Solucionando problemas de falhas de replicação do Active Directory que ocorrem devido a falhas de pesquisa DNS, evento ID 2087 ou evento ID 2088

Traduções deste artigo Traduções deste artigo
ID do artigo: 824449 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve um plano de ação para os administradores e profissionais de suporte a seguir quando controladores de domínio que executam o Microsoft Windows 2000 ou Microsoft Windows Server 2003 não é possível replicar o Active Directory devido a falhas de pesquisa de DNS. Os administradores que são solucionar problemas de replicação ou outras falhas de componente que ocorrem por causa de uma falta de resolução de nomes DNS devem seguir este plano de ação.

Este artigo também descreve dois novos eventos, evento ID 2087 e evento ID 2088, que são registrados pelos controladores de domínio de destino que estão executando Windows Server 2003 com Service Pack 1 (SP1). Esses eventos ocorrem quando uma falta de resolução de nomes DNS evita a duplicação de entrada de partições de serviço de diretório do Active Directory. Mais significativamente, nesse cenário de problema, controladores de domínio baseados no Windows Server 2003 SP1 destino usará nome de domínio totalmente qualificado do controlador de domínio de origem no DNS ou o nome de computador NetBIOS do controlador de domínio de origem no Service (WINS). O objetivo dos aprimoramentos no Windows Server 2003 é minimizar o efeito de cliente DNS ou erros de configuração de servidor DNS na replicação do Active Directory.

Sintomas

Em um Microsoft Windows Server 2003 Service Pack 1 (SP1) - baseado no controlador de domínio, o seguinte evento mensagens podem ser registradas no log de eventos serviço de diretório.

mensagem 1

Tipo: erro
Fonte: Duplicação de NTDS
Categoria: DS RPC cliente
IDENTIFICAÇÃO de evento: 2087
Usuário: LOGON NT AUTHORITY\ANONYMOUS
ComputerName do computador:
Descrição:
O Active Directory não foi possível resolver o seguinte nome de host DNS do controlador de domínio de origem para um endereço IP. Este erro impede adições, exclusões e alterações no Active Directory replicação entre um ou mais controladores de domínio na floresta. Grupos de segurança, diretiva de grupo, os usuários e computadores e suas senhas serão inconsistentes entre controladores de domínio até que esse erro seja resolvido, potencialmente afetar autenticação de logon e o acesso aos recursos de rede.

Controlador de domínio de origem: DomainControllerName
Falhas de nome de host DNS: DNSDomainName do GUID _msdcs.

Observação: Por padrão, apenas até 10 falhas de DNS são mostradas para qualquer período determinado de 12 horas, mesmo se ocorrerem falhas mais de 10. Para registrar todos os eventos de falha individuais, defina o diagnóstico do seguinte valor do Registro para 1:

Caminho do Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC cliente

Ação do usuário:

1) Se o controlador de domínio de origem for não mais funcionar ou seu sistema operacional foi reinstalado com um nome de computador diferente ou NTDSDSA objeto GUID, remover metadados do controlador de domínio de origem com o ntdsutil.exe, usando as etapas descritas no artigo MSKB 216498.

2) Confirme se o controlador de domínio de origem está executando o Active directory e está acessível na rede, digitando "net view \\<source DC nome >" ou "ping < nome do controlador de DOMÍNIO de origem >".

3) Verificar se o controlador de domínio de origem está usando um servidor DNS válido para serviços DNS e o controlador de domínio de fonte de registro de host e CNAME registram corretamente são registrados, usando a versão DNS Avançado de DCDIAG.EXE disponíveis no http://www.microsoft.com/dns

dcdiag /test:dns

4) Verifique que este controlador de domínio destino estiver usando um servidor válido para serviços DNS, executando a versão DNS Avançado DCDIAG.EXE comando no console do controlador de domínio de destino, da seguinte maneira:

dcdiag /test:dns

5) Para análises adicionais do DNS erro falhas Consulte 824449 KB: http://support.microsoft.com/?kbid=824449

Dados adicionais
Valor de erro:
11004 O nome solicitado é válido, mas nenhum dado do tipo solicitado foi encontrado.

mensagem 2

Tipo: aviso
Fonte: Duplicação de NTDS
Categoria: DS RPC cliente
IDENTIFICAÇÃO de evento: 2088
Usuário: LOGON NT AUTHORITY\ANONYMOUS
Computador: ComputerName
Descrição:
O Active Directory não pôde usar DNS para resolver o endereço IP do controlador de domínio de origem listado abaixo. Para manter a consistência dos grupos de segurança, diretiva de grupo, os usuários e computadores e suas senhas, Active Directory replicado com êxito usando o NetBIOS ou nome de computador totalmente qualificado do controlador de domínio fonte.

