Utilizzo di DNSLint per risolvere i problemi relativi alla replica di Active Directory

Traduzione articoli Traduzione articoli
Identificativo articolo: 321046 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come utilizzare l'utilitÓ DNSLint per risolvere i problemi relativi alla replica di Active Directory.

Active Directory Ŕ un database distribuito, utilizzato per memorizzare le informazioni relative agli oggetti di una rete e per consentire agli utenti di accedere a tali informazioni. La replica di Active Directory Ŕ utilizzata per sincronizzare le repliche delle partizioni tra i controller di dominio in un insieme di strutture di Active Directory. Questo processo di replica consente agli utenti di accedere alle informazioni da qualsiasi punto della rete. Quando il processo di replica non funziona come previsto, potrebbe verificarsi un'interruzione dei servizi che si basano sulle informazioni di Active Directory, vale a dire accesso al dominio e alle risorse di rete, quali file e stampanti.

La replica di Active Directory si basa sul sistema DNS (Domain Name System) per risolvere i nomi negli indirizzi IP in base alle esigenze. Un controller di dominio di Active Directory registra in genere una varietÓ di record DNS con il relativo server DNS configurato all'avvio del servizio netlogon. DNSLint Ŕ un'utilitÓ Microsoft Windows che pu˛ essere installata nei sistemi operativi Windows 2000 e versioni successive. Tra gli altri impieghi, pu˛ consentire di risolvere i problemi di replica di Active Directory e, in modo specifico, pu˛ consentire di determinare due elementi:
  • Se tutti i server DNS che si pensa siano autorevoli per l'elemento principale di un insieme di strutture di Active Directory dispongono realmente dei record DNS necessari per sincronizzare repliche di partizioni tra i controller di dominio in un insieme di strutture di Active Directory. DNSLint identifica quali record DNS mancano da ciascun server DNS autorevole.
  • Se un particolare controller di dominio di Active Directory pu˛ risolvere tutti i record DNS necessari per sincronizzare repliche di partizioni tra i controller di dominio in un insieme di strutture di Active Directory. DNSLint identifica quali record DNS non possono essere risolti dal controller di dominio in esame.

Risoluzione dei problemi

Se in un controller di dominio di Active Directory viene effettuata la replica di un altro controller di dominio, viene utilizzato il sistema DNS per trovare altri controller di dominio. Questo processo funziona come riportato di seguito:
  1. Il controller di dominio che inizia la replica (DC1) esegue la ricerca di partner di replica configurati all'interno di Active Directory. Questi partner di replica sono in genere definiti da KCC (Knowledge Consistency Checker), ma possono anche essere definiti manualmente. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    244368 Ottimizzazione della replica di Active Directory in una rete di grandi dimensioni
    DC1 conosce solo il nome del controller di dominio che desidera replicare, vale a dire DC2. Trova il GUID di Active Directory che corrisponde al nome del controller di dominio di destinazione (DC2). Si noti che ciascun controller di dominio dell'insieme di strutture dispone di un GUID univoco.
  2. Ora che DC1 Ŕ a conoscenza del GUID di DC2, deve reperire l'indirizzo IP di DC2 per connettervisi attraverso la rete. Per effettuare tale operazione, DC1 utilizza il sistema DNS. DC1 invia una query DNS ricorsiva al server DNS configurato localmente alla ricerca di un record CNAME. Il formato di questo record corrisponde sempre a quanto riportato di seguito
    guid._msdcs.elemento principale dell'insieme di strutture di Active Directory
    dove guid Ŕ il GUID che DC1 ha rilevato in Active Directory e elemento principale dell'insieme di strutture di Active Directory rappresenta l'elemento principale dell'insieme di strutture di Active Directory. Ad esempio
    91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
    dove 91f9b084-4876-4b59-be17-59e74c340221 Ŕ un GUID e reskit.com Ŕ l'elemento principale dell'insieme di strutture di Active Directory.

