Устранение неполадок, связанных с репликацией Active Directory, возникающие из-за сбоев поиска DNS, событие ID 2087 или событие ID 2088

Переводы статьи Переводы статьи
Код статьи: 824449 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается план действий для администраторов и специалистов службы поддержки по контроллеров домена под управлением Microsoft Windows 2000 или Microsoft Windows Server 2003 не удается выполнить репликацию Active Directory из-за ошибки поиска DNS. Администраторам для устранения неполадок репликации или других ошибок компонента, возникающие из-за отсутствия разрешения имен DNS следует придерживаться этого плана действий.

В этой статье также рассматриваются две новые события, 2088 идентификатор события и событие ID 2087, зарегистрированных контроллерами домена назначения под управлением Windows Server 2003 Пакет обновления 1 (SP1). Эти события происходят, когда отсутствие разрешения DNS-имен предотвращает входящую репликацию разделов службы каталогов Active Directory. Более значительно в данной ситуации, контроллеры домена под управлением Windows Server 2003 SP1 назначения будет использовать полное доменное имя исходного контроллера домена в DNS или NetBIOS-имя исходного контроллера домена в Интернете имя службы WINS (Windows). Цель усовершенствований в Windows Server 2003 — свести к минимуму влияние на репликацию Active Directory DNS-клиент или ошибки конфигурации сервера DNS.

Проблема

В Microsoft Windows Server 2003 Пакет обновления 1 (SP1)-контроллер домена на основе, сообщения в журнал событий службы каталогов регистрируется следующее событие.

Сообщение 1

Тип: ошибка
Источник: Репликация NTDS
Категория: Клиент DS RPC
Код события: 2087
Пользователь: NT AUTHORITY\ANONYMOUS входа
Компьютер: ComputerName
Описание:
Active Directory не удалось разрешить следующее имя узла DNS исходного контроллера домена в IP-адрес. Эта ошибка не допускает добавления, удаления и изменения в Active Directory репликации между один или несколько контроллеров домена в лесу. Группы безопасности, Групповая политика, пользователей и компьютеров и пароли не будут согласованы между контроллерами домена, пока эта ошибка не будет исправлена, потенциально влияет на вход в систему проверки подлинности и доступа к сетевым ресурсам.

Исходный контроллер домена: DomainControllerName
Сбой DNS-имя узла: ИДЕНТИФИКАТОР GUID._msdcs.DNSDomainName

Примечание: По умолчанию до 10 ошибок DNS отображаются для любого заданного 12 часов периода, даже в случае более 10 ошибок. В журнал все события отдельных сбоев, установите следующие диагностики реестра значение 1:

Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена не работает или его операционной системе переустановлен с именем другого компьютера или NTDSDSA объект GUID, удалите метаданные исходного контроллера домена с помощью ntdsutil.exe, выполнив действия, описанные в статье MSKB 216498.

2) убедитесь, что исходный контроллер домена Active directory работает и доступен в сети, введя «net view \\<source dc="" name="">» или «ping <source dc="" name="">».

3) Убедитесь, что исходный контроллер домена с помощью допустимого DNS-сервера для службы DNS, и что запись узла исходного контроллера домена и CNAME-записи правильно зарегистрированы, с помощью DNS расширенной версии DCDIAG.EXE, доступная в http://www.microsoft.com/dns

dcdiag /test:dns

4) убедитесь, что контроллер домена назначения используется допустимое DNS-сервера для службы DNS, запустив DNS улучшенной версии DCDIAG.Команда exe-файла на консоли конечный контроллер домена, как показано ниже:

dcdiag /test:dns

5) для дальнейшего анализа DNS ошибка сбоев см КБ 824449: http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки:
11004 запрошенное имя верно, но данные запрошенного типа не найден. </source></source>

Сообщение 2

Тип: предупреждение
Источник: Репликация NTDS
Категория: Клиент DS RPC
Код события: 2088
Пользователь: NT AUTHORITY\ANONYMOUS входа
Компьютер: ComputerName
Описание:
Active Directory не удалось использовать DNS для разрешения IP-адрес исходного контроллера домена, перечисленные ниже. Для обеспечения согласованности групп безопасности, Групповая политика, пользователей и компьютеров и пароли, Active Directory репликацию с помощью имени NetBIOS или полного имени компьютера исходного контроллера домена.

Недопустимая конфигурация DNS может влиять другие важные операции на рядовых компьютерах, контроллеры домена или серверы приложений в этом лесу Active Directory, включая проверку подлинности и доступ к сетевым ресурсам.

Сразу же следует устранить эту ошибку конфигурации DNS, таким образом, чтобы этот контроллер домена может разрешить IP-адрес исходного контроллера домена с использованием службы DNS.

