Problemas em controladores de domínio com Zonas de DNS integradas ao Active Directory

Traduções deste artigo Traduções deste artigo
ID do artigo: 267855 - Exibir os produtos aos quais esse artigo se aplica.
IMPORTANTE: Este artigo contém informações sobre a modificação do Registro. Antes de modificá-lo, faça backup do Registro e verifique se entendeu como restaurá-lo caso ocorra algum problema. Para obter mais informações sobre como fazer backup, restaurar e editar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Os registros do DNS (Domain Name System) do servidor e do localizador do controlador de domínio (DC) os registros A (registrados pelo Netlogon) e os registros NS (adicionados pelos servidores autorizados do DNS) em uma zona de DNS integrada ao Active Directory para alguns DCs podem não funcionar em um domínio que contém um grande número de DCs (geralmente acima de 800). Se a zona de DNS integrada ao Active Directory tem o mesmo nome do domínio do Active Directory, problemas com a inscrição dos registros A e dos registros NS na raiz da zona parecem ocorrer em um domínio com mais de 400 DCs. Além disso, é possível que uma ou mais das mensagens de erro a seguir sejam conectadas no log do evento:
Tipo do evento: Erro
Fonte do evento: DNS
Categoria do evento: Nenhum
Identificação do evento: 4011
Data: 6/28/2000
Hora: 7:50:13 PM
Usuário: N/A
Computador: MÁQUINA1
Descrição: O servidor do DNS não foi capaz de adicionar ou gravar uma atualização do nome do domínio xyz na zona xyz.example.com para o Active Directory. Verifique se o Active Directory está funcionando adequadamente e adicione ou atualize esse nome de domínio utilizando o console do DNS. Os dados do evento contém o erro.
Dados: 0000: 2a 23 00 00 *#..

Tipo do evento: Erro
Fonte do evento: DNS
Categoria do evento: Nenhum
Identificação do evento: 4015
Data: 6/28/2000
Hora: 7:50:13 PM
Usuário: N/A
Computador: MÁQUINA1
Descrição: O servidor do DNS encontrou um erro crítico a partir do Active Directory. VerIfique se o Active Directory está funcionando adequadamente. Os dados do evento contém o erro.
Dados: 0000: 0b 00 00 00 ....

O código do status final do evento 4015, 0x00000b, altera para o erro "LDAP_ADMIN_LIMIT_EXCEEDED Limite de administração no servidor se excedeu."

Tipo do evento: Aviso:
Fonte do evento: Replicação do NTDS
Categoria do evento: Replicação
Identificação do evento: 1093
Data: 6/28/2000
Hora: 7:33:24 PM
Usuário: Todos
Computador: MÁQUINA1
Descrição: Não é possível ao agente de replicação do diretório (DRA) aplicar alterações ao objeto DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC=com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11), porque as alterações fazem com que o objeto exceda o limite de tamanho do registro da base de dados. Será feito um backup da alteração de entrada para o atributo 9017e (dnsRecord), como tentativa de adequar a atualização. Além da alteração para o atributo não ser aplicada de forma local, o valor atual do atributo nesse sistema será enviado para todos os outros sistemas para que essa seja a versão definitiva. Isso tem o efeito de anular a alteração para o resto da empresa.
É possível que reversão seja reconhecida como: versão 5474, hora da alteração 2000-06-28 19:33.24 e USN de 2873104.

Tipo do evento: Informações
Fonte do evento: Replicação do NTDS
Categoria do evento: Replicação
Identificação do evento: 1101
Data: 6/28/2000
Hora: 7:33:24 PM
Usuário: Todos
Computador: MÁQUINA1
Descrição: O DRA (directory replication agent) aplicou com sucesso as alterações ao objeto DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC=xyz,DC=example,DC=com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11) após fazer o backup de uma ou mais das alterações. As mensagens precedentes indicarão quais atributos foram revertidos. Por favor, observe que isso terá o efeito de anular a alteração onde ela foi realizada, fazendo com que a atualização original não tenha efeito. O originador deve ser notificado de que a alteração não foi aceita pelo sistema.

Causa

Esse problema ocorre porque o Active Directory tem uma limitação de aproximadamente 800 valores que podem ser associados com um único objeto. Em uma zona de DNS integrada ao Active Directory, os nomes do DNS são representados por objetos dnsNode, e os registros do DNS são armazenados como valores no atributo dnsRecord de valores múltiplos, fazendo com que as mensagens de erro listadas anteriormente neste artigo ocorram.

