Неполадки, возникающие на большинстве контроллеров домена с зонами DNS, интегрированными в Active Directory

Переводы статьи Переводы статьи
Код статьи: 267855 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать архивную копию системного реестра и изучить процедуру восстановления системного реестра. За дополнительной информацией по использованию редактора реестра обратитесь к следующей статье Microsoft Knowledge Base:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Проблема

В домене, содержащем большое количество контроллеров домена (обычно более 800), для некоторых контроллеров в зоне DNS, интегрированной в Active Directory, может не выполняться регистрация DNS-имен записей службы (SRV) и адреса (A) локаторов контроллера домена (DC) (зарегистрированных службой Netlogon) и записей NS (добавленных удостоверяющими DNS-серверами). Если зона DNS, интегрированная в Active Directory, имеет имя, аналогичное имени домена Active Directory, в домене, содержащем более 400 контроллеров домена, могут возникнуть проблемы с регистрацией записей адреса (A) и записей NS в корневой зоне. В журнале событий могут появиться одно или несколько из следующих сообщений:
Тип: Ошибка
Источник: DNS
Категория: Отсутствует
Код события: 4011
Дата: 6/28/2000
Время: 19:50:13
Пользователь: нет данных
Компьютер: MACHINE1
Описание: DNS-серверу не удалось добавить или записать обновление имени xyz домена в зоне xyz.example.com в Active Directory. Убедитесь, что Active Directory функционирует нормально, и добавьте или обновите имя домена с помощью консоли DNS. Данные события содержат сведения об ошибке.
Значение: 0000: 2a 23 00 00 *#..

Тип: Ошибка
Источник: DNS
Категория: Отсутствует
Код события: 4015
Дата: 6/28/2000
Время: 19:50:13
Пользователь: нет данных
Компьютер: MACHINE1
Описание: DNS-сервер обнаружил критическую ошибку Active Directory. Убедитесь, что Active Directory работает правильно. Данные события содержат сведения об ошибке.
Значение: 0000: 0b 00 00 00 ....

Окончательный код состояния события 4015, 0x00000b, соответствует ошибке «LDAP_ADMIN_LIMIT_EXCEEDED Превышен предел полномочий на сервере».

Тип: Предупреждение
Источник: NTDS Replication
Категория: Репликация
Код события: 1093
Дата: 6/28/2000
Время: 19:33:24
Пользователь: Все
Компьютер: MACHINE1
Описание: Агенту репликации каталога не удалось применить изменения к объекту DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC=com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11) поскольку из-за входящих изменений объект превысил предельную длину записи базы данных. Входящие изменения атрибута 9017e (dnsRecord) будут отклонены, чтобы размер обновления не превышал предельно допустимый. Помимо того, что изменение атрибута применяется не локально, текущее значение атрибута в этой системе будет разослано во все прочие системы, чтобы сделать это значение окончательным. Вследствие этого все прочие изменения в предприятии аннулируются.
Аннулирование можно узнать по следующим данным: версия 5474, время изменения 28.06.2000 19:33.24, USN 2873104.

Тип: Информация
Источник: NTDS Replication
Категория: Репликация
Код события: 1101
Дата: 6/28/2000
Время: 19:33:24
Пользователь: Все
Компьютер: MACHINE1
Описание: Агенту репликации каталога (DRA) удалось успешно применить изменения к объекту DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC=xyz,DC=example,DC=com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11) после отмены одного или нескольких изменений атрибутов. В предыдущих сообщениях содержатся сведения о том, изменения каких атрибутов были отменены. При этом изменение будет аннулировано там, где оно было сделано, вследствие чего изначальное обновление не будет выполнено. Источник должен быть оповещен, что изменение этих атрибутов не принято системой.

Причина

Эта проблема связана с тем, что Active Directory имеет ограничение: с одним объектом можно связать приблизительно 800 значений. В зоне DNS, интегрированной в Active Directory, DNS-имена представлены объектами dnsNode, а записи DNS хранятся в виде значений в многозначном атрибуте dnsRecord объектов dnsNode, что приводит к появлению сообщений об ошибках, описанных выше.

Решение

Для решения этой проблемы необходимо получить последний пакет обновления для Microsoft Windows 2000. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
260910 Как получить последний пакет обновления для Windows 2000
Английская версия данного исправления содержит следующие или более поздние версии файлов.
   Дата         Время   Размер     Имя файла
   ---------------------------------------------------------
   02-авг-2001  13:32   5 090 728  Q267855_W2K_SP2_x86_en.EXE
				

Это исправление устраняет ошибки в компонентах DNS и Netlogon. Эти исправления не снимают ограничения на количество записей, которые могут быть добавлены для одного и того же DNS-имени, когда зона DNS интегрирована в Active Directory, однако позволяет заблокировать регистрацию ненужных DNS-имен записей адреса (A) и служб (SRV) локатора контроллера домена и записей NS в зоне DNS, интегрированной в Active Directory.