Имя альтернативного сервера: AlternateServerName
Сбой DNS-имя узла: ИДЕНТИФИКАТОР GUID._msdcs.DNSDomainName

Примечание: По умолчанию до 10 ошибок DNS отображаются для любого заданного 12 часов периода, даже в случае более 10 ошибок. В журнал все события отдельных сбоев, установите следующие диагностики реестра значение 1:

Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена не работает или его операционной системе переустановлен с именем другого компьютера или NTDSDSA объект GUID, удалите метаданные исходного контроллера домена с помощью ntdsutil.exe, выполнив действия, описанные в статье MSKB 216498.

2) убедитесь, что исходный контроллер домена Active directory работает и доступен в сети, введя «net view \\<source dc="" name="">» или «ping <source dc="" name="">».

3) Убедитесь, что исходный контроллер домена с помощью допустимого DNS-сервера для службы DNS, и что запись узла исходного контроллера домена и CNAME-записи правильно зарегистрированы, с помощью DNS расширенной версии DCDIAG.EXE, доступная в http://www.microsoft.com/dns

dcdiag /test:dns

4) убедитесь, что контроллер домена назначения используется допустимое DNS-сервера для службы DNS, запустив DNS улучшенной версии DCDIAG.Команда exe-файла на консоли конечный контроллер домена, как показано ниже:

dcdiag /test:dns

5) для дальнейшего анализа DNS ошибка сбоев см КБ 824449: http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки:
11004 запрошенное имя верно, но данные запрошенного типа не найден. </source></source>

Событие ID 2087 происходит при сбое репликации службы каталогов Active Directory из-за сбоя поиска NetBIOS или DNS. В частности контроллер домена, записавшего событие ID 2087 не удалось разрешить IP-адрес партнера репликации, используя один из следующих:
  • Запись ресурса CNAME
  • Полное имя компьютера в DNS
  • NetBIOS-имя компьютера
Поскольку контроллер домена, который записывает события не удается выполнить входящую репликацию, данные Active Directory может быть несовместимость между контроллерами домена. Например сведения о группах пользователей и компьютеров могут оказаться несогласованными.

Событие с кодом 2088 возникает, когда выполняются следующие условия:
  • Репликация Active Directory не удалось разрешить запись ресурса CNAME партнер репликации IP-адреса при помощи DNS.
  • Active Directory может разрешить IP-адрес партнера по репликации с помощью партнера полное имя компьютера в службе DNS или с помощью партнера NetBIOS-имя компьютера в службе WINS или широковещательный NetBIOS.
Примечание Даже если разрешение имен NetBIOS успешно, необходимо изучить все ошибки при разрешение имен DNS и устранена, ошибки конфигурации DNS может вызвать сбой функции службы каталогов Active Directory.

Причина

Проблемы поиска DNS может привести к сбою одним из следующих способов репликации Active Directory:
  • Случай 1: Контроллер домена пытаются выполнить репликацию с другого контроллера домена, который находится в автономном режиме, а данные Active Directory и DNS для отключенного контроллера домена не обновлены или удалены для указания того, что контроллер домена недоступен.
  • Случай 2: Контроллер домена пытаются выполнить репликацию с другого контроллера домена, который находится в оперативном режиме, но из-за DNS или сетевых проблем, контроллеры домена не удается найти друг друга.
Все контроллеры домена регистрируют SRV, A и записи CNAME в DNS. CNAME-запись имеет вид Dsa_Guid._msdcs.Dns_Domain_Name. Dsa_Guid — Идентификатор GUID объекта агента (DSA) каталог системы контроллера домена. Dns_Domain_Name — Это имя леса, в котором находится контроллер домена. Контроллеров домена необходимо использовать запись CNAME для поиска и идентификации партнеров репликации.

Служба сетевого входа в систему на контроллере домена регистрирует записи SRV. Служба DNS-клиента на контроллере домена регистрирует запись DNS узла (A) и идентификатор GUID CNAME-запись.

Контроллер домена использует следующие шаги для обнаружения его партнера репликации:
  1. Контроллер домена использует DNS для поиска CNAME-запись его партнера репликации.
  2. Если поиск заканчивается неудачно, контроллер домена ищет запись DNS A его партнера репликации. Например контроллер домена выполняет поиск dc-03.corp.contoso.com.
  3. Если при поиске записи DNS A завершается неудачно, контроллер домена выполняет NetBIOS вещания с использованием имени узла его партнера репликации. Например контроллер домена использует dc-03.

