Active Directory 有許多網域控制器的問題整合 DNS 區域

文章翻譯 文章翻譯
文章編號: 267855 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy]。
全部展開 | 全部摺疊

在此頁中

徵狀

SRV 和網域控制站 (DC) 定位器 A 記錄 (由 Netlogon 註冊) 和 NS (新增的記錄所授權的 DNS 伺服器) 在 Active Directory 整合的 DNS 網域名稱系統 (DNS) 登錄區域的一些 DC 可能不適用於包含大量的 DC (通常是透過 800) 的網域。如果 Active Directory 整合 DNS 區域有同名的 Active Directory 網域名稱的 A 記錄登錄的問題,而且在區域根目錄的 NS 記錄似乎在具有多個 400 DC 網域中發生。而且,一或多個下列的錯誤訊息可能會記錄在事件記錄檔中:
事件類型: 錯誤
事件來源: DNS
事件類別: 無
事件識別碼: 4011
日期: 6/28/2000
時間: 7:50:13 PM
使用者: N/A
電腦: MACHINE1
描述: DNS 伺服器無法新增或更新的網域名稱 xyz 區域 xyz.example.com 中寫入 Active Directory。檢查 Active Directory 功能正常,並新增或更新使用 DNS 主控台這個網域名稱。 事件資料包含錯誤。
資料: 0000: 2a 23 00 00 * #

事件類型: 錯誤
事件來源: DNS
事件類別: 無
事件識別碼: 4015
日期: 6/28/2000
時間: 7:50:13 PM
使用者: N/A
電腦: MACHINE1
描述: DNS 伺服器程式發現從 Active Directory 的重大錯誤。請檢查 Active Directory 功能正常。事件資料包含錯誤。
資料: 0000: 0b 00 00 00....

將最終狀態程式碼從事件 4015,0x00000b,對應至錯誤 LDAP_ADMIN_LIMIT_EXCEEDED 管理伺服器上的限制已經超過]。

事件類型: 警告
事件來源: NTDS 複寫
事件類別: 複寫
事件識別碼: 1093年
日期: 6/28/2000
時間: 7:33:24 PM
使用者: 每個人
電腦: MACHINE1
描述: 目錄複寫代理程式 (DRA) 無法套用變更物件 DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example DC = com (GUID 77 d 76064-f49e-4762-ba8c-324b6c518f11) 因為連入的變更會導致物件超過資料庫的記錄的大小限制。屬性 9017e 連入的變更,企圖讓符合更新備份 (dnsRecord)。除了變更不會被套用在本機屬性目前在這個系統上屬性的值將會傳送至其他系統進行的明確版本。這有的 nullifying 到企業的其餘變更的效果。
反轉可能辨識,如下所示: 版本 5474、 變更 2000年-06-28 19:33.24 時間和 2873104 USN。

事件類型: 資訊
事件來源: NTDS 複寫
事件類別: 複寫
事件識別碼: 1101年
日期: 6/28/2000
時間: 7:33:24 PM
使用者: 每個人
電腦: MACHINE1
描述: 目錄複寫代理程式 (DRA) 便能順利套用至物件 DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System DC 變更 = xyz DC = 範例 DC = com (GUID 77 d 76064-f49e-4762-ba8c-324b6c518f11) 後累積出一或多個屬性的變更。前面的訊息會指出哪些屬性回復。請注意這將會需要的 nullifying 變更效果位置所做,造成原始的更新不才能生效。原始寄件者應該由系統不接受其變更會被通知。

發生的原因

Active Directory 有大約 800 可以與單一物件相關聯的值的限制,就會發生這個問題。在一個 Active Directory 整合 DNS] 區域中的 DNS 名稱會由 dnsNode 物件代表,而 DNS 記錄儲存為多重值的 dnsRecord 屬性上造成此錯誤訊息本文稍早所列就會發生的 dnsNode 物件中的值。

解決方案

如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
260910如何取得最新的 Windows 2000 Service Pack
此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date        Time    Size       File name
   ---------------------------------------------------------
   02/08/2001  01:32p  5,090,728  Q267855_W2K_SP2_x86_en.EXE  
				
