Le zone DNS integrate in Active Directory creano problemi in presenza di un numero elevato di controller di dominio

Traduzione articoli Traduzione articoli
Identificativo articolo: 267855 - Visualizza i prodotti a cui si riferisce l?articolo.
Avviso
In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina 13 luglio 2010.Windows 2000 End-of-Support Solution Center Ŕ un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.
Avviso
In questo articolo si applica a Windows 2000. Supporto per Windows 2000 termina 13 luglio 2010.Windows 2000 End-of-Support Solution Center Ŕ un punto di partenza per la pianificazione della strategia di migrazione da Windows 2000. Per ulteriori informazioni, vedere Microsoft Support Lifecycle Policy.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

In un dominio contenente un numero elevato di controller di dominio, solitamente superiore a 800, Ŕ possibile che le registrazioni DNS (Domain Name System) di record SRV e record A di tipo DC Locator (registrati dal servizio Accesso rete) e di record NS (aggiunti dai server DNS di fiducia) in una zona DNS integrata in Active Directory non funzionino per alcuni controller di dominio. Se la zona DNS integrata in Active Directory ha lo stesso nome del dominio di Active Directory, in un dominio con oltre 400 controller di dominio Ŕ possibile che si verifichino dei problemi con la registrazione di record A e record NS nella radice della zona. Inoltre, Ŕ possibile che venga registrato uno o pi¨ dei seguenti messaggi di errore nel registro eventi:
Tipo evento: errore
Origine evento: DNS
Categoria evento: nessuno
ID evento: 4011
Data: 28/6/2000
Ora: 7:50:13 PM
Utente: N/d
Computer: Computer1
Descrizione: Il server DNS non Ŕ riuscito ad aggiungere o scrivere un aggiornamento del dominio nome xyz della zona xyz.esempio.com in Active Directory. Controllare che Active Directory funzioni correttamente e aggiungere o aggiornare il nome di dominio mediante la console DNS. I dati dell'evento contengono l'errore.
Dati: 0000: 2a 23 00 00 * #

Tipo evento: errore
Origine evento: DNS
Categoria evento: nessuno
ID evento: 4015
Data: 28/6/2000
Ora: 7:50:13 PM
Utente: N/d
Computer: Computer1
Descrizione: Il server DNS ha rilevato un errore critico da Active Directory. Controllare che Active Directory funzioni correttamente. I dati dell'evento contengono l'errore.
Dati: 0000: 0b 00 00 00....

Il codice di stato finale fornito dall'evento 4015, 0x00000b corrisponde all'errore "LDAP_ADMIN_LIMIT_EXCEEDED Superato limite di amministrazione sul server"

Tipo evento: avviso
Origine evento: Replica NTDS
Categoria evento: Replica
ID evento: 1093
Data: 28/6/2000
Ora: 7:33:24 PM
Utente: Everyone
Computer: Computer1
Descrizione: L'agente di replica directory (DRA) non Ŕ in grado di applicare le modifiche apportate a un oggetto DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC = com (GUID d 77 76064-f49e-4762-ba8c-324b6c518f11) poichÚ l'oggetto da superano il limite di dimensioni dei record del database a causa delle modifiche in ingresso. La modifica all'attributo 9017e (dnsRecord) non verrÓ applicata nel tentativo di includere l'aggiornamento. Oltre alla modifica dell'attributo non applicato localmente, il valore corrente dell'attributo nel sistema in uso verrÓ inviato a tutti gli altri sistemi per verificare che la versione definitiva. Questo incide annullando le modifiche al resto dell'organizzazione.
Lo storno Ŕ possibile che venga riconosciuto come segue: versione 5474, orario di modifica 2000-06-28 19:33.24 e USN di 2873104.