Решение

Случай 1

Чтобы удалить данные Active Directory и DNS, оставленные с помощью контроллера домена, который больше не используется, выполните процедуру, описанную в следующей статье базы знаний Майкрософт:
216498 Удаление данных в Active Directory после понижения роли контроллер домена неудачно
Если контроллер домена должен находиться в оперативном режиме, разрешить блокирующую проблему и затем обратно в оперативный режим размещения контроллера домена. При перезагрузке контроллера домена автоматически регистрировать Active Directory и данных DNS, необходимые для репликации Active Directory с контроллера домена назначения.

Если перезапустить контроллер домена не требуется, но необходимо перерегистрируют свои записи DNS, перейдите к шагу 7, «регистрация записей ресурсов в DNS.»

Случай 2

Если репликация не происходит, так как конечный контроллер домена не может разрешить DNS-имя партнера по репликации, необходимо выявить DNS и проблем сетевых подключений для определения источника ошибки.

Для диагностики и устранения поддержку DNS для репликации Active Directory, выполните следующие действия.
  1. Сбор сведений.

    Необходимо иметь следующие сведения для диагностики и устранения поддержку DNS для репликации Active Directory и другие операции, которые зависят от DNS:
    • Полное доменное имя (FQDN) и IP-адрес исходного контроллера домена.
    • Полное доменное имя и IP-адрес DNS-сервера, на котором размещена зона DNS для имени домена Active Directory.
    Примечание Контроллер домена и DNS сервера может быть таким же, если контроллер домена также работает служба DNS-сервера, на котором размещена зона DNS для имени домена Active Directory.
  2. Проверьте параметры сетевого подключения.
    1. На контроллере домена, который сообщает об ошибке, нажмите кнопку к сети на панели управления.
    2. Щелкните правой кнопкой мыши сетевое подключение, которое требуется настроить и выберите команду Свойства.
    3. На вкладке Общие для подключения по локальной сети или на вкладке сеть для всех подключений выберите Протокол Интернета (TCP/IP)и нажмите кнопку Свойства.
    4. Использовать следующие адреса DNS-серверов, убедитесь, что предпочитаемый DNS-сервер и Альтернативный DNS-сервер имеет IP-адрес DNS-сервера, на котором размещена зона DNS для имени домена Active Directory.

      Примечание Корпорация Майкрософт рекомендует, что предпочитаемый DNS-сервер на контроллере домена находится на сайте концентратора, локальным или хорошо организованной сети. При использовании веб-узла сервера-концентратора, можно снизить задержку репликации.
    5. Если IP-адреса верны, переходите к шагу 3. Если IP-адрес неверен, введите правильный адрес и перейдите к шагу 7.
  3. Проверьте подключение.

    Для проверки наличия связи, используйте ping команда на конечный контроллер домена для поиска IP-адреса исходного контроллера домена и DNS-сервера.
    На контроллере домена назначения введите в командной строке следующую команду и нажмите клавишу ВВОД после каждой команды:

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    Если любая из команд завершается неудачно, возможно, существует ошибка подключения к сети. Обратитесь к администратору сети для диагностики и исправления этой ошибки. Если обе команды выполняются успешно, с ошибкой в DNS.
  4. Убедитесь, что запущена служба DNS-сервера.

    Если конечный контроллер домена настроен на использование локального DNS-сервера, убедитесь, что запущена служба DNS-сервера. Для этого введите net start «DNS-сервер» в командной строке и нажмите клавишу ВВОД.

    Если запущена служба DNS-сервер, появится сообщение, указывающее, что служба запущена. Если установлена служба DNS-сервера, но эта служба не запущена, команда запускает службу DNS-сервера.

    Если служба DNS-сервер не установлен, появится сообщение, указывающее, что имя сервера не является допустимым.Если конечный контроллер домена настроен на использование удаленного DNS-сервера, используйте консоль DNS для запуска службы сервера DNS. Чтобы сделать это, выполните следующие действия.
    1. Откройте консоль DNS.
    2. В меню Действие выберите команду Подключиться к DNS-серверу.
    3. В подключение к DNS-серверувыберите другой компьютер.
    4. Чтобы подключиться к удаленному серверу, укажите имя DNS компьютера удаленного сервера или его IP-адрес.
    5. Установите соединение с указанным компьютером сейчас и нажмите кнопку ОК.
    6. В меню Действие выберите пункт Все задачии выберите команду Пуск.
  5. Убедитесь, что зарегистрированные записи ресурса.

    Конечный контроллер домена использует запись ресурса DNS CNAME, Dsa_Guid._msdcs.Dns_Domain_Name, чтобы найти его исходного партнера репликации контроллера домена. Для проверки этой записи ресурса в зону DNS для имени домена Active Directory, выполните следующие действия.
    1. В дереве консоли откройте консоль DNS. Найдите любой контроллер домена, на котором служба DNS-сервера, где размещается зона DNS с тем же именем, как имя домена Active Directory служба.
    2. В дереве консоли щелкните зону, которая называется _msdcs.Dns_Domain_Name.