Исправление DNS

Установите исправление на каждый DNS-сервер, запущенный на контроллере домена. Часть этого исправления, относящаяся к DNS, содержит также обновленную версию файла Dnscmd.exe, который установлен в папке системный_диск:\Program Files\Support Tools. При установке исправления используйте один из следующих способов:

Способ 1

Если требуется указать список DNS-серверов, которые могут добавлять записи NS, соответствующие им в определенной зоне, выберите один DNS-сервер и запустите файл Dnscmd.exe с ключом /AllowNSRecordsAutoCreation:
  • Чтобы задать список адресов TCP/IP DNS-серверов, которые имеют разрешение на автоматическое создание записей NS для зоны, используйте команду dnscmd имя_сервера /config имя_зоны /AllowNSRecordsAutoCreation IPList. Например:
    Dnscmd NS1 /config имя_зоны.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
  • Чтобы создать список адресов TCP/IP DNS-серверов, которые имеют разрешение на автоматическое создание записей NS для зоны и возвращение зоны в состояние по умолчанию, когда любой основной DNS-сервер автоматически добавляет в зону запись NS, соответствующую этому серверу, используйте команду dnscmd имя_сервера /config имя_зоны /AllowNSRecordsAutoCreation. Например:
    Dnscmd NS1 /config имя_зоны.com /AllowNSRecordsAutoCreation
  • Чтобы запросить список адресов TCP/IP DNS-серверов, которые имеют разрешение на автоматическое создание записей NS для зоны, используйте команду dnscmd имя_сервера /zoneinfo имя_зоны /AllowNSRecordsAutoCreation. Например:
    Dnscmd NS1 /zoneinfo имя_зоны.com /AllowNSRecordsAutoCreation
Примечание. Запускайте эту команду только на одном DNS-сервере. Репликация Active Directory распространяет изменения на все DNS-сервера, запущенные на контроллерах домена, в том же домене.

В среде, в которой большинство контроллеров домена с DNS-серверами находятся в филиалах и лишь несколько — в центральном отделении, можно использовать команду Dnscmd, описанную выше в этой статье, чтобы параметр IPList содержал список центральных контроллеров домена с DNS-серверами. Таким образом, только центральные контроллеры домена с DNS-серверами добавят соответствующие записи NS в зону домена Active Directory.

Способ 2

Внимание! Некорректное использование редактора системного реестра может привести операционную систему в неработоспособное состояние и потребовать проведения полной ее переустановки. Microsoft не несет ответственности за некорректное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Если требуется выбрать DNS-сервер, который не добавляет соответствующие записи NS в какую-либо зону DNS, интегрированную в Active Directory, используйте редактор реестра (Regedt32.exe) для настройки следующего параметра реестра на каждом требуемом DNS-сервере:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

Параметр реестра: DisableNSRecordsAutoCreation
Тип данных: REG_DWORD
Диапазон данных: 0x0 | 0x1
Значение по умолчанию: 0x0
Этот параметр влияет на все зоны DNS, интегрированные в Active Directory. Эти значения имеют следующий смысл:
Значение   Смысл
----------------------------------------------------------------------
  0     DNS-сервер автоматически создает записи NS для всех зон DNS,
        интегрированных в Active Directory, до тех пор, пока любая зона,
        размещенная на сервере, содержит атрибут AllowNSRecordsAutoCreation
        (описанный ранее в этой статье), в котором отсутствует
        сервер. В этом случае сервер использует конфигурацию
        AllowNSRecordsAutoCreation.

   1    DNS-сервер не создает записи NS автоматически для всех зон DNS,
        интегрированных в Active Directory, вне зависимости от конфигурации
        AllowNSRecordsAutoCreation в зоне DNS, интегрированной в
        Active Directory.
					
Примечание. Windows 2000 не добавляет этот параметр в реестр. Чтобы изменить этот параметр, необходимо перезапустить службу DNS-сервера.

Если необходимо запретить некоторым DNS-серверам добавлять соответствующие записи NS в зоны DNS, интегрированные в Active Directory, которые размещены на этих серверах, используйте параметр реестра DisableNSRecordsAutoCreation, описанный выше в этой статье.

