Pemecahan masalah kegagalan replikasi Active Directory yang terjadi karena kegagalan lookup DNS, peristiwa ID 2087 atau peristiwa ID 2088

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 824449 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menjelaskan rencana aksi untuk administrator dan dukungan profesional untuk mengikuti ketika kontroler domain yang menjalankan Microsoft Windows 2000 atau Microsoft Windows Server 2003 tidak dapat meniru Active Directory karena dari DNS lookup kegagalan. Administrator yang adalah pemecahan masalah replikasi atau kegagalan komponen lain yang terjadi karena kurangnya resolusi nama DNS harus mengikuti rencana aksi ini.

Artikel ini juga membahas dua peristiwa baru, peristiwa ID 2087 dan event ID 2088, yang akan dicatat oleh tujuan kontroler domain yang menjalankan Windows Server 2003 dengan Paket Layanan 1 (SP1). Peristiwa ini terjadi ketika kurangnya resolusi nama DNS mencegah replikasi inbound partisi layanan direktori Active Directory. Selain itu, dalam skenario masalah ini, pengontrol domain berbasis Windows Server 2003 SP1 tujuan akan menggunakan kontroler domain sumber fully qualified domain name di DNS atau kontroler domain sumber NetBIOS nama komputer dalam Windows Internet nama layanan (menang). Tujuan dari perangkat tambahan pada Windows Server 2003 adalah untuk meminimalkan efek DNS klien atau kesalahan konfigurasi server DNS pada replikasi Active Directory.

GEJALA

Pada Microsoft Windows Server 2003 Service Pack 1 (SP1)-kontroler domain berbasis, acara berikut pesan ini mungkin login di log peristiwa layanan direktori.

Pesan 1

Tipe: kesalahan
Sumber: NTDS replikasi
Kategori: DS RPC klien
Event ID: 2087
Pengguna: NT AUTHORITY\ANONYMOUS LOGON
Komputer: ComputerName
Description:
Direktori aktif tidak bisa menyelesaikan nama host DNS berikut dari sumber kontroler domain ke alamat IP. Kesalahan ini mencegah penambahan, penghapusan dan perubahan dalam Active Directory mereplikasi antara satu atau lebih kontroler domain di hutan. Grup keamanan, kebijakan grup, pengguna dan komputer dan password mereka akan menjadi tidak konsisten antara pengontrol domain sampai kesalahan ini diselesaikan, berpotensi mempengaruhi logon otentikasi dan akses ke sumber daya jaringan.

Kontroler domain sumber: DomainControllerName
Nama host DNS gagal: GUID._msdcs.DNSDomainName

Catatan: Secara default, hanya 10 DNS kegagalan akan ditampilkan untuk setiap periode tertentu 12 jam, bahkan jika terjadi kegagalan lebih dari 10. Untuk log semua kegagalan individu peristiwa, mengatur diagnostik berikut nilai registri untuk 1:

Lintasan registri:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC klien

Tindakan pengguna:

1) Jika sumber kontroler domain tidak lagi diinstal berfungsi atau sistem operasi telah telah ulang dengan nama komputer yang berbeda atau NTDSDSA objek GUID, menghapus kontroler domain sumber metadata dengan ntdsutil.exe, menggunakan langkah-langkah yang dijelaskan dalam artikel MSKB 216498.

2) Mengkonfirmasi bahwa kontroler domain sumber berjalan Active directory dan dapat diakses pada jaringan dengan mengetik "bersih lihat \\<source dc="" name="">" atau "ping <source dc="" name="">".<b00> </b00> </source> </source>

3) Pastikan bahwa kontroler domain sumber menggunakan server DNS yang berlaku untuk layanan DNS, dan bahwa sumber kontroler domain host catatan dan CNAME merekam benar terdaftar, menggunakan DNS Enhanced Versi DCDIAG.EXE yang tersedia di http://www.microsoft.com/dns

dcdiag /test:dns

4) Pastikan bahwa kontroler domain tujuan ini menggunakan server DNS yang berlaku untuk layanan DNS, dengan menjalankan DNS Enhanced Versi DCDIAG.EXE perintah pada konsol kontroler domain tujuan, sebagai berikut:

dcdiag /test:dns

5) Untuk analisis lebih lanjut DNS kesalahan kegagalan lihat KB 824449: http://support.microsoft.com/?kbid=824449

Data tambahan
Kesalahan nilai:
11004 Nama diminta sah, namun tidak ada data jenis diminta ditemukan.