此 Hotfix 包含 DNS 及 Netlogon 元件的修正程式。修正程式並不會移除在 Active Directory 整合 DNS 區域中的 Active Directory 與整合 DNS 區域時可以加入相同的 DNS 名稱,但提供機制,停用不必要的 DNS 登錄的 SRV 記錄及 DC 定位程式 A 記錄和 NS 記錄數目限制。

DNS 修正

將 Hotfix 套用至在 DC 上執行每個 DNS 伺服器。DNS 的 Hotfix 部分也包含 Dnscmd.exe Systemdrive 所安裝的更新的版本: \Program Files\Support [工具] 資料夾。套用此 Hotfix 之後,使用其中一個下列方法:

方法 1

如果您想要指定可以新增 NS 的 DNS 伺服器的清單記錄對應至這些指定的區域,選擇一個 DNS 伺服器,然後再執行與 Dnscmd.exe / AllowNSRecordsAutoCreation 切換:
  • 若要設定的具有自動建立每一個區域的 NS 記錄的權限的 DNS 伺服器的 TCP/IP 位址清單,使用 dnscmd servername /config zonename /AllowNSRecordsAutoCreation IPList 命令。例如:
    Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
  • 若要清除 [TCP/IP 位址,有自動建立每一個區域的 NS 記錄及回復到預設狀態的區域,當每個主要的 DNS 伺服器會自動加入至區域對應到它的 NS 記錄的權限的 DNS 伺服器的清單使用 dnscmd servername /config zonename /AllowNSRecordsAutoCreation 命令。例如:
    Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation
  • 若要查詢的具有自動建立每一個區域的 NS 記錄的權限的 DNS 伺服器的 TCP/IP 位址清單,使用 dnscmd servername /zoneinfo zonename /AllowNSRecordsAutoCreation 命令。例如:
    Dnscmd NS1 /zoneinfo zonename.com /AllowNSRecordsAutoCreation
注意: 只有一台 DNS 伺服器上的 [執行此命令。使用中的目錄複寫會傳播在相同網域中的 DC 執行的所有 DNS 伺服器所做的變更。

在環境中大部分的網域的 DNS 網域控制站位於分支辦公室中,並幾個位於中心位置,您可能要使用本文稍早所述的 Dnscmd 指令來設定要包含只位於中心位置的 DNS DC IPList。 如此一來,只位於中心位置的 DNS DC 會將其各自的 NS 記錄新增至 [Active Directory 網域區域。

方法 2

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄

如果要選擇哪一個 DNS 伺服器不會新增對應至本身任何 Active Directory 整合 DNS 區域的 NS 記錄使用 「 登錄編輯程式 」 (Regedt32.exe) 來設定每個受影響的 DNS 伺服器上的下列登錄值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

登錄值: DisableNSRecordsAutoCreation
資料型別: REG_DWORD
資料範圍: 0x0 | 0x1
預設值: 0x0
這個值會影響所有的 Active Directory 整合 DNS 區域。值的意義如下:
Value   Meaning
----------------------------------------------------------------------
  0     DNS server automatically creates NS records for all Active 
        Directory-integrated DNS zones unless any zone, that is hosted
        by the server, contains the AllowNSRecordsAutoCreation 
        attribute (described earlier in this article) that does not 
        include the server. In this situation, the server uses the 
        AllowNSRecordsAutoCreation configuration.

   1    DNS server does not automatically create NS records for all 
        Active Directory-integrated DNS zones, regardless of the 
        AllowNSRecordsAutoCreation configuration in the Active 
        Directory-integrated DNS zones.
					
