Problemy z wieloma kontrolerami domen w strefach DNS zintegrowanych z usługą Active Directory

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 267855 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL267855
WAŻNE: Ten artykuł zawiera informacje na temat edytowania Rejestru. Przed edycją Rejestru upewnij się, że wiesz, jak go przywrócić w przypadku pojawienia się problemu. Informacje o przywracaniu Rejestru można znaleźć w temacie „Przywracanie Rejestru” w Pomocy programu Regedit.exe lub w temacie „Przywracanie klucza Rejestru” w Pomocy programu Regedt32.exe.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Symptomy

W domenie zawierającej dużą liczbę kontrolerów domen (zwykle powyżej 800), w strefie DNS zintegrowanej z usługą Active Directory, dla niektórych kontrolerów domen mogą nie działać rejestracje usług SRV systemu nazw domen (DNS), rekordów A lokalizacji kontrolera domen (DC) (zarejestrowane przez usługę Netlogon) i rekordów NS (dodanych przez nadrzędne serwery DNS). Problemy z rejestracją rekordów A i rekordów NS w katalogu głównym strefy występują w domenie zawierającej ponad 400 kontrolerów domen, jeżeli strefa DNS zintegrowana z usługą Active Directory ma taką samą nazwę jak nazwa domeny usługi Active Directory. Oprócz tego, w dzienniku zdarzeń może pojawić się przynajmniej jeden z następujących komunikatów o błędach:
Typ zdarzenia: Błąd
Źródło zdarzenia: DNS
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 4011
Data: 2000-06-28
Godzina: 19:50:13
Użytkownik: Brak
Komputer: MACHINE1
Opis: Serwer DNS nie może dodać lub zapisać uaktualnienia nazwy domeny xyz w strefie xyz.example.com do katalogu usługi Active Directory. Sprawdź czy usługa Active Directory poprawnie funkcjonuje, po czym dodaj lub uaktualnij tę nazwę domeny. Dane opisujące zdarzenie zawierają kod błędu.
Dane: 0000: 2a 23 00 00 *#..

Typ zdarzenia: Błąd
Źródło zdarzenia: DNS
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 4015
Data: 2000-06-28
Godzina: 19:50:13
Użytkownik: Brak
Komputer: MACHINE1
Opis: Serwer DNS napotkał błąd krytyczny usługi Active Directory. Sprawdź, czy usługa Active Directory poprawnie funkcjonuje. Dane opisujące zdarzenie zawierają kod błędu.
Dane: 0000: 0b 00 00 00 ....

Kod końcowego stanu ze zdarzenia 4015, 0x00000b oznacza błąd „LDAP_ADMIN_LIMIT_EXCEEDED Ograniczenie administracyjne na serwerze zostało przekroczone”.

Typ zdarzenia: Ostrzeżenie
Źródło zdarzenia: Replikacja NTDS
Kategoria zdarzenia: Replikacja
Identyfikator zdarzenia: 1093
Data: 2000-06-28
Godzina: 19:33:24
Użytkownik: Wszyscy
Komputer: MACHINE1
Opis: Agent replikacji katalogów DRA nie może zastosować zmian do obiektu DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC=com (identyfikator GUID 77d76064-f49e-4762-ba8c-324b6c518f11), ponieważ nadchodzące zmiany powodują, że obiekt przekracza limit rozmiaru rekordu bazy danych. Nadchodząca zmiana atrybutu 9017e (dnsRecord) zostanie wycofana przy próbie dopasowania aktualizacji. Oprócz zmiany atrybutu, która nie zostanie zastosowana lokalnie, bieżąca wartość atrybutu w tym systemie zostanie wysłana do wszystkich pozostałych systemów, aby utworzyć wersję ostateczną. Dotyczy to unieważniania zmiany dla reszty przedsiębiorstwa.
Zmianę można rozpoznać w następujący sposób: wersja 5474, czas zmiany 2000-06-28 19:33.24 i numer USN 2873104.

Typ zdarzenia: Informacje
Źródło zdarzenia: Replikacja NTDS
Kategoria zdarzenia: Replikacja
Identyfikator zdarzenia: 1101
Data: 2000-06-28
Godzina: 19:33:24
Użytkownik: Wszyscy
Komputer: MACHINE1
Opis: Po wycofaniu jednej lub więcej zmian atrybutów agent replikacji katalogów (DRA) pomyślnie wprowadził zmiany do obiektu DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC=xyz,DC=example,DC=com (identyfikator GUID 77d76064-f49e-4762-ba8c-324b6c518f11). Następne komunikaty wskażą, które atrybuty zostały odwrócone Zauważ, że spowoduje to unieważnienie zmiany, tam gdzie została wprowadzona, wobec czego aktualizacja oryginalna nie zostanie wprowadzona. Osobę rozpoczynającą należy powiadomić, że jej zmiana nie została zaakceptowana przez system.