Pesan 2

Tipe: peringatan
Sumber: NTDS replikasi
Kategori: DS RPC klien
ID Peristiwa: 2088
Pengguna: NT AUTHORITY\ANONYMOUS LOGON
Komputer: ComputerName
Description:
Direktori aktif tidak bisa menggunakan DNS untuk menyelesaikan alamat IP pengendali domain sumber yang tercantum di bawah ini. Untuk menjaga konsistensi dari grup keamanan, kebijakan grup, pengguna dan komputer dan sandi, Active Directory berhasil direplikasi menggunakan NetBIOS atau nama komputer yang memenuhi syarat dari sumber domain controller.

Konfigurasi DNS tidak sah dapat mempengaruhi operasi lain penting pada komputer anggota, pengontrol domain atau server aplikasi di forest Active Directory ini, termasuk logon otentikasi atau akses ke sumber jaringan.

Anda harus segera menyelesaikan kesalahan konfigurasi DNS ini sehingga kontroler domain ini dapat menyelesaikan alamat IP pengendali domain sumber menggunakan DNS.

Nama server alternatif: AlternateServerName
Nama host DNS gagal: GUID._msdcs.DNSDomainName

Catatan: Secara default, hanya 10 DNS kegagalan akan ditampilkan untuk setiap periode tertentu 12 jam, bahkan jika terjadi kegagalan lebih dari 10. Untuk log semua kegagalan individu peristiwa, mengatur diagnostik berikut nilai registri untuk 1:

Lintasan registri:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC klien

Tindakan pengguna:

1) Jika sumber kontroler domain tidak lagi diinstal berfungsi atau sistem operasi telah telah ulang dengan nama komputer yang berbeda atau NTDSDSA objek GUID, menghapus kontroler domain sumber metadata dengan ntdsutil.exe, menggunakan langkah-langkah yang dijelaskan dalam artikel MSKB 216498.

2) Mengkonfirmasi bahwa kontroler domain sumber berjalan Active directory dan dapat diakses pada jaringan dengan mengetik "bersih lihat \\<source dc="" name="">" atau "ping <source dc="" name="">". </source></source>

3) Pastikan bahwa kontroler domain sumber menggunakan server DNS yang berlaku untuk layanan DNS, dan bahwa sumber kontroler domain host catatan dan CNAME merekam benar terdaftar, menggunakan DNS Enhanced Versi DCDIAG.EXE yang tersedia di http://www.microsoft.com/dns

dcdiag /test:dns

4) Pastikan bahwa kontroler domain tujuan ini menggunakan server DNS yang berlaku untuk layanan DNS, dengan menjalankan DNS Enhanced Versi DCDIAG.EXE perintah pada konsol kontroler domain tujuan, sebagai berikut:

dcdiag /test:dns

5) Untuk analisis lebih lanjut DNS kesalahan kegagalan lihat KB 824449: http://support.microsoft.com/?kbid=824449

Data tambahan
Kesalahan nilai:
11004 Nama diminta sah, namun tidak ada data jenis diminta ditemukan.

ID Peristiwa 2087 terjadi ketika Active Directory replikasi telah gagal karena DNS atau kegagalan lookup NetBIOS. Secara khusus, kontroler domain yang log peristiwa ID 2087 adalah tidak mampu menyelesaikan pasangan replikasi IP alamat dengan menggunakan salah satu dari berikut ini:
  • Sumber data CNAME
  • Nama komputer yang memenuhi syarat di DNS
  • Nama komputer NetBIOS
Karena pengontrol domain yang log peristiwa tidak dapat melakukan replikasi inbound, Active Directory data mungkin tidak konsisten di antara pengontrol domain. Sebagai contoh, informasi grup pengguna dan komputer mungkin tidak konsisten.

