Problemas com muitos controladores de domínio com o Active Directory zonas DNS integradas

Traduções de Artigos Traduções de Artigos
Artigo: 267855 - Ver produtos para os quais este artigo se aplica.
Importante
Este artigo aplica-se para o Windows 2000. Suporte para o Windows 2000 termina em 13 de Julho de 2010. O Windows 2000 End-of-Support Solution Center é um ponto de partida para planear a estratégia de migração do Windows 2000. Para mais informações consulte a Microsoft Support Lifecycle Policy.
Importante
Este artigo aplica-se para o Windows 2000. Suporte para o Windows 2000 termina em 13 de Julho de 2010. O Windows 2000 End-of-Support Solution Center é um ponto de partida para planear a estratégia de migração do Windows 2000. Para mais informações consulte a Microsoft Support Lifecycle Policy.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Domínio sistema de nomes (DNS) registos de SRV e domínio (DC) registos do localizador do controlador A (registados pelo Netlogon) e registos NS (adicionados por servidores de DNS autoritários) num DNS integradas do Active Directory da zona para alguns DC poderão não funcionar num domínio que contém um grande número de DC (normalmente mais de 800). Se a zona de DNS integrada no Active Directory tem o mesmo nome que o nome de domínio do Active Directory, problemas com o registo de registos A e registos de NS na zona raiz parecem ocorrer num domínio com mais de 400 DC. Além disso, uma ou mais das seguintes mensagens de erro poderão ser registado no registo de eventos:
Tipo de evento: erro
Origem do evento: DNS
Categoria do evento: nenhum
ID do evento: 4011
Data: 28/6/2000
Hora: 7:50:13 PM
Utilizador: N/d
Computador: MÁQUINA1
Descrição: O servidor de DNS não conseguiu adicionar ou escrever uma actualização de xyz de nome de domínio na zona xyz.example.com no Active Directory. Certifique-se de que o Active Directory está a funcionar correctamente e adicionar ou actualizar este nome de domínio utilizando a consola de DNS. Os dados do evento contêm o erro.
Dados: 0000: 2a 23 00 00 * #

Tipo de evento: erro
Origem do evento: DNS
Categoria do evento: nenhum
ID de evento: 4015
Data: 28/6/2000
Hora: 7:50:13 PM
Utilizador: N/d
Computador: MÁQUINA1
Descrição: O servidor de DNS encontrou um erro crítico do Active Directory. Certifique-se de que o Active Directory está a funcionar correctamente. Os dados do evento contêm o erro.
Dados: 0000: 0b 00 00 00....

O código de estado final do evento 4015, 0x00000b, mapeia a erro de "administração LDAP_ADMIN_LIMIT_EXCEEDED limite no servidor excedeu."

Tipo de evento: aviso
Origem do evento: Replicação de NTDS
Categoria do evento: Replicação
ID do evento: 1093
Data: 28/6/2000
Hora: 7:33:24 PM
Utilizador: ' todos '
Computador: MÁQUINA1
Descrição: O agente de replicação de directórios (DRA) não conseguiu aplicar as alterações ao objecto DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC = com (GUID 77 d 76064-f49e-4762-ba8c-324b6c518f11) porque as alterações recebidas fazer com que o objecto para exceder o limite de tamanho do registo da base de dados. A alteração receber 9017e do atributo (dnsRecord) será copiado numa tentativa de efectuar a actualização de ajustar. Para além da alteração ao atributo não a ser aplicado localmente, o valor do atributo neste sistema actual será enviado a todos os outros sistemas certificar de que o texto definitivo. Isto tem o efeito de nullifying a alteração para o resto da empresa.
A reversão pode ser reconhecida como segue: versão 5474, hora de alteração de 2000-06-28 19:33.24 e USN de 2873104.

Tipo de evento: Information
Origem do evento: NTDS replicação
Categoria do evento: replicação
ID do evento: 1101
Data: 28/6/2000
Hora: 7:33:24 PM
Utilizador: ' todos '
Computador: MÁQUINA1
Descrição: O agente de replicação de directórios (DRA) foi capaz de aplicar com êxito as alterações ao objecto DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC = xyz, DC = exemplo, DC = com (GUID 77 d 76064-f49e-4762-ba8c-324b6c518f11) depois de efectuar um ou mais das alterações de atributo de segurança. Precede mensagens indicará cujos atributos foram invertidos. Note que isto vai ter o efeito de nullifying a alteração em que foi efectuada, fazendo com que a actualização original não entrem em vigor. O ordenante deve ser notificado que a sua alteração não foi aceite pelo sistema.