      В Windows 2000 Server DNS _msdcs.Dns_Domain_Name представляет собой поддомен зона DNS для имени домена Active Directory. В Windows Server 2003, _msdcs.Dns_Domain_Name является отдельной зоны.
    Зона, которая называется _msdcs.Dns_Domain_Name должна содержать следующее:
    • Запись ресурса CNAME, которая называется Dsa_Guid._msdcs.Dns_Domain_Name.
    • Соответствующую запись ресурса для имени DNS-сервера, определяемого как конечного узла в запись CNAME.


    Если записи ресурсов не существует, перейдите к шагу 6 провести диагностику причины служба Net Logon не удалось зарегистрировать записи ресурсов автоматически.
  6. Убедитесь, что служба DNS-сервера, на котором размещается зона для имени домена Active Directory настроен на прием динамических обновлений.
    1. В консоли DNS щелкните правой кнопкой мыши необходимую зону и выберите команду Свойства.
    2. На Общие убедитесь, что тип зоны — интегрированных с Active Directory.
    3. В Динамических обновленийвыберите только безопасные. (В Windows 2000 Server возможность безопасного динамического обновления с именем только безопасные обновления.)
  7. Регистрировать DNS-записи ресурсов в DNS.

    Служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов DNS, которые требуются для контроллера домена должна быть расположена в сети. Чтобы вручную инициировать данную регистрацию на исходный контроллер домена, введите в командной строке следующую команду и нажмите клавишу ВВОД после каждой команды:

    net stop «сетевой вход в систему»

    net start "net logon"

    Служба DNS-клиент регистрирует записи ресурсов узла (A), указывающий запись CNAME. Чтобы запустить данную регистрацию на исходный контроллер домена, введите: ipconfig/registerdns в командной строке и нажмите клавишу ВВОД.
  8. Проверка регистрации записей ресурсов.

    Чтобы убедиться, что записи были успешно зарегистрированы, перейдите к шагу 5, «Убедитесь, что зарегистрированные записи ресурсов».
  9. Принудительная репликация на контроллерах домена источника и назначения.
    1. Откройте на конечный контроллер домена Active Directory — сайты и службы.
    2. В дереве консоли выберите Объект NTDS Settings для контроллера домена, необходимо произвести принудительную репликацию на.
    3. В области сведений щелкните правой кнопкой мыши подключение, которое требуется использовать для репликации данных каталога и выберите команду Реплицировать сейчас.
    Можно также использовать repadmin и Replmon средства командной строки. Эти средства доступны на установочный Компакт-диск Windows Server 2003. ( repadmin команда repadmin /syncall /d /e /P source_domain_controller.)
  10. Изучите другие проблемы.

    Если предыдущие действия не устраняют ошибки, контроллер домена не может быть могут динамически регистрировать свои записи ресурсов DNS, так как контроллер домена использует для разрешения имен DNS-серверы не удается найти основной удостоверяющей зоны для этих записей ресурсов. В этом случае возможны две причины:
    • Основной или дополнительный DNS-серверы, используемые конечный контроллер домена для разрешения имен содержит неправильные корневые ссылки. Дополнительные сведения об обновлении корневых ссылок посетите следующие веб-узлы корпорации Майкрософт:
      http://technet2.Microsoft.com/WindowsServer/en/Library/7b69b6f9-f25e-4594-a04b-f08f3effa2031033.mspx
      http://technet2.Microsoft.com/WindowsServer/en/Library/3e3d2262-518f-4e97-a5cb-737ed52d2cd91033.mspx
    • Имеется неправильно выполненное делегирование зон DNS. Эти делегирования начинается с корня и углубления в зону с тем же именем, как имя домена Active Directory. Дополнительные сведения о проверке делегирования зоны посетите следующий веб-узел корпорации Майкрософт:
      http://technet2.Microsoft.com/WindowsServer/en/Library/977fa8ed-ec71-4d39-9f9e-9facd5a613641033.mspx
      .

Дополнительная информация

Также можно использовать средства Dcdiag.exe и Netdiag.exe командной строки для устранения неполадок инфраструктуры DNS и Active Directory. Обе программы доступны в Интернете или на установочном компакт-диске Windows Server 2003. Загрузить эти инструменты можно Windows Server 2003 ресурсов комплекта средств веб-страницы:
http://www.Microsoft.com/downloads/details.aspx?FamilyId=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en

Свойства

Код статьи: 824449 - Последний отзыв: 3 мая 2014 г. - Revision: 10.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbdirservices kbprb kbmt KB824449 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 824449

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com