Resolução

Para solucionar esse problema, utilize o service pack mais recente para o Windows 2000. Para obter informações adicionais, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
260910 Como obter o service pack mais recente do Windows 2000
A versão em inglês dessa correção deverá ter os seguintes atributos de arquivo ou posteriores:
   Data        Hora    Tamanho       Nome do Arquivo    
   ---------------------------------------------------------
   02/08/2001  01:32p  5,090,728  Q267855_W2K_SP2_x86_en.EXE  
				

Esse hotfix contém correções para os componentes do DNS e do Netlogon. As correções não removem a limitação no número de registros que podem ser adicionados para o mesmo nome de DNS, quando a zona de DNS está integrada ao Active Directory, mas fornecem um mecanismo para desativar registros desnecessários do DNS do servidor e de registros A e NS do localizador de DC, em uma zona de DNS integrada ao Active Directory.

Correção do DNS

Aplique o hotfix para cada servidor do DNS que está sendo executado em um DC. A porção do DNS do hotfix também contém uma versão atualizada do Dnscmd.exe, que está instalada na pastaSystemdrive:\Program Files\Support Tools. Para aplicar esse hotfix, utilize um dos métodos a seguir:

Método 1

Se você deseja especificar a lista de servidores do DNS que podem adicionar registros correspondentes a eles mesmos na zona especificada, escolha um servidor do DNS e execute Dnscmd.exe com a opção /AllowNSRecordsAutoCreation:
  • Para definir uma lista de endereços TCP/IP dos servidores do DNS que têm permissão para criar automaticamente registros NS para uma zona, utilize o comando dnscmd servername /config zonename /AllowNSRecordsAutoCreation IPList. Por exemplo:
    Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
  • Para limpar a lista de endereços TCP/IP dos servidores do DNS que têm permissão para criar automaticamente registros NS para uma zona e retornar a zona ao seu estado padrão, quando cada servidor primário do DNS adiciona a uma zona um registro do NS correspondente a ele, utilize o comando dnscmd servername /config zonename /AllowNSRecordsAutoCreation. Por exemplo:
    Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation
  • Para consultar a lista de endereços TCP/IP dos servidores do DNS que têm permissão para criar automaticamente registros do NS para uma zona, utilize o comando dnscmd servername /zoneinfo zonename /AllowNSRecordsAutoCreation. Por exemplo:
    Dnscmd NS1 /zoneinfo zonename.com /AllowNSRecordsAutoCreation
OBSERVAÇÃO: Execute esse comando em apenas um servidor do DNS. A replicação do Active Directory propaga as alterações para todos os servidores do DNS que estão executando em DCs, no mesmo domínio.

Em um ambiente no qual a maioria dos DCs do DNS, para um domínio, estão localizados em servidores locais e poucos estão em locais centrais, você pode desejar utilizar o comando Dnscmd descrito anteriormente neste artigo para definir a IPList para incluir apenas as DCs do DNS centrais. Ao fazer isso, apenas as DCs do DNS em locais centrais adicionam seus respectivos registros do NS para a zona de domínio do Active Directory.

Método 2:

AVISO: Caso utilize o Editor do Registro incorretamente, isso pode causar sérios problemas que exigirão a reinstalação do sistema operacional. A Microsoft não garante que seja possível resolver os problemas decorrentes do uso inadequado do Editor do Registro. Utilize-o por conta própria.

Se você deseja escolher qual servidor do DNS não adicionará registros do NS correspondentes a eles para qualquer zona do DNS integrada ao Active Directory, utilize o Editor de Registro (Regedt32.exe) para configurar o valor de registro a seguir em cada servidor do DNS afetado:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Valor do registro: DisableNSRecordsAutoCreation
Tipo de data: REG_DWORD
Intervalo de data: 0x0 | 0x1
Valor padrão: 0x0
Esse valor afeta todas as zonas do DNS integradas ao Active Directory. Os valores têm os significados a seguir:
Valor   Significado
----------------------------------------------------------------------
  0     O servidor do DNS cria automaticamente registros NS para todas as zonas de
        DNS integradas ao Directory a menos que qualquer zona, que é hospedada
        pelo servidor, contenha o atributo AllowNSRecordsAutoCreation 
        (descrito anteriormente neste artigo) que não 
        inclui o servidor. Nesse caso, o servidor utiliza a
        configuração AllowNSRecordsAutoCreation.

   1     O servidor do DNS cria automaticamente registros NS para todas as 
        zonas do DNS integradas ao Active Directory, independentemente da
        configuração AllowNSRecordsAutoCreation nas 
        zonas do DNS integradas ao Directory.
					