Causa

Este problema ocorre porque o Active Directory tem uma limitação de aproximadamente 800 valores que podem ser associados a um único objecto. Uma zona de DNS integradas do Active Directory, nomes de DNS são representados por dnsNode objectos e, registos de DNS são armazenados como valores no atributo dnsRecord com valores múltiplos em objectos dnsNode, fazendo com que as mensagens de erro listadas anteriormente neste artigo ocorrer.

Resolução

Para resolver este problema, obtenha o service pack mais recente para o Windows 2000. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
260910Como obter o service pack mais recente do Windows 2000
A versão inglesa desta correcção deverá ter os seguintes atributos de ficheiro ou posteriores:
   Date        Time    Size       File name
   ---------------------------------------------------------
   02/08/2001  01:32p  5,090,728  Q267855_W2K_SP2_x86_en.EXE  
				
Esta correcção contém correcções para os componentes DNS e Netlogon. As correcções não removem a limitação do número de registos que podem ser adicionados para o mesmo nome DNS quando a zona de DNS é integrada no Active Directory, mas fornecem um mecanismo para desactivar registos DNS desnecessários de SRV e registos de localizador de DC e registos de NS numa zona DNS integradas do Active Directory.

Correcção DNS

Aplique a correcção em cada servidor de DNS um controlador de domínio. O DNS parte da correcção também contém uma versão actualizada do Dnscmd.exe que está instalado o Systemdrive: \Programas\Support Tools pasta. Depois de aplicar a correcção, utilize qualquer um dos seguintes métodos:

Método 1

Se pretender especificar uma lista de servidores DNS que pode adicionar NS registos próprias correspondente a uma zona especificada, escolha um servidor de DNS e execute Dnscmd.exe com o / AllowNSRecordsAutoCreation mudar:
  • Para definir uma lista de endereços TCP/IP dos servidores de DNS que têm permissão para criar automaticamente registos NS para uma zona, utilize o comando <a0>dnscmd servername /config zonename /AllowNSRecordsAutoCreation IPList. Por exemplo:
    Dnscmd NS1 /config zonename .com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
  • Para limpar a lista de endereços TCP/IP dos servidores de DNS que têm permissão para criar registos de NS para uma zona e voltar a zona o estado predefinido quando todos os servidores DNS primário adiciona automaticamente a uma zona um registo NS correspondentes a ele automaticamente, utilize o comando dnscmd servername /config zonename /AllowNSRecordsAutoCreation. Por exemplo:
    Dnscmd NS1 /config zonename .com /AllowNSRecordsAutoCreation
  • Para consultar a lista de endereços TCP/IP dos servidores de DNS que têm permissão para criar automaticamente registos NS para uma zona, utilize o comando dnscmd servername /zoneinfo zonename /AllowNSRecordsAutoCreation. Por exemplo:
    Dnscmd NS1 /zoneinfo zonename .com /AllowNSRecordsAutoCreation
Nota: Este comando Executar apenas num servidor de DNS. O Active Directory replicação propaga as alterações a todos os servidores de DNS que estão em execução no DC no mesmo domínio.

Num ambiente em que a maioria dos DC de DNS para um domínio estão localizados em escritórios das filiais e alguns estão localizados numa localização central, poderá utilizar o comando Dnscmd descrito anteriormente neste artigo para definir o IPList para incluir apenas os DC DNS centralmente localizado. Ao fazê-lo, apenas os DC DNS localizado centralmente adicionar seus respectivos registos de NS à zona de domínio do Active Directory.

Método 2

Importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows

Se pretender escolher qual o servidor DNS que não adiciona registos NS correspondentes para si próprios a qualquer zona DNS integradas do Active Directory, utilize o Editor de registo (Regedt32.exe) para configurar o seguinte valor de registo em cada servidor DNS afectado:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valor de registo: DisableNSRecordsAutoCreation
Tipo de dados: REG_DWORD
Intervalo de dados: 0 x 0 | 0 x 1
Valor predefinido: 0 x 0
Este valor afecta todas as zonas DNS integradas do Active Directory. Os valores têm os seguintes significados:
Value   Meaning
----------------------------------------------------------------------
  0     DNS server automatically creates NS records for all Active 
        Directory-integrated DNS zones unless any zone, that is hosted
        by the server, contains the AllowNSRecordsAutoCreation 
        attribute (described earlier in this article) that does not 
        include the server. In this situation, the server uses the 
        AllowNSRecordsAutoCreation configuration.