ID Peristiwa 2088 terjadi ketika kondisi berikut ini benar:
  • Replikasi direktori aktif tidak dapat menyelesaikan mitra replikasi sumber data CNAME untuk alamat IP dengan menggunakan DNS.
  • Active Directory dapat menyelesaikan mitra replikasi IP alamat dengan menggunakan nama komputer yang memenuhi syarat agen di DNS atau dengan menggunakan nama komputer NetBIOS mitra di menang atau dalam siaran NetBIOS.
Catatan Bahkan jika resolusi nama NetBIOS berhasil, resolusi nama DNS semua kegagalan harus diselidiki dan diselesaikan, karena kesalahan konfigurasi DNS dapat menyebabkan fungsi Active Directory untuk gagal.

PENYEBAB

DNS lookup masalah dapat menyebabkan Active Directory replikasi gagal di salah satu cara berikut:
  • Kasus 1: Kontroler domain mencoba untuk meniru dengan kontroler domain lain yang sedang offline, dan data Active Directory dan DNS untuk kontroler offline domain belum diperbarui atau dihapus untuk menunjukkan bahwa kontroler domain tidak dapat diakses.
  • Kasus 2: Kontroler domain mencoba untuk meniru dengan kontroler domain lain yang online, tetapi karena dari DNS atau masalah jaringan, pengontrol domain tidak dapat menemukan satu sama lain.
Semua pengontrol domain mendaftar SRV, A, dan CNAME di DNS. Data CNAME adalah bentuk Dsa_Guid._msdcs.Dns_Domain_Name. Dsa_Guid adalah GUID objek agen (DSA) sistem direktori untuk kontroler domain. Dns_Domain_Name adalah nama dari hutan di mana terletak kontroler domain. Kontroler domain memerlukan data CNAME untuk menemukan dan untuk mengidentifikasi mereka replikasi mitra.

Layanan Net Logon pada domain controller mendaftar semua SRV records. Layanan klien DNS pada kontroler domain register data host (A) DNS dan GUID CNAME.

Kontroler domain menggunakan langkah-langkah berikut untuk mencari mitra replikasi:
  1. Kontroler domain menggunakan DNS untuk mencari data CNAME dari mitra replikasi.
  2. Jika pencarian tidak berhasil, kontroler domain mencari DNS record mitra replikasi. Misalnya, domain controller mencari dc-03.corp.contoso.com.
  3. Jika DNS A lookup rekaman gagal, kontroler domain melakukan NetBIOS siaran dengan menggunakan nama host mitra replikasi. Misalnya, domain controller menggunakan dc-03.

PEMECAHAN MASALAH

Kasus 1

Untuk menghapus data Active Directory dan DNS yang ditinggalkan oleh kontroler domain yang tidak lagi digunakan, mengikuti prosedur di artikel Basis Pengetahuan Microsoft berikut:
216498 Bagaimana cara menghapus data di Active Directory setelah penurunan pangkat kontroler domain gagal
Jika kontroler domain harus online, menyelesaikan masalah pemblokiran, dan kemudian menempatkan kontroler domain kembali online. Ketika Anda me-restart kontroler domain, Anda secara otomatis mendaftar Active Directory dan data DNS yang diperlukan untuk Active Directory replikasi dengan pengontrol domain tujuan.

Jika Anda tidak ingin untuk restart kontroler domain, tapi Anda ingin register data DNS, lanjutkan ke langkah 7, "daftar sumber catatan DNS."

Kasus 2

Jika replikasi tidak terjadi karena pengontrol domain tujuan tidak dapat memecahkan nama DNS mitra replikasi, Anda harus mendiagnosa DNS dan jaringan masalah konektivitas untuk menentukan sumber kegagalan.

Untuk mendiagnosa dan memperbaiki dukungan DNS untuk direktori aktif replikasi, ikuti langkah berikut:
  1. Mengumpulkan informasi.

