Использование программы DNSLint для устранения неполадок при репликации Active Directory

Переводы статьи Переводы статьи
Код статьи: 321046 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье рассмотрены вопросы использования программы DNSLint для устранения неполадок при репликации Active Directory.

Active Directory представляет собой распределенную базу данных, которая предназначена для хранения данных об объектах сети и предоставления пользователям доступа к этим данным. Репликация Active Directory служит для синхронизации реплик разделов между контроллерами доменов в лесу Active Directory. Репликация позволяет пользователям получать доступ к информации из любой точки сети. Когда репликация выполняется неправильно, возможны перебои в работе служб, которые используют сведения из Active Directory (вход в домен или доступ к сетевым ресурсам, например файлам и принтерам).

Разрешением имен в IP-адреса в процессе репликации Active Directory занимается служба DNS. Как правило, при запуске службы netlogon контроллер домена Active Directory регистрирует на настроенном сервере DNS несколько DNS-записей. Программа DNSLint предназначена для использования на компьютерах под управлением Windows версии 2000 или выше. Помимо прочего, она используется в процессе устранения неполадок с репликацией Active Directory для определения следующего.
  • На всех ли серверах DNS, которые отвечают за корень леса Active Directory, имеются DNS-записи, необходимые для успешной синхронизации реплик разделов между контроллерами домена в лесу Active Directory. Программа DNSLint определяет отсутствующие DNS-записи на каждом из уполномоченных серверов DNS.
  • Способен ли некоторый контроллер домена Active Directory разрешить все DNS-записи, необходимые для успешной синхронизации реплик разделов на контроллерах домена в лесу Active Directory. Программа DNSLint определяет DNS-записи, которые не могут быть разрешены проверяемым контроллером домена.

Устранение неполадок

Контроллер домена Active Directory использует службу DNS для поиска других контроллеров доменов для репликации. Этот происходит следующим образом.
  1. Контроллер домена, который инициирует репликацию (DC1), посылает Active Directory запрос на поиск настроенных партнеров репликации. Как правило, партнеры репликации назначаются проверкой согласованности знаний (KCC) автоматически, но могут быть определены и в ручном режиме. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    244368 Оптимизация репликации Active Directory в больших сетях (эта ссылка может указывать на содержимое полностью или частично на английском языке)
    Контроллеру DC1 известно только имя контроллера домена, с которым будет выполнена репликация (DC2). В Active Directory он находит идентификатор GUID, соответствующий имени контроллера домена (DC2). Каждый контроллер домена в лесу должен иметь уникальный идентификатор GUID.
  2. Зная идентификатор GUID контроллера DC2, для установки связи по сети контроллер DC1 должен определить его IP-адрес. Для этого используется служба DNS. Контроллер DC1 посылает рекурсивный DNS-запрос на запись CNAME своему локально настроенному серверу DNS. Формат этой записи всегда имеет следующий вид:
    guid._msdcs.корень_леса_Active_Directory
    где guid — это идентификатор GUID, найденный контроллером DC1 в Active Directory, акорень_леса_Active_Directory — это корень леса Active Directory. Например:
    91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
    где 91f9b084-4876-4b59-be17-59e74c340221 — идентификатор GUID, а reskit.com — корень леса Active Directory.

    В ответ на запрос на запись CNAME локально настроенный DNS-сервер контроллера DC1 должен вернуть псевдоним. Псевдоним — это альтернативное представление идентификатора GUID. Так, идентификатор GUID 91f9b084-4876-4b59-be17-59e74c340221 может быть разрешен в имя dc-02.reskit.com.
  3. Зная псевдоним идентификатора GUID, контроллер DC1 должен разрешить его в IP-адрес, чтобы установить связь с DC2 по сети. Контроллер DC1 посылает рекурсивный DNS-запрос на запись Host (A), сопоставленную данному псевдониму, своему локально настроенному серверу DNS. Сервер DNS должен вернуть сопоставленный псевдониму IP-адрес, например 169.254.66.7.
  4. Зная IP-адрес контроллера DC2, контроллер DC1 может подключиться к нему по сети и выполнить репликацию данных Active Directory.
Если описанный процесс завершается неудачно, репликация Active Directory между контроллерами домена не состоится, что может привести к появлению противоречивых данных на контроллерах доменов. Программа DNSLint позволяет проверить наличие DNS-записей и возможность их разрешения.
  1. Убедитесь, что проблемы с репликацией Active Directory между контроллерами домена в лесу Active Directory связаны со службой DNS, запустив следующую команду:
    dnslint /ad 169.254.32.1 /s 169.254.10.22
    где параметр /ad служит для указания контроллера домена, который используется для поиска идентификаторов GUID для всех контроллеров домена в лесу Active Directory (по умолчанию эта информация должна быть у каждого контроллера домена). Параметр /ad должен использоваться с параметром /s, который необходим для указания IP-адреса сервера DNS, который отвечает за зону _msdcs.корень_леса.