OBSERVAÇÃO: O Windows 2000 não adiciona esse valor ao Registro. Para aplicar as alterações a esse valor, o servidor do DNS deve ser reiniciado.

Se você deseja evitar que alguns servidores do DNS adicionem os registros correspondentes do NS às zonas do DNS integradas ao Active Directory que eles hospedam, você pode utilizar o valor de registro DisableNSRecordsAutoCreation descrito anteriormente neste artigo.

Observe que o valor do registro DisableNSRecordsAutoCreation está estabelecido para 0x1, nenhuma das zonas do DNS integradas ao Active Directory hospedadas pelo servidor do DNS terá os registros do NS. Por essa razão, se esse servidor deve adicionar seu próprio registro do NS para pelo menos uma zona do DNS integrada ao Active Directory que ele hospeda, não defina o valor de registro em 0x1.

Netlogon Fix

AVISO: Caso utilize o Editor do Registro incorretamente, isso pode causar sérios problemas que exigirão a reinstalação do sistema operacional. A Microsoft não garante que seja possível resolver os problemas decorrentes do uso inadequado do Editor do Registro. Utilize-o por conta própria.

A porção do Netlogon desse hotfix oferece grande controle aos administradores, como foi descrito anteriormente neste artigo. Você deve aplicar a correção para cada DC. Além disso, para evitar que uma DC faça atualizações dinâmicas de alguns registros do DNS que, por padrão, são atualizados dinamicamente pelo Netlogon, utilize o Regedt32.exe para configurar o valor de registro a seguir:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Valor do registro: DnsAvoidRegisterRecords
Tipo de data: REG_MULTI_SZ
Nesse valor, especifique a lista de mneumônicos correspondente aos registros do DNS que não devem ser inscritos por esse DC. OBSERVAÇÃO: Defina o valor para a lista de mnemonics enter-delimited que estão especificados na tabela a seguir. A lista de mneumônicos inclui:
Mnemonic         Type  DNS Record
--------------------------------------------------------------------------
LdapIpAddress    A     <DnsDomainName>
Ldap             SRV   _ldap._tcp.<DnsDomainName>
LdapAtSite       SRV   _ldap._tcp.<SiteName>._sites.<DnsDomainName>
Pdc              SRV   _ldap._tcp.pdc._msdcs.<DnsDomainName>
Gc               SRV   _ldap._tcp.gc._msdcs.<DnsForestName>
GcAtSite         SRV   _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName>
DcByGuid         SRV   _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
GcIpAddress      A     _gc._msdcs.<DnsForestName>
DsaCname         CNAME <DsaGuid>._msdcs.<DnsForestName>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<DnsDomainName>
KdcAtSite        SRV    _kerberos._tcp.dc._msdcs.<SiteName>._sites.<DnsDomainName>
Dc               SRV   _ldap._tcp.dc._msdcs.<DnsDomainName>
DcAtSite         SRV   _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName>
Rfc1510Kdc       SRV   _kerberos._tcp.<DnsDomainName>
Rfc1510KdcAtSite SRV   _kerberos._tcp.<SiteName>._sites.<DnsDomainName>
GenericGc        SRV   _gc._tcp.<DnsForestName>
GenericGcAtSite  SRV   _gc._tcp.<SiteName>._sites.<DnsForestName>
Rfc1510UdpKdc    SRV   _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<DnsDomainName>
				
OBSERVAÇÃO: O Windows 2000 não adiciona esse valor ao registro e não é necessário reiniciar o serviço de Netlogon. Se o valor de registro DnsAvoidRegisterRecords é criado ou modificado enquanto o serviço Netlogon está parado, ou durante os primeiros 15 minutos após o início do Netlogon, as atualizações do DNS apropriadas ocorrem com um pequeno atraso / demora (no entanto, a demora não excede 15 minutos após o início do Netlogon).