Przyczyna

Problem występuje ponieważ usługa Active Directory ogranicza liczbę wartości, które mogą być skojarzone z pojedynczym obiektem do około 800. W strefie DNS zintegrowanej z usługą Active Directory, nazwy DNS są reprezentowane przez obiekty dnsNode, a rekordy DNS są przechowywane jako wartości w wielowartościowym atrybucie dnsRecord obiektów dnsNode, powodując komunikaty o błędach wymienione wcześniej w tym artykule.

Rozwiązanie

Aby rozwiązać ten problem, należy uzyskać najnowszy dodatek Service Pack dla systemu Microsoft Windows 2000. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000
Anglojęzyczna wersja tej poprawki powinna mieć następujące atrybuty pliku (lub nowsze):
   Data        Godzina   Wersja                 Rozmiar Nazwa pliku
   ------------------------------------------------------------------------------
   05/18/2000  06:38p    5 090 728.2195.1623    546,576 Netcfgx.dll (i386)
   05/19/2000  11:26a                           528,640 Q267855_W2k_sp1_x86_en.exe  

Poprawka zawiera poprawione składniki usług DNS i Netlogon. Poprawka nie usuwa ograniczenia liczby rekordów, które można dodać dla tej samej nazwy DNS, gdy strefa DNS jest zintegrowana z usługą Active Directory, ale udostępnia mechanizm wyłączania niepotrzebnych rejestracji DNS usług SRV, rekordów A lokalizatora kontrolera domen i rekordów NS w strefie DNS zintegrowanej z usługą Active Directory.

Poprawka usługi DNS

Wprowadź tę poprawkę na każdym serwerze DNS działającym na kontrolerze domeny. Część poprawki dotycząca usługi DNS dodatkowo zawiera uaktualnioną wersję pliku Dnscmd.exe, który jest instalowany w folderze Dysk_systemowy:\Program Files\Support Tools. Po wprowadzeniu tej poprawki, użyj jednej z następujących metod:

Metoda 1

Jeśli chcesz określić listę serwerów DNS, które w danej strefie będą mogły dodawać odpowiadające sobie rekordy NS, wybierz jeden serwer DNS, a następnie uruchom polecenie Dnscmd.exe z przełącznikiem /AllowNSRecordsAutoCreation:
  • Aby ustawić listę adresów TCP/IP serwerów DNS, które mają uprawnienia do automatycznego tworzenia rekordów NS dla strefy, użyj polecenia dnscmd nazwa_serwera /config nazwa_strefy /AllowNSRecordsAutoCreation IPList . Na przykład:
    Dnscmd NS1 /config nazwa_strefy .com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
  • Aby wyczyścić listę adresów TCP/IP serwerów DNS, które mają uprawnienia automatycznego tworzenia rekordów NS dla strefy, i aby przywrócić domyślny stan strefy, w którym każdy podstawowy serwer DNS automatycznie dodaje do strefy odpowiedni rekord NS, użyj polecenia dnscmdnazwa_serwera/config nazwa_strefy /AllowNSRecordsAutoCreation. Na przykład:
    Dnscmd NS1 /config nazwa_strefy .com /AllowNSRecordsAutoCreation
  • Aby wyszukać listę adresów TCP/IP serwerów DNS, które mają uprawnienia do automatycznego tworzenia rekordów NS dla strefy, użyj polecenia dnscmd nazwa_serwera /zoneinfo nazwa_strefy /AllowNSRecordsAutoCreation. Na przykład:
    Dnscmd NS1 /zoneinfo nazwa_strefy .com /AllowNSRecordsAutoCreation
UWAGA: Polecenie należy uruchamiać jedynie na jednym serwerze DNS. Replikacja Active Directory propaguje zmiany na wszystkich serwerach DNS uruchomionych na kontrolerach domen w tej samej domenie.

W środowisku, w którym większość kontrolerów domen DNS została zlokalizowana w oddziałach, a kilka centralnie, konieczne może być użycie polecenia Dnscmd opisanego wcześniej w tym artykule, w celu ustawienia listy IPList uwzględniającej jedynie centralnie zlokalizowane kontrolery domen DNS. W ten sposób tylko centralnie zlokalizowane kontrolery domen DNS będą dodawać odpowiednie rekordy NS do strefy domeny Active Directory.