    Il server DNS di DC1 configurato localmente deve rispondere alla query relativa a CNAME con un alias, vale a dire un altro nome del GUID. Ad esempio, il GUID 91f9b084-4876-4b59-be17-59e74c340221 si risolve in dc-02.reskit.com.
  3. Dato che DC1 Ŕ ora a conoscenza dell'alias per il GUID, deve risolvere l'alias in un indirizzo IP per potersi connettere a DC2 attraverso la rete. DC1 invia una query DNS ricorsiva al server DNS configurato localmente alla ricerca di un record Host (A) che corrisponda al nome dell'alias. Il server DNS deve rispondere con l'indirizzo IP che Ŕ stato mappato nell'alias, ad esempio 169.254.66.7
  4. DC1 Ŕ ora a conoscenza dell'indirizzo IP di DC2 e pu˛ quindi connettersi a DC2 attraverso la rete e replicare i dati di Active Directory.
Se il processo non ha esito positivo, anche la replica di Active Directory tra i controller di dominio non andrÓ a buon fine e i dati potrebbero diventare incoerenti. DNSLint Ŕ in grado di determinare se i record DNS utilizzati in questo processo sono collocati correttamente e se possono essere risolti.
  1. Per determinare se il sistema DNS causa un problema di replica di Active Directory tra i controller di dominio in un insieme di strutture di Active Directory, eseguire il comando qui riportato
    dnslint /ad 169.254.32.1 /s 169.254.10.22
    dove il parametro /ad Ŕ utilizzato per specificare un controller di dominio di Active Directory che pu˛ essere utilizzato per reperire i GUID per tutti i controller di dominio dell'insieme di strutture di Active Directory. In base all'impostazione predefinita, tutti i controller di dominio di un insieme di strutture devono disporre di queste informazioni. L'opzione /s Ŕ necessaria quando viene utilizzata la funzione /ad. L'opzione /s Ŕ utilizzata per indicare a DNSLint l'indirizzo IP di un server DNS autorevole per l'area _msdcs.elemento principale dell'insieme di strutture.

    Quando si esegue tale comando, viene innanzitutto contattato il controller di dominio specificato dopo il parametro /ad (169.254.32.1). Questo comando fa sý che DNSLint esegua la query nel controller di dominio di Active Directory alla ricerca di tutti i GUID dell'insieme di strutture. In modo specifico cerca il seguente percorso in Active Directory
    CN=NTDS Settings, CN=Sites,CN=Configuration,DC=reskit,DC=com
    dove DC=reskit,DC=com rappresenta l'elemento principale dell'insieme di strutture di Active Directory.

    Questo tipo di query LDAP (Lightweight Directory Access Protocol) richiede l'autenticazione relativa ad Active Directory. In genere DNSLint viene eseguito in corrispondenza del contesto di protezione dell'utente che ha eseguito il comando. Queste credenziali vengono utilizzate per l'autenticazione in Active Directory durante l'operazione di associazione LDAP. Se le credenziali sono valide e l'utente ha accesso a queste informazioni in Active Directory, l'associazione ha esito positivo e viene eseguita la ricerca dei GUID all'interno di Active Directory. Se l'associazione non riesce, la ricerca non viene eseguita e l'intera operazione ha esito negativo. In questi casi viene visualizzato un errore di DNSLint.

    Se viene restituito un elenco di GUID dal controller di dominio specificato, viene inviata una query DNS al server DNS, specificato mediante l'opzione /s. Nell'esempio fornito in precedenza in questo passaggio, le query DNS verrebbero inviate a 169.254.10.22. Se il server DNS non Ŕ autorevole per _msdcs.elemento principale dell'insieme di strutture di Active Directory, l'operazione potrebbe terminare senza trovare alcun record DNS per i GUID trovati in precedenza. L'opzione /s deve specificare l'indirizzo IP di un server DNS autorevole per il dominio secondario _msdcs.elemento principale dell'insieme di strutture di Active Directory.