    После запуска этой команды программа DNSLint сначала отправляет контроллеру домена Active Directory, указанному после параметра /ad (169.254.32.1), запрос на все идентификаторы GUID в лесу Active Directory. В частности, поиск выполняется в следующей области Active Directory:
    CN=NTDS Settings, CN=Sites,CN=Configuration,DC=reskit,DC=com
    где DC=reskit,DC=com — это корень леса Active Directory.

    Такой запрос по протоколу LDAP (Lightweight Directory Access Protocol) должен пройти проверку подлинности при регистрации в Active Directory. Как правило, программа DNSLint выполняется в контексте безопасности запустившего ее пользователя. Учетные данные этого пользователя используются для проверки подлинности в Active Directory во время операции связывания LDAP. Если учетные данные признаны действительными и пользователю разрешен доступ к Active Directory, операция связывания завершается успешно, и выполняется поиск идентификаторов GUID. В противном случае поиск в Active Directory невозможен, и пользователь получает сообщение об ошибке.

    Если контроллер домена возвращает список идентификаторов GUID, программа DNSLint посылает DNS-запрос серверу DNS, указанному в параметре /s. В представленном ранее примере DNS-запросы направляются по адресу 169.254.10.22. Если этот сервер DNS не уполномочен за дочерний домен _msdcs.корень_леса_Active_Directory, то для переданных идентификаторов GUID DNS-записи найдены не будут. Параметр /s должен использоваться для указания IP-адреса сервера DNS, который отвечает за дочерний домен _msdcs.корень_леса_Active_Directory.

    В определенных окружениях, например таких, где сервер DNS не поддерживает динамическое обновление и управляет корневой зоной, зона _msdcs делегируется серверу DNS, не отвечающему за корень леса Active Directory. Перед переходом к следующему DNS-запросу программа DNSLint проверяет, было ли выполнено такое делегирование, что позволяет предотвратить отправку запросов серверам DNS, не предназначенным для тестирования.

    По мере обработки DNS-запросов программа DNSLint ищет другие серверы DNS, отвечающие за корень леса Active Directory. После определения таких серверов программа DNSLint отправляет им запрос на записи CNAME, найденные в Active Directory. По мере разрешения каждой записи CNAME в псевдоним программа пытается разрешить для каждого псевдонима запись А. Как уже отмечалось в данной статье, эти записи необходимы для репликации Active Directory.

    После этого программа DNSLint создает отчет в формате HTML (и, дополнительно, ТХТ). В отчет включаются все найденные в Active Directory идентификаторы GUID, серверы DNS, управляющие корнем леса Active Directory, результаты запросов на записи CNAME и А к этим серверах, а также перечисляются отсутствующие записи CNAME и A для каждого сервера DNS. Этот отчет используется для устранения неполадок в службе DNS, которые вызывают проблемы с репликацией Active Directory (например, отсутствующие или ошибочные DNS-записи).
  2. Убедитесь, что контроллер домена Active Directory может разрешить все DNS-записи, которые необходимы для успешной синхронизации реплик разделов между контроллерами домена в лесу Active Directory, запустив на нем следующую команду:
    dnslint /ad /s localhost
    Поскольку IP-адрес явно не указан после параметра /ad, используется значение 127.0.0.1 (контроллер домена ищет список идентификаторов GUID у себя). При необходимости можно указать адрес альтернативного сервера LDAP контроллера домена. Если параметр /s содержит аргумент localhost, программа DNSLint при разрешении записей CNAME и А, которые необходимы для репликации Active Directory, использует серверы DNS, настроенные на тестируемом контроллере домена. Чтобы определить способность контроллера домена разрешить необходимые записи, на локально настроенный сервер DNS отправляются рекурсивные DNS-запросы. Это не означает, что записи будут проверяться во всех серверах DNS локального контроллера домена. Список серверов DNS на контроллере домена обрабатывается в соответствии со стандартным поведением (если первый сервер не отвечает, используется следующий). Такая проверка позволяет определить способность контроллера домена разрешать DNS-записи, которые используются в репликации Active Directory. Тестирование серверов DNS не выполняется.

    Созданный программой DNSLint отчет используется для устранения неполадок в службе DNS, которые вызывают проблемы с репликацией Active Directory (например, отсутствующие или ошибочные DNS-записи).

Загрузите следующий файл с веб-узла центра загрузки корпорации Майкрософт:
Свернуть это изображениеРазвернуть это изображение
Загрузка
Загрузить пакет dnslint.v204.exe.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Для проверки на наличие вирусов корпорация Майкрософт использует последние версии антивирусного программного обеспечения, имеющиеся на момент публикации файла. Файл хранится на закрытом сервере, что предотвращает его несанкционированное изменение.

Дополнительные сведения о программе DNSLint см. в следующей статье базы знаний Майкрософт:
321045 Описание программы DNSLint

Свойства

Код статьи: 321046 - Последний отзыв: 3 декабря 2007 г. - Revision: 9.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbhowtomaster kbdownload kbnetwork KB321046

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com