   1    DNS server does not automatically create NS records for all 
        Active Directory-integrated DNS zones, regardless of the 
        AllowNSRecordsAutoCreation configuration in the Active 
        Directory-integrated DNS zones.
					
Nota: o Windows 2000 não adiciona este valor ao registo. Para aplicar as alterações a este valor, é necessário reiniciar o serviço de servidor de DNS.

Se pretende impedir que determinados servidores DNS respectivos NS correspondentes a adicionar registos a zonas DNS integradas no Active Directory que eles anfitrião, pode utilizar o valor de registo DisableNSRecordsAutoCreation descrito anteriormente neste artigo.

Tenha em atenção que se o valor de registo DisableNSRecordsAutoCreation estiver definido como 0 x 1, nenhuma das zonas DNS integradas do Active Directory hospedados pelo que servidor de DNS contém os registos de NS. Por conseguinte, se este servidor deve adicionar seu próprio registo NS a pelo menos uma zona DNS integrada no Active Directory que hospeda, não defina o valor de registo para 0 x 1.

Correcção do Netlogon

Importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows

A parte do Netlogon desta correcção concede aos administradores maior controlo, conforme é descrito anteriormente neste artigo. Deve aplicar a correcção para todos os DC. Além disso, para impedir que um controlador de domínio de tentar efectuar actualizações dinâmicas de determinados registos DNS que, por predefinição, dinamicamente são actualizados pelo Netlogon, utilize Regedt32.exe para configurar o seguinte valor de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor de registo: DnsAvoidRegisterRecords
Tipo de dados: REG_MULTI_SZ
Neste valor, especifique a lista de mnemónicas correspondente os registos de DNS que não devem ser registados por este DC. Nota: defina o valor para a lista de mnemónicas delimitado introduzido especificados na tabela seguinte. A lista de mnemónicas inclui:
Mnemonic         Type  DNS Record
--------------------------------------------------------------------------
LdapIpAddress    A     <DnsDomainName>
Ldap             SRV   _ldap._tcp.<DnsDomainName>
LdapAtSite       SRV   _ldap._tcp.<SiteName>._sites.<DnsDomainName>
Pdc              SRV   _ldap._tcp.pdc._msdcs.<DnsDomainName>
Gc               SRV   _ldap._tcp.gc._msdcs.<DnsForestName>
GcAtSite         SRV   _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName>
DcByGuid         SRV   _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
GcIpAddress      A     gc._msdcs.<DnsForestName>
DsaCname         CNAME <DsaGuid>._msdcs.<DnsForestName>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<DnsDomainName>
KdcAtSite        SRV    _kerberos._tcp.dc._msdcs.<SiteName>._sites.<DnsDomainName>
Dc               SRV   _ldap._tcp.dc._msdcs.<DnsDomainName>
DcAtSite         SRV   _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName>
Rfc1510Kdc       SRV   _kerberos._tcp.<DnsDomainName>
Rfc1510KdcAtSite SRV   _kerberos._tcp.<SiteName>._sites.<DnsDomainName>
GenericGc        SRV   _gc._tcp.<DnsForestName>
GenericGcAtSite  SRV   _gc._tcp.<SiteName>._sites.<DnsForestName>
Rfc1510UdpKdc    SRV   _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<DnsDomainName>
				
Nota: o Windows 2000 não adiciona este valor ao registo e não é necessário reiniciar o serviço Netlogon. Se o DnsAvoidRegisterRecords valor de registo é criado ou modificado enquanto o serviço Netlogon é parado ou nos primeiros 15 minutos após Netlogon é iniciadas, caso actualizações de DNS seja efectuado com um pequeno atraso (no entanto, o atraso não seja posterior a 15 minutos depois de inicia o Netlogon).