É possível modificar as inscrições do DNS dos registros A realizados pelo Netlogon, utilizando o valor do registro RegisterDnsARecords. Para obter mais informações, clique no número a seguir para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
246804 Como ativar/desativar registros de DNS dinâmicos do Windows 2000
Observe que as configurações do valor de registro DnsAvoidRegisterRecords têm prioridade sobre as configurações do valor de registro RegisterDnsARecords. Por isso, se os mneumônicos LdapIpAddress e/ou GcIpAddress são utilizados no valor de registro DnsAvoidRegisterRecords, as condições a seguir se aplicam:
  • Se DnsAvoidRegisterRecords contém LdapIpAddress e RegisterDnsARecords está definido em 0x0, DnsDomainName O(s) registro(s) A não são inscritos pelo Netlogon.
  • Se DnsAvoidRegisterRecords não contém LdapIpAddress e o RegisterDnsARecords está definido em 0x1, DnsDomainName O(s) registro(s) A não são inscritos pelo Netlogon.
  • Se DnsAvoidRegisterRecords contém GcIpAddress e RegisterDnsARecords está definido em 0x0, _gc._msdcs.DnsForestName O(s) registro(s) A não são inscritos pelo Netlogon.
  • Se DnsAvoidRegisterRecords não contém GcIpAddress e RegisterDnsARecords está definido em 0x1, _gc._msdcs.DnsForestName O(s) registro(s) A não são inscritos pelo Netlogon.
Para evitar que o problema descrito anteriormente neste artigo ocorra em um ambiente no qual um conjunto de servidores de DCs e/ou de GC (global catalog) estão localizados em um servidor central e um grande número de servidores de DCs e/ou de GC estão localizados em servidores locais, o administrador pode desativar o registro de alguns dos registros do DNS pelo Netlogon nos servidores locais. Nessa situação, a lista de mneumônicos que não devem ser registrados inclui:
DC-specific records:

Mnemonic        Type  DNS Record
---------------------------------------------------------------------------
LdapIpAddress   A    <DnsDomainName>
Ldap            SRV  _ldap._tcp.<DnsDomainName>
DcByGuid        SRV  _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
Kdc             SRV  _kerberos._tcp.dc._msdcs.<DnsDomainName>
Dc              SRV  _ldap._tcp.dc._msdcs.<DnsDomainName>
Rfc1510Kdc      SRV  _kerberos._tcp.<DnsDomainName>
Rfc1510UdpKdc   SRV  _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd     SRV  _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd  SRV  _kpasswd._udp.<DnsDomainName>
 
GC-specific records:

Mnemonic        Type  DNS Record
---------------------------------------------------------------------------
Gc              SRV  _ldap._tcp.gc._msdcs.<DnsForestName>
GcIpAddress     A    _gc._msdcs.<DnsForestName>
GenericGc       SRV  _gc._tcp.<DnsForestName>
				
Observe que essas listas não incluem os registros específicos de site. Por isso, os servidores de DCs e GC em servidores locais, estão localizados por registros de específicos de site, que são geralmente utilizados por um localizador DC. Se um programa procura por um DC/GC utilizando registros genéricos (non-site-specific) como qualquer um dos registros nas litas mencionadas neste artigo, ele encontra um DC/GC em um servidor central.

Um administrador também pode limitar o número de registros de localizador de DC como os registros de SRV e A registrados pelo Netlogon para o mesmo nome de DNS genérico (_ldap._tcp.dc._msdcs.DomainName), mesmo em uma situação com menos de 800 DCs no mesmo domínio, para reduzir o tamanho das respostas do DNS para consultas a tais registros.

Situação

A Microsoft confirmou que o problema existe nos produtos que estão listados no início deste artigo. Esse problema foi corrigido primeiro no Windows 2000 Service Pack 2.

Mais Informações

Todo servidor de DNS que é autorizado para uma zona de DNS integrada ao Active Directory, adiciona um registro NS. Por padrão, todo DC em um domínio inscreve um registro de servidor para um conjunto de nomes sem nome específico de site como o "_ldap._tcp.domain_name" e registro(s) A que altera(m) o nome do domínio do DNS do Active Directory para os endereços TCP/IP do DC. Quando um servidor do DNS tenta gravar um registro depois de aproximadamente 800 registros com o mesmo nome compartilhado, a LSA (Local Security Authority executa utilizando 100 por cento da CPU por aproximadamente 10 segundos e o registro não é realizado. O Netlogon tenta realizar esse registro novamente a cada hora; o uso especial de 100 por cento da CPU reaparece pelo menos uma vez a cada hora e os registros não são realizados.

Para obter informações adicionais sobre como instalar os hotfixes do Windows 2000 e do Windows 2000 ao mesmo tempo, clique no número a seguir para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
249149 Instalando o Microsoft Windows 2000 e hotfixes do Windows 2000

Propriedades

ID do artigo: 267855 - Última revisão: quinta-feira, 13 de abril de 2006 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbqfe kbhotfixserver kbbug kbdns kbenv kberrmsg kbfix kbnetwork kbwin2000presp2fix KB267855

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com