Metoda 2

OSTRZEŻENIE: Nieprawidłowe wykorzystanie Edytora Rejestru może być przyczyną poważnych problemów, które spowodują, że konieczna może być ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora Rejestru. Możesz używać Edytora Rejestru na własną odpowiedzialność.

Informacje o edytowaniu Rejestru można znaleźć w temacie „Zmienianie kluczy i wartości” w Pomocy Edytora Rejestru (Regedit.exe) lub w tematach „Dodawanie i usuwanie informacji w Rejestrze” oraz „Edytowanie danych Rejestru” w Pomocy programu Regedt32.exe. Należy pamiętać o utworzeniu kopii zapasowej Rejestru przed jego edycją. Używając systemu Windows NT lub Windows 2000, należy również zaktualizować awaryjny dysk naprawczy.

Aby zdecydować, który serwer DNS nie będzie dodawał odpowiednich rekordów NS do dowolnej strefy DNS zintegrowanej z usługą Active Directory, użyj Edytora Rejestru (Regedt32.exe). Ustaw następującą wartość rejestru na każdym serwerze DNS, którego to dotyczy:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Wartość rejestru: DisableNSRecordsAutoCreation
Typ danych: REG_DWORD
Zasięg danych: 0x0 | 0x1
Wartość domyślna: 0x0
Ta wartość odnosi się do wszystkich stref DNS zintegrowanych z usługą Active Directory. Wartości mają następujące znaczenia:
Wartość   Znaczenie
----------------------------------------------------------------------
  0    Serwer DNS automatycznie tworzy rekordy NS dla wszystkich 
        stref DNS zintegrowanych z usługą Active Directory, chyba że 
        jakaś strefa obsługiwana przez serwer zawiera 
        atrybut AllowNSRecordsAutoCreation (opisany wcześniej w tym artykule), 
        który nie obejmuje tego serwera. 
        Wtedy serwer używa konfiguracji AllowNSRecordsAutoCreation.

   1    Serwer DNS nie tworzy automatycznie rekordów NS dla wszystkich 
        stref DNS zintegrowanych z usługą Active Directory, niezależnie od konfiguracji
        AllowNSRecordsAutoCreation w strefach  DNS zintegrowanych z usługą Active Directory.
UWAGA: System Windows 2000 nie dodaje tej wartości do rejestru. Aby zastosować zmiany tej wartości, należy ponownie uruchomić usługę serwera DNS.

Jeśli chcesz uniemożliwić pewnym serwerom DNS dodawanie swoich rekordów NS do obsługiwanych stref DNS zintegrowanych z usługą Active Directory, możesz użyć wartości rejestru DisableNSRecordsAutoCreation opisanej wcześniej w tym artykule.

Zwróć uwagę, że jeżeli wartość rejestru DisableNSRecordsAutoCreation ustawiona jest na 0x1, żadna ze stref DNS zintegrowanych z usługą Active Directory na tym serwerze DNS nie zawiera rekordów NS. Dlatego, jeżeli serwer musi dodać swój własny rekord NS do co najmniej jednej strefy DNS zintegrowanej z obsługiwaną usługą Active Directory, nie ustawiaj wartości rejestru na 0x1.

Poprawka usługi Netlogon

OSTRZEŻENIE: Nieprawidłowe wykorzystanie Edytora Rejestru może być przyczyną poważnych problemów, które spowodują, że konieczna może być ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora Rejestru. Możesz używać Edytora Rejestru na własną odpowiedzialność.

Informacje o edytowaniu Rejestru można znaleźć w temacie „Zmienianie kluczy i wartości” w Pomocy Edytora Rejestru (Regedit.exe) lub w tematach „Dodawanie i usuwanie informacji w Rejestrze” i „Edytowanie danych Rejestru” w Pomocy programu Regedt32.exe. Należy pamiętać, aby przed edycją utworzyć kopię zapasową Rejestru. Używając systemu Windows NT lub Windows 2000, należy również zaktualizować awaryjny dysk naprawczy.