Если для параметра реестра DisableNSRecordsAutoCreation задано значение 0x1, ни одна из зон DNS, интегрированных в Active Directory, которые размещены на DNS-серверах, не будет содержать записей NS. Таким образом, если этот сервер должен добавить собственную запись NS, по крайней мере, в одну зону DNS, интегрированную в Active Directory, не задавайте для указанного параметра значение 0x1.

Исправление для службы Netlogon

Внимание! Некорректное использование редактора системного реестра может привести операционную систему в неработоспособное состояние и потребовать проведения полной ее переустановки. Microsoft не несет ответственности за некорректное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Часть исправления, относящаяся к службе Netlogon, предоставляет администратору расширенные возможности управления, как описано ранее в этой статье. Необходимо установить это исправление на каждый контроллер домена. Чтобы предотвратить попытки динамического обновления определенных записей DNS контроллера домена, которые по умолчанию динамически обновляются службой Netlogon, используйте программу Regedt32.exe для настройки следующего параметра реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Параметр реестра: DnsAvoidRegisterRecords
Тип данных: REG_MULTI_SZ
В этом параметре укажите список мнемоник, соответствующих записям DNS, которые не должны регистрироваться этим контроллером домена. Примечание. Присвойте параметру список мнемоник с разделяющим символом ввода, приведенный в таблице. Список мнемоник содержит следующие записи.
Мнемоника         Тип  Запись DNS
--------------------------------------------------------------------------
LdapIpAddress    A     <имя_домена_dns>
Ldap             SRV   _ldap._tcp.<имя_домена_dns>
LdapAtSite       SRV   _ldap._tcp.<имя_узла>._sites.<имя_домена_dns>
Pdc              SRV   _ldap._tcp.pdc._msdcs.<имя_домена_dns>
Gc               SRV   _ldap._tcp.gc._msdcs.<имя_домена_dns>
GcAtSite         SRV   _ldap._tcp.<имя_узла>._sites.gc._msdcs.<имя_домена_dns>
DcByGuid         SRV   _ldap._tcp.<guid_домена>.domains._msdcs.<имя_леса_dns>
GcIpAddress      A     _gc._msdcs.<имя_леса_dns>
DsaCname         CNAME <dsa_guid>._msdcs.<имя_леса_dns>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<имя_домена_dns>
KdcAtSite        SRV    _kerberos._tcp.dc._msdcs.<имя_узла>._sites.<имя_домена_dns>
Dc               SRV   _ldap._tcp.dc._msdcs.<имя_домена_dns>
DcAtSite         SRV   _ldap._tcp.<имя_узла>._sites.dc._msdcs.<имя_домена_dns>
Rfc1510Kdc       SRV   _kerberos._tcp.<имя_домена_dns>
Rfc1510KdcAtSite SRV   _kerberos._tcp.<имя_узла>._sites.<имя_домена_dns>
GenericGc        SRV   _gc._tcp.<имя_леса_dns>
GenericGcAtSite  SRV   _gc._tcp.<имя_узла>._sites.<имя_леса_dns>
Rfc1510UdpKdc    SRV   _kerberos._udp.<имя_домена_dns>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<имя_домена_dns>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<имя_домена_dns>
				
Примечание. Windows 2000 не добавляет этот параметр в реестр. Не нужно перезапускать службу Netlogon. Если параметр реестра DnsAvoidRegisterRecords создается или изменяется, когда служба Netlogon остановлена или в первые 15 минут после запуска службы Netlogon, соответствующие обновления DNS вступят в силу с небольшой задержкой (задержка не превышает 15 минут после запуска службы Netlogon).

