疑難排解因 DNS 查閱失敗而發生的 Active Directory 複寫失敗,事件識別碼 2087 或事件識別碼 2088

文章翻譯 文章翻譯
文章編號: 824449 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文說明當執行 Microsoft Windows 2000 或 Microsoft Windows Server 2003 的網域控制站因 DNS 查閱失敗而無法複寫 Active Directory 時,系統管理員以及技術支援工程師要遵循的動作計劃。排解因缺少 DNS 名稱解析而發生的複寫或其他元件失敗的系統管理員均應遵循這個動作計劃。

本文也討論兩個新的事件:事件識別碼 2087 和事件識別碼 2088,它們是由執行 Windows Server 2003 with Service Pack 1 (SP1) 的目標網域控制站所記錄的。當缺少 DNS 名稱解析而無法進行 Active Directory 目錄服務磁碟分割的輸入複寫時,便會發生這些事件。尤其是,在這種問題中,Windows Server 2003 SP1 目標網域控制站會在 DNS 中使用來源網域控制站的完整電腦名稱,或在 Windows 網際網路名稱服務 (WINS) 中使用來源網域控制站的 NetBIOS 電腦名稱。Windows Server 2003 中增強功能的目標是要將 DNS 用戶端或 DNS 伺服器組態設定錯誤對 Active Directory 複寫的影響減至最低。

徵狀

在 Microsoft Windows Server 2003 Service Pack 1 (SP1) 網域控制站上,下列事件訊息可能會記錄在目錄服務事件日誌中。

訊息 1

類型:錯誤
來源:NTDS 複寫
類別:DS RPC 用戶端
事件識別碼:2087
使用者:NT AUTHORITY\ANONYMOUS LOGON
電腦:ComputerName
描述:
Active Directory 無法將來源網域控制站的下列 DNS 主機名稱解析成 IP 位址。這個錯誤會造成無法在樹系中的一個或多個網域控制站之間複寫 Active Directory 中的新增、刪除和變更。在解決這個問題之前,安全性群組、群組原則、使用者和電腦及其密碼在網域控制站之間將會不一致,可能會影響登入驗證和網路資源的存取。

來源網域控制站:DomainControllerName
失敗的 DNS 主機名稱:GUID._msdcs.DNSDomainName

注意:依預設,在任何指定的 12 小時內,即使發生的 DNS 失敗次數超過 10 次,最多也只會顯示 10 次。如果要記錄所有的個別失敗事件,請將下面的診斷登錄值設定為 1:

登錄路徑:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

使用者動作:

1) 如果來源網域控制站不再運作,或已使用不同的電腦名稱或 NTDSDSA 物件 GUID 重新安裝其作業系統,請依照 MSKB 文件 216498 中所述的步驟,使用 ntdsutil.exe 移除來源網域控制站的中繼資料。

2) 輸入「net view \\<來源 DC 名稱>」或「ping <來源 DC 名稱>」,確認來源網域控制站正在執行 Active Directory,並且可以在網路上存取。

3) 確認來源網域控制站正使用有效的 DNS 伺服器進行 DNS 服務,而且來源網域控制站的主機記錄和 CNAME 記錄的登錄都是正確的,方法為使用可從 http://www.microsoft.com/dns 取得的 DCDIAG.EXE 的 DNS 加強版本

dcdiag /test:dns

4) 確認此目標網域控制站正使用有效的 DNS 伺服器進行 DNS 服務,方法為在目標網域控制站的主控台上執行 DCDIAG.EXE 命令的 DNS 加強版本,如下:

dcdiag /test:dns

5) 如需 DNS 錯誤的詳細分析,請參閱 KB 824449:http://support.microsoft.com/?kbid=824449

其他資料
錯誤值:
11004 要求的名稱正確,但找不到所要求類型的資料。

訊息 2

類型:警告
來源:NTDS 複寫
類別:DS RPC 用戶端
事件識別碼:2088
使用者:NT AUTHORITY\ANONYMOUS LOGON
電腦:ComputerName
描述:
Active Directory 無法使用 DNS 來解析下面列出的來源網域控制站的 IP 位址。為了保持安全性群組、群組原則、使用者和電腦及其密碼的一致性,Active Directory 已使用來源網域控制站的 NetBIOS 或完整電腦名稱成功進行複寫。