注意: Windows 2000 並不會將此值新增到登錄。要將變更套用到這個值,您必須重新啟動 DNS 伺服器服務。

如果您想要防止特定的 DNS 伺服器新增其相對應的 NS 記錄以它們所裝載的 Active Directory 整合 DNS 區域,您可以使用本文稍早所述的 DisableNSRecordsAutoCreation 登錄值。

請注意是否 DisableNSRecordsAutoCreation 登錄值設定為 0x1,Active Directory 整合 DNS 區域的任何裝載的 DNS 伺服器將會包含其 NS 記錄。因此,如果這台伺服器必須將它自己的 NS 記錄新增到至少一個它所主控的 Active Directory 整合 DNS 區域,所以不需設定登錄值為 0x1。

Netlogon 修正

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄

此 Hotfix 的 Netlogon 部分提供系統管理員更大的控制項,如本文稍早所述。您應該將修正程式套用至每個 DC。而且,要防止 DC 嘗試某些 DNS 記錄的預設值由 Netlogon 動態更新的動態更新,請使用 Regedt32.exe 來設定下列登錄值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

登錄值: DnsAvoidRegisterRecords
資料型別: 字元
在這個值指定對應到不應由這個網域登錄的 DNS 記錄的助憶鍵的清單。注意: Enter 分隔助憶鍵在下列表格中指定的清單中設定值。助憶鍵清單包括:
Mnemonic         Type  DNS Record
--------------------------------------------------------------------------
LdapIpAddress    A     <DnsDomainName>
Ldap             SRV   _ldap._tcp.<DnsDomainName>
LdapAtSite       SRV   _ldap._tcp.<SiteName>._sites.<DnsDomainName>
Pdc              SRV   _ldap._tcp.pdc._msdcs.<DnsDomainName>
Gc               SRV   _ldap._tcp.gc._msdcs.<DnsForestName>
GcAtSite         SRV   _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName>
DcByGuid         SRV   _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
GcIpAddress      A     gc._msdcs.<DnsForestName>
DsaCname         CNAME <DsaGuid>._msdcs.<DnsForestName>
Kdc              SRV   _kerberos._tcp.dc._msdcs.<DnsDomainName>
KdcAtSite        SRV    _kerberos._tcp.dc._msdcs.<SiteName>._sites.<DnsDomainName>
Dc               SRV   _ldap._tcp.dc._msdcs.<DnsDomainName>
DcAtSite         SRV   _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName>
Rfc1510Kdc       SRV   _kerberos._tcp.<DnsDomainName>
Rfc1510KdcAtSite SRV   _kerberos._tcp.<SiteName>._sites.<DnsDomainName>
GenericGc        SRV   _gc._tcp.<DnsForestName>
GenericGcAtSite  SRV   _gc._tcp.<SiteName>._sites.<DnsForestName>
Rfc1510UdpKdc    SRV   _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd      SRV   _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd   SRV   _kpasswd._udp.<DnsDomainName>
				
附註: Windows 2000 並不會將此值新增到登錄,並且不需要重新啟動 Netlogon 服務。如果的 DnsAvoidRegisterRecords 建立或修改時 Netlogon 服務已停止或之後 Netlogon 前 15 分鐘內就已啟動、 適當的 DNS 更新登錄值的情況下,利用短暫的延遲 (不過,延遲是不得晚於 Netlogon 開始之後的 15 分鐘) 的地方。