    Anda harus memiliki informasi berikut untuk mendiagnosa dan memperbaiki dukungan DNS untuk direktori aktif replikasi dan operasi lainnya yang bergantung pada DNS:
    • Fully qualified domain name (FQDN) dan alamat IP pengendali domain sumber.
    • Alamat FQDN dan IP server DNS yang host DNS zone untuk nama domain direktori aktif.
    Catatan Kontroler domain dan informasi server DNS mungkin sama jika kontroler domain juga menjalankan layanan DNS Server yang host DNS zone untuk nama domain direktori aktif.
  2. Memverifikasi pengaturan sambungan jaringan.
    1. Pada kontroler domain yang melaporkan kesalahan, klik Sambungan Jaringan di Panel kontrol.
    2. Klik kanan sambungan jaringan yang Anda inginkan untuk mengkonfigurasi, dan kemudian klik Properti.
    3. Pada General tab untuk koneksi area lokal atau di Jaringan tab untuk koneksi lainnya, klik Protokol Internet (TCP/IP), lalu klik Properti.
    4. Dalam Menggunakan alamat server DNS berikut, memverifikasi bahwa pilihan server DNS atau server DNS alternatif memiliki alamat IP yang benar dari server DNS yang host DNS zone untuk nama domain direktori aktif.

      Catatan Kami merekomendasikan bahwa server DNS dipilih untuk kontroler domain terletak di pusat situs yang lokal atau baik-baik. Jika Anda menggunakan situs seperti hub, Anda mengurangi latensi replikasi.
    5. Jika alamat IP benar, lanjutkan ke langkah 3. Jika alamat IP salah, masukkan alamat yang benar, dan kemudian pergi ke langkah 7.
  3. Memverifikasi konektivitas.

    Untuk memverifikasi konektivitas, gunakan ping perintah pada kontroler domain tujuan untuk menemukan alamat IP pengendali domain sumber dan DNS server.
    Pada kontroler domain tujuan, ketik berikut ini pada prompt perintah, dan kemudian tekan ENTER setelah setiap perintah:

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    Jika perintah kedua gagal, kesalahan konektivitas jaringan mungkin ada. Hubungi administrator jaringan untuk mendiagnosa dan memperbaiki kesalahan ini. Jika perintah kedua berhasil, kesalahan ada dalam DNS.
  4. Verifikasi bahwa layanan DNS Server berjalan.

    Jika kontroler domain tujuan dikonfigurasi untuk menggunakan server DNS lokal, verifikasi bahwa layanan DNS Server berjalan. Untuk melakukannya, ketik bersih mulai "DNS Server" pada prompt perintah, kemudian tekan ENTER.

    Jika layanan DNS Server berjalan, pesan akan muncul yang menunjukkan bahwa layanan sedang berjalan. Jika layanan DNS Server terinstal, tapi layanan tidak berjalan, perintah dimulai layanan DNS Server.

    Jika layanan DNS Server tidak diinstal, pesan akan muncul yang menunjukkan nama server tidak sah. Jika kontroler domain tujuan dikonfigurasi untuk menggunakan server DNS jauh, gunakan konsol DNS untuk memulai layanan DNS Server. Untuk melakukannya, ikuti langkah-langkah berikut:
    1. Buka konsol DNS.
    2. Pada Tindakan menu, klik Menyambung ke DNS Server.
    3. Dalam Menyambung ke DNS Server, klik Komputer berikut.
    4. Untuk menyambung ke server, tentukan DNS remote server nama komputer atau alamat IP.
    5. Klik untuk memilih Menyambung ke komputer tertentu sekarang Periksa kotak, dan kemudian klik Oke.
    6. Pada Tindakan menu, titik Semua tugas, lalu klik Mulai.
  5. Verifikasi bahwa catatan sumber daya terdaftar.

    Kontroler domain tujuan menggunakan catatan sumber daya DNS CNAME, Dsa_Guid._msdcs.Dns_Domain_Name, untuk menemukan sumber domain controller replikasi mitra. Untuk memverifikasi bahwa catatan sumber daya ini di zona DNS untuk nama domain Active Directory, ikuti langkah berikut:
    1. Buka konsol DNS pada pohon konsol. Temukan kontroler domain yang menjalankan layanan DNS Server, di mana layanan host DNS zone dengan nama yang sama sebagai nama domain direktori aktif.
    2. Pada pohon konsol, klik zona yang bernama _msdcs.Dns_Domain_Name.