Configuração de DNS inválida pode estar afetando outras operações essenciais em computadores membro, controladores de domínio ou servidores de aplicativos nesta floresta do Active Directory, incluindo autenticação de logon ou o acesso aos recursos da rede.

Imediatamente você deve resolver esse erro de configuração do DNS para que este controlador de domínio possa resolver o endereço IP do controlador de domínio de origem usando o DNS.

Nome de servidor alternativo: AlternateServerName
Falhas de nome de host DNS: DNSDomainName do GUID _msdcs.

Observação: Por padrão, apenas até 10 falhas de DNS são mostradas para qualquer período determinado de 12 horas, mesmo se ocorrerem falhas mais de 10. Para registrar todos os eventos de falha individuais, defina o diagnóstico do seguinte valor do Registro para 1:

Caminho do Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC cliente

Ação do usuário:

1) Se o controlador de domínio de origem for não mais funcionar ou seu sistema operacional foi reinstalado com um nome de computador diferente ou NTDSDSA objeto GUID, remover metadados do controlador de domínio de origem com o ntdsutil.exe, usando as etapas descritas no artigo MSKB 216498.

2) Confirme se o controlador de domínio de origem está executando o Active directory e está acessível na rede, digitando "net view \\<source DC nome >" ou "ping < nome do controlador de DOMÍNIO de origem >".

3) Verificar se o controlador de domínio de origem está usando um servidor DNS válido para serviços DNS e o controlador de domínio de fonte de registro de host e CNAME registram corretamente são registrados, usando a versão DNS Avançado de DCDIAG.EXE disponíveis no http://www.microsoft.com/dns

dcdiag /test:dns

4) Verifique que este controlador de domínio destino estiver usando um servidor válido para serviços DNS, executando a versão DNS Avançado DCDIAG.EXE comando no console do controlador de domínio de destino, da seguinte maneira:

dcdiag /test:dns

5) Para análises adicionais do DNS erro falhas Consulte 824449 KB: http://support.microsoft.com/?kbid=824449

Dados adicionais
Valor de erro:
11004 O nome solicitado é válido, mas nenhum dado do tipo solicitado foi encontrado.

2087 A identificação de evento ocorre quando a replicação do Active Directory falhou devido a um DNS ou uma falha de pesquisa de NetBIOS. Especificamente, o controlador de domínio que registrou evento ID 2087 não foi possível resolver o endereço IP de um parceiro de replicação usando um destes procedimentos:
  • O registro de recurso CNAME
  • O nome do computador totalmente qualificado no DNS
  • O nome do computador NetBIOS
Como o controlador de domínio registra o evento não é possível executar a duplicação de entrada, os dados do Active Directory podem ser inconsistentes entre controladores de domínio. Por exemplo, informações de grupo de usuário e computador podem ser inconsistentes.

Identificação do evento 2088 ocorre quando as seguintes condições forem verdadeiras:
  • A replicação do Active Directory não é possível resolver o registro de recurso CNAME ?s parceiro de duplicação para um endereço IP usando o DNS.
  • O Active Directory pode resolver o endereço IP ?s parceiro de replicação usando nome de computador totalmente qualificado do parceiro no DNS ou usando o nome do computador NetBIOS do parceiro em um WINS ou em uma difusão NetBIOS.
Observação Mesmo se a resolução de nomes NetBIOS tiver êxito, todas as falhas de resolução de nome DNS devem ser investigadas e resolvidas, como erros de configuração do DNS podem causar funções do Active Directory para falhar.

Causa

Problemas de pesquisa de DNS podem causar a duplicação do Active Directory falhar em uma das seguintes maneiras:
  • Caso 1: Um controlador de domínio tenta replicar com outro controlador de domínio que está off-line, e dados do Active Directory e DNS para o controlador de domínio off-line não tem sido atualizados ou excluídos para indicar que o controlador de domínio está inacessível.
  • Caso 2: Um controlador de domínio tenta replicar com outro controlador de domínio que está on-line, mas devido a problemas de rede ou DNS, os controladores de domínio não podem localizar uns aos outros.
Todos os controladores de domínio SRV, A e registros CNAME em DNS. O registro CNAME é do formulário Dsa_Guid _msdcs. Dns_Domain_Name. Dsa_Guid é o GUID do objeto diretório sistema Agente (DSA) para o controlador de domínio. Dns_Domain_Name é o nome da floresta onde o controlador de domínio está localizado. Os controladores de domínio exigem o registro CNAME para localizar e identificar seus parceiros de replicação.

O serviço NET logon no controlador de domínio registra todos os registros SRV. O serviço cliente DNS no controlador de domínio registra o registro de host (A) do DNS e o registro CNAME GUID.