由 Netlogon 執行 A 記錄的 DNS 登錄可能會藉由使用 RegisterDnsARecords 登錄值也會修改。 如需如何執行這項操作,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
246804如何啟用或停用在 Windows 2000 及 Windows Server 2003 中的 DNS 更新
留意 DnsAvoidRegisterRecords 登錄值設定會優先於 RegisterDnsARecords 登錄與方面要不註冊主機 (A) 記錄的值設定:
  • DnsAvoidRegisterRecords 包含 LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0x1
    在這種情況下兩者都未註冊。
  • DnsAvoidRegisterRecords 包含 GcIpAddress
    RegisterDnsARecords = 0x1
    在這種情況下登錄 LdapIpAddress,GcIpAddress 未註冊。
  • DnsAvoidRegisterRecords 包含 LdapIpAddress
    RegisterDnsARecords = 0x1
    在這種情況下,不註冊 LdapIpAddress 並且 GcIpAddress 已註冊
  • DnsAvoidRegisterRecords 不包含 LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0x1
    兩者都登錄在此情況下
  • DnsAvoidRegisterRecords 包含 LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0x0
    在這種情況下都未註冊
  • DnsAvoidRegisterRecords 包含 GcIpAddress
    RegisterDnsARecords = 0x0
    在這種情況下都未註冊
  • DnsAvoidRegisterRecords 包含 LdapIpAddress
    RegisterDnsARecords = 0x0
    在這種情況下都未註冊
  • DnsAvoidRegisterRecords 不包含 LdapIpAddress GcIpAddress
    RegisterDnsARecords = 0x0
    在這種情況下都未註冊
若要防止問題稍早本文所述的其中一組的 DC 及/或通用類別目錄 (GC) 伺服器位於中央位置和大量的網域控制站中和/或 GC 伺服器位於分公司、 系統管理員可以停用某些 DNS 記錄,由 [DC/GC 在分支辦公室的 Netlogon 的註冊的環境中發生。在這種情況下應該不會登錄的助憶鍵清單會包含:
DC-specific records:

Mnemonic        Type  DNS Record
---------------------------------------------------------------------------
LdapIpAddress   A    <DnsDomainName>
Ldap            SRV  _ldap._tcp.<DnsDomainName>
DcByGuid        SRV  _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
Kdc             SRV  _kerberos._tcp.dc._msdcs.<DnsDomainName>
Dc              SRV  _ldap._tcp.dc._msdcs.<DnsDomainName>
Rfc1510Kdc      SRV  _kerberos._tcp.<DnsDomainName>
Rfc1510UdpKdc   SRV  _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd     SRV  _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd  SRV  _kpasswd._udp.<DnsDomainName>
 
GC-specific records:

Mnemonic        Type  DNS Record
---------------------------------------------------------------------------
Gc              SRV  _ldap._tcp.gc._msdcs.<DnsForestName>
GcIpAddress     A    gc._msdcs.<DnsForestName>
GenericGc       SRV  _gc._tcp.<DnsForestName>
				
這些清單不包含特定站台的記錄的筆記。 因此,DC 分公司中的 GC 伺服器是位於由特定站台通常由 DC 定位程式的記錄。如果程式會利用本文稍早所列的清單中的泛用的 (非站台特定的) 記錄,例如任何記錄搜尋 DC/GC,在中央位置中找到 DC/GC。

系統管理員也可以選擇將限制的 DC 定位程式記錄,例如 SRV 數並由 Netlogon 註冊相同的 A 記錄泛用的 DNS 命名 (_ldap._tcp.dc._msdcs.DomainName) 甚至在案例中和在同一個網域來減少 DNS 大小少於 800 的 DC 這種記錄的查詢的回應。

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。 這個問題已經先在 Windows 2000 Service Pack 2 中獲得修正。

其他相關資訊

每個權限來管理 Active Directory 整合 DNS 區域的 DNS 伺服器會增加 NS 記錄。預設情況下,網域中的每個 DC 會註冊一組的非特定網站的名稱 (如"_ldap._tcp.domain_name"的 SRV 記錄到 TCP/IP 位址的 DC map(s) Active Directory DNS 網域名稱的記錄。當 DNS 伺服器會試著大約 800 記錄具有相同的共用名稱之後寫入一筆記錄時,本機安全性授權 (LSA) 是在 100 %CPU 使用率執行大約 10 秒鐘,並且未成功註冊。Netlogon 重試此登錄每小時 ; 100 %CPU 使用量特殊圖文集再次出現至少一次一個小時,嘗試的登錄做不會成功。

如需有關如何一次安裝 Windows 2000 和 Windows 2000 的 Hotfix 的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
249149安裝 Microsoft Windows 2000 和 Windows 2000 的 Hotfix

屬性

文章編號: 267855 - 上次校閱: 2010年4月15日 - 版次: 4.0
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbmt kbhotfixserver kbqfe kbbug kbdns kbenv kberrmsg kbfix kbnetwork kbwin2000presp2fix KB267855 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:267855
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com