    In alcuni ambienti, come quelli in cui un server DNS che non accetta gli aggiornamenti dinamici ospita l'area principale, l'area _msdcs Ŕ stata delegata a un server DNS non Ŕ autorevole per l'elemento principale dell'insieme di strutture di Active Directory. DNSLint verifica questa delegazione prima di passare alle query DNS successive. Questo passaggio consente di evitare l'invio di query DNS ai server DNS che non devono essere verificati.

    DNSLint tenta di trovare altri server DNS autorevoli per l'elemento principale dell'insieme di strutture di Active Directory mentre elabora le query DNS. Dopo che DNSLint ha rilevato i server DNS autorevoli per l'elemento principale dell'insieme di strutture di Active Directory, esegue le ricerche nel server, o nei server, DNS per trovare i record CNAME disponibili in Active Directory. Mentre risolve ogni record CNAME in un alias, DNSLint tenta inoltre di risolvere il record glue (A) per ciascun alias. Come menzionato in precedenza in questo articolo, questi record DNS sono necessari per la replica di Active Directory.

    DNSLint crea quindi un rapporto in formato HTML e facoltativamente un rapporto in formato testo. Il rapporto include tutti i GUID disponibili in Active Directory, i server DNS autorevoli per l'elemento principale dell'insieme di strutture di Active Directory e i risultati di tutte le query relative ai record CNAME e glue (A) in tali server. Indica quali record CNAME e quali record glue (A) mancano in ciascun server DNS. Questo rapporto pu˛ essere utilizzato per correggere tutti i problemi relativi al sistema DNS che possono causare problemi di replica di Active Directory, come record DNS mancanti o non corretti.
  2. Per determinare se un particolare controller di dominio di Active Directory pu˛ risolvere tutti i record DNS necessari per sincronizzare repliche di partizioni tra i controller di dominio di un insieme di strutture di Active Directory, eseguire il comando qui riportato nel controller di dominio verificato:
    dnslint /ad /s hostlocale
    Dato che non viene specificato alcun indirizzo IP dopo l'opzione /ad, viene utilizzato 127.0.0.1. Ci˛ significa che il controller di dominio cercherÓ al proprio interno l'elenco di record GUID. ╚ possibile specificare un server LDAP del controller di dominio alternativo se si desidera. Se si specifica hostlocale dopo l'opzione /s, tale opzione indica a DNSLint di utilizzare il server, o i server, DNS configurati nel controller di dominio verificato per risolvere i record CNAME e glue (A) utilizzati per la replica di Active Directory. Questa specifica invia query DNS ricorsive al server, o ai server, DNS configurati localmente del controller di dominio per determinare se il controller di dominio pu˛ risolvere i record necessari. Ci˛ non significa che in tutti i server DNS del controller di dominio locale vengano cercati questi record. L'elenco di server DNS del controller di dominio Ŕ gestito in base al comportamento predefinito, il che significa che il secondo server DNS dell'elenco Ŕ utilizzato solo se il primo non risponde. Questa verifica determina solo se un controller di dominio Ŕ in grado di risolvere i record DNS utilizzati per la replica di Active Directory. Nessun server DNS specifico viene verificato.

    Il rapporto generato da DNSLint pu˛ quindi essere utilizzato per correggere tutti i problemi relativi al sistema DNS che possono causare problemi di replica di Active Directory, come record DNS mancanti o non corretti.

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft (l'installazione Ŕ in inglese):
Download del pacchetto dnslint.v204.exe.

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Per ulteriori informazioni sull'utilitÓ DNSLint, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
321045 Descrizione dell'utilitÓ DNSLint

ProprietÓ

Identificativo articolo: 321046 - Ultima modifica: lunedý 3 dicembre 2007 - Revisione: 9.4
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Chiavi:á
kbhowtomaster kbdownload kbnetwork KB321046
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com