Um controlador de domínio usa as seguintes etapas para localizar seu parceiro de duplicação:
  1. O controlador de domínio usa o DNS para procurar o registro CNAME do seu parceiro de replicação.
  2. Se a pesquisa não tiver êxito, o controlador de domínio procura o DNS um registro de seu parceiro de replicação. Por exemplo, o controlador de domínio procura 03.corp.contoso.com dc.
  3. Se a pesquisa de registro de DNS não tiver êxito, o controlador de domínio executa um NetBIOS de difusão usando o nome de host de seu parceiro de replicação. Por exemplo, o controlador de domínio usa dc-03.

Resolução

Caso 1

Para remover dados do Active Directory e do DNS que são deixados para trás por um controlador de domínio que não está mais em uso, execute o procedimento no seguinte artigo da Base de dados de Conhecimento Microsoft:
216498Como remover os dados no Active Directory após rebaixamento mal-sucedido do domínio controlador
Se o controlador de domínio deve estar on-line, resolver o problema de bloqueio e colocar o controlador de domínio on-line novamente. Quando você reiniciar o controlador de domínio, você automaticamente registrar Active Directory e dados DNS que é necessários para replicação do Active Directory com o controlador de domínio de destino.

Se você não deseja reiniciar o controlador de domínio, mas você deseja registrar seus registros de DNS, vá para a etapa 7, "recursos de registro registros no DNS."

Caso 2

Se não ocorrer replicação porque um controlador de domínio de destino não é possível resolver o nome DNS de um parceiro de duplicação, você deve diagnosticar DNS e problemas de conectividade para determinar a origem da falha de rede.

Para diagnosticar e corrigir o suporte do DNS para a replicação do Active Directory, execute estas etapas:
  1. Coletar informações.

    Você deve ter as seguintes informações para diagnosticar e corrigir o suporte ao DNS para replicação do Active Directory e outras operações que dependem do DNS:
    • O nome de domínio totalmente qualificado (FQDN) e o endereço IP do controlador de domínio de origem.
    • O FQDN e o endereço IP do servidor DNS que hospeda a zona DNS para o nome de domínio do Active Directory.
    Observação Controlador de domínio e informações sobre o servidor DNS podem ser o mesmo se o controlador de domínio também estiver executando o serviço do servidor DNS que hospeda a zona DNS para o nome de domínio do Active Directory.
  2. Verifique as configurações de conexão de rede.
    1. No controlador de domínio que está relatando o erro, clique em Conexões de rede no painel de controle.
    2. Clique com o botão direito do mouse na conexão de rede que você deseja configurar e, em seguida, clique em Propriedades .
    3. Na guia Geral para uma conexão de rede local ou na guia rede para todas as outras conexões, clique em Protocolo Internet (TCP/IP) e em seguida, clique em Propriedades .
    4. Em usar os seguintes endereços de servidor DNS , verifique se que o servidor DNS preferencial ou o servidor DNS alternativo possui o endereço IP correto do servidor DNS que hospeda a zona DNS para o nome de domínio do Active Directory.

      Observação Recomendamos que o servidor DNS preferencial para o controlador de domínio encontra-se em um site de hub que é local ou bem conectados. Se você usar um site de hub, você reduz a latência de replicação.
    5. Se os endereços IP estiverem corretos, vá para a etapa 3. Se o endereço IP estiver incorreto, digite o endereço correto e, em seguida, vá para a etapa 7.
  3. Verifique a conectividade.

    Para verificar a conectividade, use o comando ping no controlador de domínio de destino para localizar os endereços IP de controlador de domínio de origem e o servidor DNS.
    No controlador de domínio de destino, digite o seguinte em um prompt de comando e pressione ENTER após cada comando:

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    Se o comando for malsucedido, pode haver um erro de conectividade de rede. Contate o administrador de rede para diagnosticar e corrigir este erro. Se os dois comandos estiverem bem-sucedidos, o erro existe no DNS.
  4. Verifique se o serviço do servidor DNS está sendo executado.

    Se o controlador de domínio de destino é configurado para usar um servidor DNS local, verifique se o serviço do servidor DNS está em execução. Para fazer isso, digite net start ? servidor DNS ? em um prompt de comando e pressione ENTER.

    Se o serviço servidor DNS está sendo executado, aparecerá uma mensagem que indica que o serviço está sendo executado. Se o serviço servidor DNS é instalado, mas o serviço não está sendo executado, o comando inicia o serviço do servidor DNS.