Tipo evento: informazioni
Origine evento: NTDS replica
Categoria evento: replica
ID evento: 1101
Data: 28/6/2000
Ora: 7:33:24 PM
Utente: Everyone
Computer: Computer1
Descrizione: L'agente di replica directory (DRA) era in grado di applicare correttamente le modifiche apportate a un oggetto DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC = xyz, DC = example, DC = com (GUID d 77 76064-f49e-4762-ba8c-324b6c518f11) dopo aver respinto una o pi¨ modifiche degli attributi. I messaggi precedenti indicano quali attributi sono stati annullati. Si noti che questo avrÓ l'effetto di annullando le modifiche in cui Ŕ stata effettuata, causando l'aggiornamento originale non vengano applicate. Il mittente dovrÓ essere informato che le modifiche non Ŕ stato accettato dal sistema.

Cause

Questo problema si verifica perchÚ Active Directory prevede che a ciascun oggetto sia possibile associare un limite massimo di 800 valori circa. In una zona DNS integrata in Active Directory i nomi DNS sono rappresentati da oggetti dnsNode e i record DNS sono memorizzati sotto forma di valori nell'attributo multivalore dnsRecord per gli oggetti dnsNode, causando i messaggi di errore elencati in precedenza in questo articolo.

Risoluzione

Per risolvere questo problema Ŕ necessario ottenere la versione pi¨ recente del service pack per Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260910Come ottenere il service pack pi¨ recente per Windows 2000
La versione in lingua inglese di questa correzione deve avere i seguenti attributi di file o successivi:
   Date        Time    Size       File name
   ---------------------------------------------------------
   02/08/2001  01:32p  5,090,728  Q267855_W2K_SP2_x86_en.EXE  
				
Questa correzione contiene le correzioni per il componente DNS e per il servizio Accesso rete. Tali correzioni non rimuovono il limite relativo al numero di record che Ŕ possibile aggiungere per lo stesso nome DNS quando la zona DNS Ŕ integrata in Active Directory, bensý forniscono un meccanismo per disattivare le registrazioni DNS non necessarie di record SRV e record A di tipo DC Locator e di record NS in una zona DNS integrata in Active Directory.

Correzione per il componente DNS

Applicare la correzione a ciascun server DNS eseguito su un controller di dominio. Il DNS parte dell'aggiornamento rapido (hotfix) contiene anche una versione aggiornata di Dnscmd.exe che viene installata nella Systemdrive: \Programmi\Support Tools cartella. Una volta applicata la correzione, utilizzare uno dei due metodi descritti di seguito:

Metodo 1

Se si desidera specificare un elenco dei server DNS che possono aggiungere NS record corrispondenti a se stessi a una zona specificata, scegliere un server DNS ed eseguire Dnscmd.exe con il / AllowNSRecordsAutoCreation passare:
  • Per impostare un elenco di indirizzi TCP/IP di server DNS che dispone dell'autorizzazione per creare automaticamente record NS per una zona, utilizzare il comando dnscmd servername /config zonename /AllowNSRecordsAutoCreation IPList. Ad esempio:
    Dnscmd NS1 /config zonename .com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
  • Per cancellare l'elenco di indirizzi TCP/IP di server DNS che dispone dell'autorizzazione per creare record NS per una zona e ripristinare lo stato predefinito della zona quando tutti i server DNS primario aggiunge automaticamente a una zona un record NS corrispondente a tale automaticamente, utilizzare il comando dnscmd servername /config zonename /AllowNSRecordsAutoCreation. Ad esempio:
    Dnscmd NS1 /config zonename .com /AllowNSRecordsAutoCreation
  • Per eseguire una query nell'elenco di indirizzi TCP/IP di server DNS che dispone dell'autorizzazione per creare automaticamente record NS per una zona, utilizzare il comando dnscmd servername /zoneinfo zonename /AllowNSRecordsAutoCreation. Ad esempio:
    Dnscmd NS1 /zoneinfo zonename .com /AllowNSRecordsAutoCreation
Nota: Esegui il comando su un solo server DNS. La replica di Active Directory provvederÓ a propagare le modifiche a tutti i server DNS in esecuzione sui controller di dominio appartenenti allo stesso dominio.