Регистрацию DNS-имен записей адреса (A), выполненную службой Netlogon, можно также изменить с помощью параметра реестра RegisterDnsARecords. За дополнительными сведениями обратитесь к следующей статье Microsoft Knowledge Base:
246804 Включение и выключение динамической DNS-регистрации в Windows 2000
Обратите внимание, что значения параметра реестра DnsAvoidRegisterRecords имеют более высокий приоритет по сравнению со значениями параметра реестра RegisterDnsARecords. Поэтому если в параметре реестра DnsAvoidRegisterRecords используются мнемоники LdapIpAddress или GcIpAddress, соблюдаются следующие условия:
  • Если параметр DnsAvoidRegisterRecords содержит мнемонику LdapIpAddress, и мнемоника RegisterDnsARecords имеет значение 0x0, записи адреса (A)имя_домена_dns не регистрируются службой Netlogon.
  • Если параметр DnsAvoidRegisterRecords не содержит мнемонику LdapIpAddress, и мнемоника RegisterDnsARecords имеет значение 0x1, записи адреса (A)имя_домена_dns не регистрируются службой Netlogon.
  • Если параметр DnsAvoidRegisterRecords содержит мнемонику GcIpAddress, и мнемоника RegisterDnsARecords имеет значение 0x0, записи адреса (A) _gc._msdcs.имя_леса_dns не регистрируются службой Netlogon.
  • Если параметр DnsAvoidRegisterRecords не содержит мнемонику GcIpAddress, и мнемоника RegisterDnsARecords имеет значение 0x1, записи адреса (A) _gc._msdcs.имя_леса_dns не регистрируются службой Netlogon.
Чтобы предотвратить появление проблемы, описанной ранее в этой статье, в среде, в которой несколько контроллеров домена или серверов глобальных каталогов (GC) размещены в центральном отделении, а большая часть контроллеров домена или серверов глобальных каталогов находится в филиалах, администратор может заблокировать некоторые записи DNS с помощью службы Netlogon для контроллеров домена или глобальных каталогов в филиалах. В этом случае список мнемоник, которые не должны быть зарегистрированы, выглядит следующим образом.
Записи, относящиеся к контроллеру домена:

Мнемоника         Тип  Запись DNS
---------------------------------------------------------------------------
LdapIpAddress    A     <имя_домена_dns>
Ldap             SRV   _ldap._tcp.<имя_домена_dns>
DcByGuid         SRV   _ldap._tcp.<guid_домена>.domains._msdcs.<имя_леса_dns>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<имя_домена_dns>
Dc               SRV   _ldap._tcp.dc._msdcs.<имя_домена_dns>
Rfc1510Kdc       SRV   _kerberos._tcp.<имя_домена_dns>
Rfc1510UdpKdc    SRV   _kerberos._udp.<имя_домена_dns>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<имя_домена_dns>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<имя_домена_dns>
 
Записи, относящиеся к глобальному каталогу:

Мнемоника         Тип  Запись DNS
---------------------------------------------------------------------------
Gc               SRV   _ldap._tcp.gc._msdcs.<имя_домена_dns>
GcIpAddress      A     _gc._msdcs.<имя_леса_dns>
GenericGc        SRV   _gc._tcp.<имя_леса_dns>
				
Обратите внимание, что этот список не содержит записи, относящиеся к узлу. Поэтому контроллеры домена и серверы глобальных каталогов в филиалах располагаются на основе записей, относящихся к узлу, которые обычно используются локатором контроллера домена. Если программа ищет определенный контроллер домена или глобальный каталог по общим (не относящимся к узлу) записям, например по тем записям, которые приведены в списках ранее в этой статье, будет найден контроллер домена или глобальный каталог, расположенный в центральном отделении.

Чтобы уменьшить размер ответов DNS на запросы, связанные с данными записями, администратор также может ограничить количество записей локатора контроллера домена, например записей службы (SRV) и адреса (A), зарегистрированных службой Netlogon для одного и того же общего имени DNS (_ldap._tcp.dc._msdcs.имя_домена), даже при наличии в одном домене менее 800 контроллеров домена.

Статус

Данное поведение является подтвержденной ошибкой продуктов Microsoft, перечисленных в начале данной статьи. Первое исправление этой проблемы появилось в пакете обновления 2 (SP-2) для Windows 2000.

Дополнительная информация

Любой DNS-сервер, который является полномочным сервером для зоны DNS, интегрированной в Active Directory, добавляет запись NS. По умолчанию любой контроллер домена, расположенный в домене, регистрирует запись службы (SRV) для набора не связанных с узлом имен, таких как «_ldap._tcp.имя_домена», и записи адреса (A), которые связывают DNS-имя домена Active Directory c адресом или адресами TCP/IP контроллера домена. Когда DNS-сервер пытается внести запись после приблизительно 800 записей с одним и тем же общим именем, локальный администратор безопасности (Local Security Authority, LSA) загружает центральный процессор на 100% в течение 10 секунд. Регистрация не выполняется. Служба Netlogon пытается выполнить регистрацию каждый час; пик 100-процентной загрузки центрального процессора появляется, по крайней мере, раз в час, а регистрацию выполнить не удается.

За дополнительной информацией об одновременной установке Windows 2000 и исправлений для данной операционной системы обратитесь к следующей статье Microsoft Knowledge Base:
249149 Установка Microsoft Windows 2000 и исправлений для Windows 2000

Свойства

Код статьи: 267855 - Последний отзыв: 13 апреля 2006 г. - Revision: 3.1
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbqfe kbhotfixserver kbbug kbdns kbenv kberrmsg kbfix kbnetwork kbwin2000presp2fix KB267855

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com