      Di Windows 2000 Server DNS, _msdcs.Dns_Domain_Name adalah subdomain dari zona DNS untuk nama domain direktori aktif. Pada Windows Server 2003, _msdcs.Dns_Domain_Name adalah zona yang terpisah.
    Zona yang bernama _msdcs.Dns_Domain_Name harus berisi berikut:
    • Sumber daya CNAME yang bernama Dsa_Guid._msdcs.Dns_Domain_Name.
    • Sesuai catatan sumber daya untuk nama server DNS yang diidentifikasi sebagai tuan rumah target dalam data CNAME.


    Jika tidak ada catatan sumber daya, pergi ke langkah 6 untuk mendiagnosis mengapa layanan Net Logon tidak mendaftarkan catatan sumber daya secara otomatis.
  6. Verifikasi bahwa layanan DNS Server yang host zona untuk nama domain direktori aktif telah dikonfigurasi untuk menerima pembaruan dinamis.
    1. Di konsol DNS, klik kanan zona berlaku, dan kemudian klik Properti.
    2. Pada General tab, verifikasi bahwa jenis zona Directory?integrated aktif.
    3. Dalam Pembaruan dinamis, klik aman hanya. (Pada Windows 2000 Server, pilihan aman perbaruan dinamis bernama Hanya aman update.)
  7. Mendaftar catatan sumber daya DNS DNS.

    Layanan Net Logon pada kontroler domain register catatan sumber daya DNS yang diperlukan untuk kontroler domain yang akan berada di jaringan. Untuk secara manual melakukan pendaftaran ini pada kontroler domain sumber, ketik berikut ini pada prompt perintah, dan kemudian tekan ENTER setelah setiap perintah:

    net stop "bersih masuk"

    net start "bersih masuk"

    Layanan klien DNS register host (A) catatan sumber daya yang data CNAME menunjuk ke. Untuk mengajukan pendaftaran ini pada kontroler domain sumber, ketik ipconfig /registerdns pada prompt perintah, kemudian tekan ENTER.
  8. Memverifikasi catatan sumber daya pendaftaran.

    Untuk memverifikasi bahwa catatan yang terdaftar berhasil, pergi ke langkah 5, "Memverifikasi bahwa catatan sumber daya terdaftar."
  9. Memaksa replikasi pada pengontrol domain sumber dan tujuan.
    1. Pada kontroler domain tujuan, membuka Situs direktori aktif dan layanan.
    2. Pada pohon konsol, klik Pengaturan NTDS untuk kontroler domain yang Anda inginkan untuk memaksa replikasi pada.
    3. Di panel rincian, klik kanan sambungan yang akan digunakan untuk mereplikasi informasi direktori, dan kemudian klik Meniru sekarang.
    Anda juga dapat menggunakan repadmin dan replmon alat-alat baris perintah. Alat-alat ini tersedia pada CD penginstalan Windows Server 2003. (The repadmin perintah ini repadmin /syncall bumi/e/p source_domain_controller.)
  10. Menyelidiki masalah lain.

    Jika langkah-langkah yang sebelumnya tidak menyelesaikan kesalahan, kontroler domain tidak dapat secara dinamis meregistrasi catatan sumber daya DNS karena server DNS yang menggunakan pengontrol domain untuk resolusi nama tidak dapat menemukan sebuah zona otoritatif utama untuk catatan sumber daya tersebut. Dalam kasus ini, ada dua kemungkinan penyebab:

INFORMASI LEBIH LANJUT

Anda juga dapat menggunakan Netdiag.exe dan Dcdiag.exe baris perintah alat untuk memecahkan masalah infrastruktur DNS dan Active Directory. Kedua alat tersedia secara online atau pada CD penginstalan Windows Server 2003. Untuk men-download alat-alat ini, kunjungi Windows Server 2003 Resource Kit alat Web page:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = 9d467a69-57ff-4ae7-96ee-b18c4790cffd & DisplayLang = en

Properti

ID Artikel: 824449 - Kajian Terakhir: 07 Oktober 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kata kunci: 
kbdirservices kbprb kbmt KB824449 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:824449

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com