無效的 DNS 組態設定可能會影響此 Active Directory 樹系中的成員電腦、網域控制站或應用程式伺服器上的其他基本作業,包括登入驗證或網路資源的存取。

您應該要立刻解決這個 DNS 組態設定錯誤,讓此網域控制站可以使用 DNS 解析來源網域控制站的 IP 位址。

備用伺服器名稱:AlternateServerName
失敗的 DNS 主機名稱:GUID._msdcs.DNSDomainName

注意:依預設,在任何指定的 12 小時內,即使發生的 DNS 失敗次數超過 10 次,最多也只會顯示 10 次。如果要記錄所有的個別失敗事件,請將下面的診斷登錄值設定為 1:

登錄路徑:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

使用者動作:

1) 如果來源網域控制站不再運作,或已使用不同的電腦名稱或 NTDSDSA 物件 GUID 重新安裝其作業系統,請依照 MSKB 文件 216498 中所述的步驟,使用 ntdsutil.exe 移除來源網域控制站的中繼資料。

2) 輸入「net view \\<來源 DC 名稱>」或「ping <來源 DC 名稱>」,確認來源網域控制站正在執行 Active Directory,並且可以在網路上存取。

3) 確認來源網域控制站正使用有效的 DNS 伺服器進行 DNS 服務,而且來源網域控制站的主機記錄和 CNAME 記錄的登錄都是正確的,方法為使用可從 http://www.microsoft.com/dns 取得的 DCDIAG.EXE 的 DNS 加強版本

dcdiag /test:dns

4) 確認此目標網域控制站正使用有效的 DNS 伺服器進行 DNS 服務,方法為在目標網域控制站的主控台上執行 DCDIAG.EXE 命令的 DNS 加強版本,如下:

dcdiag /test:dns

5) 如需 DNS 錯誤的詳細分析,請參閱 KB 824449:http://support.microsoft.com/?kbid=824449

其他資料
錯誤值:
11004 要求的名稱正確,但找不到所要求類型的資料。

當 Active Directory 複寫因 DNS 或 NetBIOS 查閱失敗而失敗時,便會發生事件識別碼 2087。特別是,記錄事件識別碼 2087 的網域控制站無法使用下列其中一項來解析複寫協力電腦的 IP 位址:
  • CNAME 資源記錄
  • DNS 中的完整電腦名稱
  • NetBIOS 電腦名稱
由於記錄事件的網域控制站無法執行輸入複寫,因此 Active Directory 資料在網域控制站之間可能會不一致。例如,使用者和電腦群組資訊可能會不一致。

當下列情況成立時,便會發生事件識別碼 2088:
  • Active Directory 複寫無法使用 DNS 將複寫協力電腦的 CNAME 資源記錄解析成 IP 位址。
  • Active Directory 可以在 DNS 中使用複寫協力電腦的完整電腦名稱、或在 WINS 或 NetBIOS 廣播中使用複寫協力電腦的 NetBIOS 電腦名稱來解析協力電腦的 IP 位址。
注意 即使 NetBIOS 名稱解析成功,還是必須調查並解決所有的 DNS 名稱解析失敗,因為 DNS 組態設定錯誤會造成 Active Directory 功能失敗。

發生的原因

DNS 查閱問題可能會造成 Active Directory 複寫在下列其中一方面的失敗:
  • 案例 1:某網域控制站嘗試與另一台離線的網域控制站進行複寫,而離線網域控制站的 Active Directory 和 DNS 資料尚未更新或刪除以指出該網域控制站已無法存取。
  • 案例 2:某網域控制站嘗試與另一台連線中的網域控制站進行複寫,但是由於 DNS 或網路方面的問題,兩台網域控制站都找不到對方。
所有網域控制站都會在 DNS 中登錄 SRV、A 和 CNAME 記錄。CNAME 記錄的格式為 Dsa_Guid._msdcs.Dns_Domain_NameDsa_Guid 是網域控制站的目錄系統代理 (DSA) 物件的 GUID。Dns_Domain_Name 是網域控制站所在的樹系的名稱。網域控制站需要 CNAME 記錄來尋找及識別其複寫協力電腦。