Os registos DNS de registos efectuados pelo Netlogon de podem ser também ser modificadas utilizando o valor de registo RegisterDnsARecords. Para mais informações como fazê-lo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
246804Como activar ou desactivar as actualizações de DNS no Windows 2000 e no Windows Server 2003
Tenha em atenção que as definições de valor de registo DnsAvoidRegisterRecords têm prioridade sobre registo RegisterDnsARecords definições de valor com que se refere a não registar o anfitrião registo (A):
  • DnsAvoidRegisterRecords contém LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0 x 1
    Neste caso, ambas não estão registadas.
  • DnsAvoidRegisterRecords contém GcIpAddress
    RegisterDnsARecords = 0 x 1
    LdapIpAddress está registado neste caso, e GcIpAddress não está registado.
  • DnsAvoidRegisterRecords contém LdapIpAddress
    RegisterDnsARecords = 0 x 1
    LdapIpAddress não está registado neste caso, e GcIpAddress é registado.
  • DnsAvoidRegisterRecords não contém LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0 x 1
    Neste caso, ambos são registados.
  • DnsAvoidRegisterRecords contém LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0 x 0
    Neste caso, ambas não estão registadas.
  • DnsAvoidRegisterRecords contém GcIpAddress
    RegisterDnsARecords = 0 x 0
    Neste caso, ambas não estão registadas.
  • DnsAvoidRegisterRecords contém LdapIpAddress
    RegisterDnsARecords = 0 x 0
    Neste caso, ambas não estão registadas.
  • DnsAvoidRegisterRecords não contém LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0 x 0
    Neste caso, ambas não estão registadas.
Para evitar o problema descrito anteriormente neste artigo ocorra num ambiente em que um conjunto de DC e/ou servidores de catálogo global (GC) está localizado numa localização central e um grande número de DC e/ou servidores de GC estão localizados em sucursais, o administrador pode desactivar alguns dos registos de DNS pelo Netlogon no DC/GC nos escritórios de ramo de registo. Nesta situação, a lista de mnemónicas não devem ser registadas inclui:
DC-specific records:

Mnemonic        Type  DNS Record
---------------------------------------------------------------------------
LdapIpAddress   A    <DnsDomainName>
Ldap            SRV  _ldap._tcp.<DnsDomainName>
DcByGuid        SRV  _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
Kdc             SRV  _kerberos._tcp.dc._msdcs.<DnsDomainName>
Dc              SRV  _ldap._tcp.dc._msdcs.<DnsDomainName>
Rfc1510Kdc      SRV  _kerberos._tcp.<DnsDomainName>
Rfc1510UdpKdc   SRV  _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd     SRV  _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd  SRV  _kpasswd._udp.<DnsDomainName>
 
GC-specific records:

Mnemonic        Type  DNS Record
---------------------------------------------------------------------------
Gc              SRV  _ldap._tcp.gc._msdcs.<DnsForestName>
GcIpAddress     A    gc._msdcs.<DnsForestName>
GenericGc       SRV  _gc._tcp.<DnsForestName>
				
nota que essas listas não incluem os registos específicos de local. Por conseguinte, os DC e servidores de GC filiais estão localizados por registos específicos de local que são normalmente utilizados por um localizador de DC. Se procura um programa para um DC/GC utilizando genéricos (não local-) registos específicos, tais como os registos nas listas que estão listadas anteriormente neste artigo, localiza um DC/GC na localização central.

Um administrador também pode optar por limitar o número dos registos do localizador de DC, tais como SRV e registos de registados pelo Netlogon para o mesmo DNS genéricos nome (_ldap._tcp.dc._msdcs. DomainName), mesmo num cenário com menos 800 DC no mesmo domínio, para reduzir o tamanho do DNS respostas a consultas de registos deste tipo.

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a". Este problema foi corrigido pela primeira vez no Windows 2000 Service Pack 2.

Mais Informação

Cada servidor de DNS que seja autoritário para uma zona DNS no Active Directory integrado adiciona um registo NS. Por predefinição, todos os DC num domínio regista um registo de SRV para um conjunto de nomes não-site-específico como, por exemplo, "_ldap._tcp. domain_name" e um registo (s) que map(s) o nome de domínio de DNS do Active Directory para os endereços TCP/IP do DC. Quando um servidor de DNS tenta escrever um registo depois de aproximadamente 800 registos com o mesmo nome partilhado, autoridade de segurança local (LSA) é executado na utilização da CPU de 100 por cento durante cerca de 10 segundos e o registo não terá êxito. Netlogon repete este registo hora a hora; o pico de utilização da CPU 100 por cento reaparece, pelo menos uma hora e os registos tentados não têm êxito.

Para obter mais informações sobre como instalar o Windows 2000 e as correcções do Windows 2000 ao mesmo tempo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
249149Instalar correcções do Microsoft Windows 2000 e Windows 2000

Propriedades

Artigo: 267855 - Última revisão: 15 de abril de 2010 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbmt kbhotfixserver kbqfe kbbug kbdns kbenv kberrmsg kbfix kbnetwork kbwin2000presp2fix KB267855 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 267855

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com