In un ambiente in cui la maggior parte dei controller di dominio DNS di un dato dominio risiede in uffici periferici e solo un numero esiguo di controller di dominio occupa una posizione centralizzata, Ŕ consigliabile utilizzare il comando Dnscmd descritto in precedenza per impostare l'elenco IPList in modo da includere solo i controller di dominio DNS centralizzati. In questo modo, solo i controller di dominio DNS centralizzati saranno autorizzati ad aggiungere i rispettivi record NS alla zona del dominio di Active Directory.

Metodo 2

Importante Questa sezione, metodo o attivitÓ contiene illustrato come modificare il Registro di sistema. Tuttavia, pu˛ causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, Ŕ possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756Come eseguire il backup e ripristino del Registro di sistema in Windows

Se si desidera impostare server DNS specifici che non saranno autorizzati ad aggiungere i rispettivi record NS a una zona DNS integrata in Active Directory, utilizzare l'editor del Registro di sistema (Regedt32.exe) per configurare il valore del Registro di sistema riportato di seguito per ciascun server DNS interessato:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valore del Registro di sistema: DisableNSRecordsAutoCreation
Tipo di dati: REG_DWORD
Intervallo dati: 0 x 0 | 0 x 1
Valore predefinito: 0 x 0
Questo valore influirÓ su tutte le zone DNS integrate in Active Directory. I valori hanno il seguente significato:
Value   Meaning
----------------------------------------------------------------------
  0     DNS server automatically creates NS records for all Active 
        Directory-integrated DNS zones unless any zone, that is hosted
        by the server, contains the AllowNSRecordsAutoCreation 
        attribute (described earlier in this article) that does not 
        include the server. In this situation, the server uses the 
        AllowNSRecordsAutoCreation configuration.

   1    DNS server does not automatically create NS records for all 
        Active Directory-integrated DNS zones, regardless of the 
        AllowNSRecordsAutoCreation configuration in the Active 
        Directory-integrated DNS zones.
					
Nota: questo valore non viene aggiunto al Registro di sistema di Windows 2000. Per applicare le modifiche a questo valore, Ŕ necessario riavviare il servizio Server DNS.

Se si desidera impedire che determinati server DNS possano aggiungere i rispettivi record NS alle zone DNS integrate in Active Directory che ospitano, Ŕ possibile utilizzare il valore del Registro di sistema DisableNSRecordsAutoCreation descritto in precedenza in questo articolo.

Se il valore del Registro di sistema DisableNSRecordsAutoCreation viene impostato su 0x1, nessuna delle zone DNS integrate in Active Directory ospitate dal server DNS conterrÓ alcun record NS. Pertanto, se questo server deve aggiungere il proprio record NS almeno una zona DNS integrata in Active Directory che ospita, non impostare il valore del Registro di sistema su 0 x 1.

Correzione per il servizio Accesso rete

Importante Questa sezione, metodo o attivitÓ contiene illustrato come modificare il Registro di sistema. Tuttavia, pu˛ causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi di seguire attentamente questi passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, Ŕ possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756Come eseguire il backup e ripristino del Registro di sistema in Windows