    Se o serviço do servidor DNS não estiver instalado, será exibida uma mensagem indica que o nome do servidor não é válido. Se o controlador de domínio de destino é configurado para usar um servidor DNS remoto, use o console DNS para iniciar o serviço servidor DNS. Para fazer isso, execute as seguintes etapas:
    1. Abra o console DNS.
    2. No menu ação , clique em Conectar para servidor DNS .
    3. Em conectar-se ao servidor DNS , clique em O seguinte computador .
    4. Para se conectar a um servidor remoto, especifique seu endereço IP ou nome de computador DNS do servidor remoto.
    5. Clique para marque a caixa de seleção conectar-se ao computador especificado agora e, em seguida, clique em OK .
    6. No menu ação , aponte para Todas as tarefas e, em seguida, clique em Iniciar .
  5. Verificar se o registro de recurso está registrado.

    O controlador de domínio de destino usa o registro de recurso DNS CNAME, Dsa_Guid _msdcs. Dns_Domain_Name, para localizar seu parceiro de replicação origem domínio controlador. Para verificar se este registro de recurso está na zona DNS para o nome de domínio do Active Directory, execute as seguintes etapas:
    1. Abra o console do DNS na árvore de console. Localize qualquer controlador de domínio que está executando o serviço servidor DNS, onde o serviço hospeda a zona DNS com o mesmo nome que o nome de domínio do Active Directory.
    2. Na árvore de console, clique na zona chamado _msdcs. Dns_Domain_Name.

      No Windows 2000 Server DNS _msdcs. Dns_Domain_Name é um subdomínio da zona DNS para o nome de domínio do Active Directory. No Windows Server 2003, _msdcs. Dns_Domain_Name é uma zona separada.
    A zona que é chamada de _msdcs. Dns_Domain_Name deve conter o seguinte:
    • Um registro de recurso CNAME é denominado Dsa_Guid _msdcs. Dns_Domain_Name.
    • Um registro de recurso para o nome do servidor DNS que é identificado como host de destino no registro de CNAME correspondente.


    Se os registros de recursos não existirem, vá para a etapa 6 para diagnosticar por que o serviço Logon de rede não registrou automaticamente os registros de recursos.
  6. Verifique se o serviço do servidor DNS que hospeda a zona para o nome de domínio do Active Directory está configurado para aceitar atualizações dinâmicas.
    1. No console DNS, clique na zona aplicável com o botão direito do mouse e, em seguida, clique em Propriedades .
    2. Na guia Geral , verifique se o tipo de zona é Integrada ao Active Directory .
    3. Em Atualizações dinâmicas , clique em apenas seguras . (No Windows 2000 Server, a opção de atualização dinâmica segura é chamada atualizações seguras somente .)
  7. Registre registros de recursos DNS no DNS.

    O serviço Netlogon em um controlador de domínio registra os registros de recursos DNS necessários para o controlador de domínio seja localizado na rede. Para iniciar manualmente o registro no controlador de domínio de origem, digite o seguinte em um prompt de comando e pressione ENTER após cada comando:

    net stop "Netlogon"

    net start "Netlogon"

    O serviço de cliente DNS registra o registro de recurso de host (A) que o registro CNAME aponta para. Para iniciar esse registro no controlador de domínio de origem, digite ipconfig /registerdns em um prompt de comando e pressione ENTER.
  8. Verifique se o registro de recurso.

    Para verificar os registros foram registrados com êxito, vá para a etapa 5, ? verificar se o registro de recurso está registrado."
  9. Força a replicação nos controladores de domínio de origem e de destino.
    1. No controlador de domínio de destino, abra Serviços e sites do Active Directory .
    2. Na árvore de console, clique em NTDS Settings para o que você deseja forçar a replicação no controlador de domínio.
    3. No painel de detalhes, clique com o botão direito do mouse na conexão que você deseja usar para duplicar informações de diretório e, em seguida, clique em Duplicar agora .
    Você também pode usar as ferramentas de linha de comando repadmin e replmon . Essas ferramentas estão disponíveis no CD de instalação Windows Server 2003. (O comando repadmin é repadmin /syncall /d /e /P source_domain_controller.)
  10. Investigar outros problemas.

    Se as etapas anteriores não resolverem os erros, um controlador de domínio pode não ser capaz de registrar dinamicamente seus registros de recursos DNS porque os servidores DNS que usa o controlador de domínio para resolução de nomes não podem encontrar uma zona autoritativa primária para esses registros de recursos. Nesse caso, há duas causas possíveis:

Mais Informações

Você também pode usar as ferramentas de linha de comando Dcdiag.exe e Netdiag.exe para solucionar problemas de infra-estrutura DNS e o Active Directory. Ambas as ferramentas estão disponíveis online ou no CD de instalação do Windows Server 2003. Para baixar essas ferramentas, visite a página Windows Server 2003 Resource Kit ferramentas da Web:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

Propriedades

ID do artigo: 824449 - Última revisão: terça-feira, 27 de fevereiro de 2007 - Revisão: 4.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbdirservices kbprb KB824449 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 824449

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com