows 2000.

Plus d'informations

Chaque serveur DNS qui fait autorité pour une zone DNS intégrée à Active Directory ajoute un enregistrement NS. Par défaut, chaque contrôleur de domaine d'un domaine enregistre un enregistrement SRV pour un jeu de noms non spécifiques aux sites, tels que "_ldap._tcp.nom_domaine" et le ou les enregistrements A qui mappent le nom de domaine DNS Active Directory sur l'adresse TCP/IP ou les adresses TCP/IP du contrôleur de domaine. Lorsqu'un serveur DNS essaie d'écrire un enregistrement après approximativement 800 enregistrements avec le même nom partagé, l'autorité de sécurité locale (LSA) s'exécute à 100 pour cent de l'utilisation de l'UC pendant environ 10 secondes et l'inscription échoue. Netlogon réessaie cette inscription toutes les heures ; le pic d'utilisation de l'UC à 100 pour cent réapparaît au moins une fois par heure et les inscriptions tentées échouent.

Pour plus d'informations sur l'installation simultanée de Windows 2000 et des correctifs pour Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
249149 Installation de Microsoft Windows 2000 et des correctifs pour Windows 2000

Propriétés

Numéro d'article: 267855 - Dernière mise à jour: mercredi 29 mars 2006 - Version: 3.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbqfe kbhotfixserver kbbug kbdns kbenv kberrmsg kbfix kbnetwork kbwin2000presp2fix KB267855
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com