La porzione della correzione relativa al servizio Accesso rete offre agli amministratori un controllo migliore, come descritto in precedenza in questo articolo. Questa correzione deve essere applicata a ciascun controller di dominio. Inoltre, per impedire che un controller di dominio tenti di aggiornare dinamicamente determinati record DNS che per impostazione predefinita vengono aggiornati dinamicamente dal servizio Accesso rete, Ŕ necessario utilizzare Regedt32.exe per configurare il seguente valore del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valore del Registro di sistema: DnsAvoidRegisterRecords
Tipo di dati: REG_MULTI_SZ
In questo valore specificare l'elenco di istruzioni corrispondenti ai record DNS che non dovranno essere registrati da questo controller di dominio. Nota: impostare il valore per l'elenco di istruzioni delimitate da invio specificato nella tabella riportata di seguito. L'elenco delle istruzioni include:
Mnemonic         Type  DNS Record
--------------------------------------------------------------------------
LdapIpAddress    A     <DnsDomainName>
Ldap             SRV   _ldap._tcp.<DnsDomainName>
LdapAtSite       SRV   _ldap._tcp.<SiteName>._sites.<DnsDomainName>
Pdc              SRV   _ldap._tcp.pdc._msdcs.<DnsDomainName>
Gc               SRV   _ldap._tcp.gc._msdcs.<DnsForestName>
GcAtSite         SRV   _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName>
DcByGuid         SRV   _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
GcIpAddress      A     gc._msdcs.<DnsForestName>
DsaCname         CNAME <DsaGuid>._msdcs.<DnsForestName>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<DnsDomainName>
KdcAtSite        SRV    _kerberos._tcp.dc._msdcs.<SiteName>._sites.<DnsDomainName>
Dc               SRV   _ldap._tcp.dc._msdcs.<DnsDomainName>
DcAtSite         SRV   _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName>
Rfc1510Kdc       SRV   _kerberos._tcp.<DnsDomainName>
Rfc1510KdcAtSite SRV   _kerberos._tcp.<SiteName>._sites.<DnsDomainName>
GenericGc        SRV   _gc._tcp.<DnsForestName>
GenericGcAtSite  SRV   _gc._tcp.<SiteName>._sites.<DnsForestName>
Rfc1510UdpKdc    SRV   _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<DnsDomainName>
				
Nota: questo valore non viene aggiunto al Registro di sistema di Windows 2000 e non Ŕ necessario riavviare il servizio Accesso rete. Se il valore del Registro di sistema DnsAvoidRegisterRecords viene creato o modificato mentre il servizio Accesso rete non Ŕ in funzione oppure entro 15 minuti dal suo avvio, gli aggiornamenti DNS appropriati avranno luogo con un breve ritardo, in ogni caso prima che siano trascorsi 15 minuti dall'avvio del servizio Accesso rete.

Le registrazioni DNS di record A eseguite dal servizio Accesso rete possono essere modificate anche utilizzando il valore del Registro di sistema RegisterDnsARecords. Per ulteriori informazioni come effettuare questa operazione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
246804Come attivare o disattivare gli aggiornamenti del DNS in Windows 2000 e in Windows Server 2003
Tenere presente che le impostazioni di valore del Registro di sistema DnsAvoidRegisterRecords hanno la precedenza rispetto al Registro di sistema RegisterDnsARecords impostazioni di valori in relazione alla registrazione non host (A) record:
  • DnsAvoidRegisterRecords contiene LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0 x 1
    In questo caso, entrambi non sono registrati.
  • DnsAvoidRegisterRecords contiene GcIpAddress
    RegisterDnsARecords = 0 x 1
    In questo caso, viene registrato LdapIpAddress e GcIpAddress non Ŕ registrato.
  • DnsAvoidRegisterRecords contiene LdapIpAddress
    RegisterDnsARecords = 0 x 1
    In questo caso, LdapIpAddress non Ŕ registrato e verrÓ registrato GcIpAddress.
  • DnsAvoidRegisterRecords non contiene LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0 x 1
    In questo caso, entrambi sono registrati.
  • DnsAvoidRegisterRecords contiene LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0 x 0
    In questo caso, entrambi non sono registrati.
  • DnsAvoidRegisterRecords contiene GcIpAddress
    RegisterDnsARecords = 0 x 0
    In questo caso, entrambi non sono registrati.
  • DnsAvoidRegisterRecords contiene LdapIpAddress
    RegisterDnsARecords = 0 x 0
    In questo caso, entrambi non sono registrati.
  • DnsAvoidRegisterRecords non contiene LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0 x 0
    In questo caso, entrambi non sono registrati.
Per impedire che il problema descritto in precedenza in questo articolo si verifichi in un ambiente in cui solo un gruppo di controller di dominio e/o di server di catalogo globale occupa una posizione centrale, mentre la maggior parte dei controller di dominio e/o dei server di catalogo globale risiede in uffici periferici, l'amministratore pu˛ disattivare la registrazione di alcuni dei record DNS da parte del servizio Accesso rete sui controller di dominio e/o server di catalogo globale periferici. In questo caso, include l'elenco delle istruzioni che non devono essere registrati:
DC-specific records:

Mnemonic        Type  DNS Record
---------------------------------------------------------------------------
LdapIpAddress   A    <DnsDomainName>
Ldap            SRV  _ldap._tcp.<DnsDomainName>
DcByGuid        SRV  _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
Kdc             SRV  _kerberos._tcp.dc._msdcs.<DnsDomainName>
Dc              SRV  _ldap._tcp.dc._msdcs.<DnsDomainName>
Rfc1510Kdc      SRV  _kerberos._tcp.<DnsDomainName>
Rfc1510UdpKdc   SRV  _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd     SRV  _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd  SRV  _kpasswd._udp.<DnsDomainName>
 
GC-specific records:

Mnemonic        Type  DNS Record
---------------------------------------------------------------------------
Gc              SRV  _ldap._tcp.gc._msdcs.<DnsForestName>
GcIpAddress     A    gc._msdcs.<DnsForestName>
GenericGc       SRV  _gc._tcp.<DnsForestName>
				
nota che questi elenchi non includono record specifici. Pertanto i controller di dominio e i server di catalogo globale che si trovano in uffici periferici sono identificati da record specifici di sito solitamente utilizzati da un DC Locator. Se un programma cerca un controller di dominio o server di catalogo globale utilizzando record generici, ovvero non specifici del sito, quale ad esempio uno qualsiasi dei record contenuti nei due elenchi riportati in precedenza in questo articolo, troverÓ un controller di dominio e/o server di catalogo globale centralizzato.

Un amministratore pu˛ inoltre scegliere di limitare il numero dei record del localizzatore DC, ad esempio SRV e record registrati dal servizio Accesso rete per lo stesso generico nomi DNS (_ldap._tcp.dc._msdcs. DomainName), anche in uno scenario con meno di 800 domain controller del dominio stesso, per ridurre le dimensioni del DNS le risposte alle query per tali record.

Status

Microsoft ha confermato che si tratta di un problema con i prodotti elencati nella sezione "Si applica a". Questo problema Ŕ stato corretto per la prima volta in Windows 2000 Service Pack 2.

Informazioni

Ogni server DNS di fiducia di una zona DNS integrata in Active Directory aggiunge un record NS. Per impostazione predefinita, ogni controller di dominio in un dominio registra un record SRV per un insieme di nomi non specifici del sito, ad esempio "_ldap._tcp. domain_name" e un record map(s) il nome di dominio DNS di Active Directory per gli indirizzi TCP/IP del controller di dominio. Quando un server DNS tenta di scrivere un record dopo averne giÓ scritti 800 circa con lo stesso nome condiviso, l'autoritÓ di protezione locale (LSA) viene eseguita con un utilizzo della CPU del 100 percento per circa 10 secondi e la registrazione non riesce. Il servizio Accesso rete tenta di eseguire nuovamente questa registrazione ogni ora, il sovraccarico dell'utilizzo della CPU al 100 percento si ripresenta almeno una volta ogni ora e i tentativi di registrazione non riescono.

Per ulteriori informazioni sull'installazione di Windows 2000 e le correzioni rapide di Windows 2000 nello stesso momento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
249149Installazione di aggiornamenti rapidi di Microsoft Windows 2000 e Windows 2000

ProprietÓ

Identificativo articolo: 267855 - Ultima modifica: giovedý 15 aprile 2010 - Revisione: 4.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Chiavi:á
kbmt kbhotfixserver kbqfe kbbug kbdns kbenv kberrmsg kbfix kbnetwork kbwin2000presp2fix KB267855 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 267855
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com