Jak opisano wcześniej w tym artykule, część poprawek usługi Netlogon daje administratorom większą kontrolę. Poprawkę należy stosować we wszystkich kontrolerach domen. Oprócz tego, aby uniemożliwić kontrolerowi domeny dynamiczne aktualizacje pewnych rekordów DNS, które domyślnie są aktualizowane dynamicznie przez usługę Netlogon, użyj programu Regedt32.exe do skonfigurowania następującej wartości rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Wartość rejestru: DnsAvoidRegisterRecords
Typ danych: REG_MULTI_SZ
W tej wartości określ listę mnemoników odpowiadających rekordom DNS, które nie powinny być rejestrowane przez ten kontroler domeny. Lista mnemoników zawiera:
Mnemonik         Typ  Rekord DNS
--------------------------------------------------------------------------
LdapIpAddress    A     <DnsDomainName>
Ldap             SRV   _ldap._tcp.<DnsDomainName>
LdapAtSite       SRV   _ldap._tcp.<SiteName>._sites.<DnsDomainName>
Pdc              SRV   _ldap._tcp.pdc._msdcs.<DnsDomainName>
Gc               SRV   _ldap._tcp.gc._msdcs.<DnsForestName>
GcAtSite         SRV   _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName>
DcByGuid         SRV   _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
GcIpAddress      A     _gc._msdcs.<DnsForestName>
DsaCname         CNAME <DsaGuid>._msdcs.<DnsForestName>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<DnsDomainName>
KdcAtSite        SRV    _kerberos._tcp.dc._msdcs.<SiteName>._sites.<DnsDomainName>
Dc               SRV   _ldap._tcp.dc._msdcs.<DnsDomainName>
DcAtSite         SRV   _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName>
Rfc1510Kdc       SRV   _kerberos._tcp.<DnsDomainName>
Rfc1510KdcAtSite SRV   _kerberos._tcp.<SiteName>._sites.<DnsDomainName>
GenericGc        SRV   _gc._tcp.<DnsForestName>
GenericGcAtSite  SRV   _gc._tcp.<SiteName>._sites.<DnsForestName>
Rfc1510UdpKdc    SRV   _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<DnsDomainName>
UWAGA: System Windows 2000 nie dodaje tej wartości do rejestru i nie jest konieczne ponowne uruchomienie usługi Netlogon. Jeżeli wartość rejestru DnsAvoidRegisterRecords została utworzona lub zmodyfikowana, gdy usługa Netlogon została zatrzymana lub w ciągu pierwszych 15 minut od uruchomienia usługi, odpowiednie aktualizacje DNS następują z niewielką zwłoką (jednak zwłoka nie trwa dłużej niż 15 minut od uruchomienia usługi Netlogon).

Rejestracje DNS rekordów A wykonywane przez usługę Netlogon mogą być też zmodyfikowane za pomocą wartości rejestru RegisterDnsARecords. Aby uzyskać informacje o sposobach wykonania tych czynności, kliknij numer artykułu poniżej w celu wyświetlenia artykułu z bazy wiedzy Microsoft Knowledge Base:
246804 Jak włączyć/wyłączyć dynamiczne rejestracje w usłudze DNS w systemie Windows 2000
Zwróć uwagę, że ustawienia wartości rejestru DnsAvoidRegisterRecords mają pierwszeństwo przed ustawieniami wartości rejestru RegisterDnsARecords. Dlatego, jeżeli mnemoniki LdapIpAddress i/lub GcIpAddress są używane w wartości rejestru DnsAvoidRegisterRecords, stosuje się następujące warunki:
  • Jeżeli rejestr DnsAvoidRegisterRecords zawiera wartość LdapIpAddress, a w rejestrze RegisterDnsARecords została ustawiona wartość 0x0, rekord (rekordy) A domeny DnsDomainName nie są rejestrowane przez usługę Netlogon.
  • Jeżeli rejestr DnsAvoidRegisterRecords nie zawiera wartości LdapIpAddress, a w rejestrze RegisterDnsARecords została ustawiona wartość 0x1, rekord (rekordy) A domeny DnsDomainName nie są rejestrowane przez usługę Netlogon.
  • Jeżeli rejestr DnsAvoidRegisterRecords zawiera wartość GcIpAddress, a w rejestrze RegisterDnsARecords została ustawiona wartość 0x0, _gc._msdcs. rekord (rekordy) A domeny DnsForestName nie są rejestrowane przez usługę Netlogon.
  • Jeżeli rejestr DnsAvoidRegisterRecords nie zawiera wartości GcIpAddress, a w rejestrze RegisterDnsARecords została ustawiona wartość 0x1, _gc._msdcs. rekord (rekordy) A domeny DnsForestName nie są rejestrowane przez usługę Netlogon.
Aby opisany wcześniej w tym artykule problem nie występował w środowisku, w którym zestaw kontrolerów domen i/lub serwerów katalogów globalnych (GC) został zlokalizowany centralnie, a dużą liczbę kontrolerów domen i/lub serwerów katalogów globalnych zlokalizowano w oddziałach, administrator może wyłączyć rejestrację niektórych rekordów DNS za pomocą usługi Netlogon na kontrolerach domen lub serwerów katalogów globalnych w oddziałach. W tej sytuacji lista mnemoników, które nie powinny być rejestrowane zawiera:
Rekordy specyficzne dla kontrolera domeny:

Mnemonik        Typ  Rekord DNS
---------------------------------------------------------------------------
LdapIpAddress   A    <DnsDomainName>
Ldap            SRV  _ldap._tcp.<DnsDomainName>
DcByGuid        SRV  _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
Kdc             SRV  _kerberos._tcp.dc._msdcs.<DnsDomainName>
Dc              SRV  _ldap._tcp.dc._msdcs.<DnsDomainName>
Rfc1510Kdc      SRV  _kerberos._tcp.<DnsDomainName>
Rfc1510UdpKdc   SRV  _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd     SRV  _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd  SRV  _kpasswd._udp.<DnsDomainName>
 
Rekordy specyficzne dla katalogu globalnego:

Mnemonik        Typ  Rekord DNS
------------------------------------------------------------------------
Gc              SRV  _ldap._tcp.gc._msdcs.<DnsForestName>
GcIpAddress     A    _gc._msdcs.<DnsForestName>
GenericGc       SRV  _gc._tcp.<DnsForestName>
Należy zwrócić uwagę, że te listy nie obejmują rekordów specyficznych dla witryny. Dlatego kontrolery domen i serwery katalogów globalnych w oddziałach można zlokalizować za pomocą rekordów specyficznych dla witryny, używanych zwykle przez lokalizatora kontrolera domeny. Jeżeli program wyszukuje kontrolery domen/katalogi globalne za pomocą typowych (nie specyficznych dla witryny) rekordów, takich jak wymienione wcześniej w tym artykule, znajdzie globalne kontrolery domen/katalogi w centralnej lokalizacji.

Aby zmniejszyć rozmiar odpowiedzi DNS na zapytania o rekordy, administrator może ograniczyć liczbę rekordów lokalizatorów kontrolerów domen, takich jak SRV i rekordy A zarejestrowane za pomocą usługi Netlogon dla tej samej typowej nazwy DNS (_ldap._tcp.dc._msdcs. DomainName), nawet wtedy, gdy w tej samej domenie jest mniej niż 800 kontrolerów domen.

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji "Informacje zawarte w tym artykule dotyczą". Ten problem został po raz pierwszy rozwiązany w dodatku Windows 2000 Service Pack 2.

Więcej informacji

Każdy serwer DNS nadrzędny wobec strefy DNS zintegrowanej z usługą Active Directory dodaje rekord NS. Domyślnie każdy kontroler domeny w domenie rejestruje rekord SRV dla zestawu nazw nie specyficznych dla witryny, takich jak „_ldap._tcp. nazwa_domeny ”, a rekord (rekordy) A mapuje nazwę domeny DNS usługi Active Directory do adresu (adresów) TCP/IP kontrolera domeny. Jeżeli serwer DNS próbuje wpisywać rekordy z tą samą dzieloną nazwą, po około 800 rekordach lokalny serwer zabezpieczeń (LSA) przez prawie 10 sekund wykorzystuje wszystkie zasoby procesora i rejestracja nie udaje się. Co godzinę usługa Netlogon próbuje ponownej rejestracji i znowu przynajmniej raz na godzinę pojawia się 100 procent wykorzystania procesora. W tej sytuacji rejestracje nazw nie dochodzą do skutku.

Aby uzyskać dodatkowe informacje dotyczące sposobów równoczesnego instalowania systemu Windows 2000 i poprawek dla systemu Windows 2000, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
249149 Instalowanie systemu Microsoft Windows 2000 i poprawek do systemu Windows 2000

Właściwości

Numer ID artykułu: 267855 - Ostatnia weryfikacja: 12 kwietnia 2006 - Weryfikacja: 5.4
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Słowa kluczowe: 
kbqfe kbhotfixserver kbbug kbenv kberrmsg kbfix kbnetwork kbwin2000presp2fix KB267855

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com