網域控制站上的 Net Logon 服務會登錄所有的 SRV 記錄。網域控制站上的 DNS 用戶端服務會登錄 DNS 主機 (A) 記錄和 GUID CNAME 記錄。

網域控制站會使用下列步驟找出其複寫協力電腦:
  1. 網域控制站會使用 DNS 尋找其複寫協力電腦的 CNAME 記錄。
  2. 如果查閱失敗,網域控制站便會尋找其複寫協力電腦的 DNS A 記錄。例如,網域控制站會尋找 dc-03.corp.contoso.com。
  3. 如果 DNS A 記錄查閱失敗,網域控制站便會使用其複寫協力電腦的主機名稱來執行 NetBIOS 廣播。例如,網域控制站會使用 dc-03。

解決方案

案例 1

如果要移除不再使用的網域控制站所留下的 Active Directory 和 DNS 資料,請依照下列「Microsoft 知識庫」文件中的程序進行:
216498HOW TO:在網域控制站降級失敗後,移除 Active Directory 中的資料
如果網域控制站必須處於連線狀態,請解決封鎖問題,然後讓網域控制站再次連線。當您重新啟動網域控制站時,會自動登錄 Active Directory 與目標網域控制站進行複寫所需要的 Active Directory 和 DNS 資料。

如果您不想重新啟動網域控制站,但是想要重新登錄其 DNS 記錄,請進行步驟 7「在 DNS 中登錄資源記錄」。

案例 2

如果是因為目標網域控制站無法解析複寫協力電腦的 DNS 名稱而沒有發生複寫,您就必須診斷 DNS 和網路連線問題以判斷失敗的來源。

如果要診斷及修正 Active Directory 複寫的 DNS 支援,請執行下列步驟:
  1. 蒐集資訊。

    您必須有下列資訊才能診斷及修正 Active Directory 複寫以及依存 DNS 的其他作業的 DNS 支援:
    • 來源網域控制站的完整網域名稱 (FQDN) 和 IP 位址。
    • 主控 Active Directory 網域名稱的 DNS 區域的 DNS 伺服器之 FQDN 和 IP 位址。
    注意 如果網域控制站也執行主控 Active Directory 網域名稱的 DNS 區域的 DNS 伺服器服務,網域控制站和 DNS 伺服器資訊可能會相同。
  2. 確認網路連線設定。
    1. 在回報錯誤的網域控制站上,按一下 [控制台] 中的 [網路連線]
    2. 用滑鼠右鍵按一下您想要設定的網路連線,然後按一下 [內容]
    3. [一般] 索引標籤 (區域連線) 或 [網路功能] 索引標籤 (所有其他連線) 上,按一下 [Internet Protocol (TCP/IP)],然後按一下 [內容]
    4. [使用下列的 DNS 伺服器位址] 中,確認偏好的 DNS 伺服器或備用的 DNS 伺服器具有主控 Active Directory 網域名稱的 DNS 區域的 DNS 伺服器之正確 IP 位址。

      注意 我們建議將網域控制站的偏好 DNS 伺服器放在本機或連線狀況良好的集線器站中。如果您使用此類集線器站,可減少複寫動作的延遲。
    5. 如果 IP 位址正確,請進行步驟 3。如果 IP 位址不正確,請輸入正確的位址,然後進行步驟 7。
  3. 確認連線能力。

    如果要確認連線能力,請在目標網域控制站上使用 ping 命令,以尋找來源網域控制站和 DNS 伺服器的 IP 位址。
    在目標網域控制站的命令提示字元中輸入下列命令,然後在各命令後按 ENTER:

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    如果任一命令失敗,表示可能有網路連線能力錯誤。請連絡網路管理員以診斷及修正這個錯誤。如果兩個命令均成功,表示錯誤是在 DNS 中。
  4. 確認 DNS 伺服器服務在執行中。

    如果目標網域控制站是設定為使用本機 DNS 伺服器,請確認 DNS 伺服器服務在執行中。如果要執行這項操作,請在命令提示字元中輸入 net start "DNS Server",然後按 ENTER。

    如果 DNS 伺服器服務在執行中,便會出現訊息指出服務在執行中。如果已安裝 DNS 伺服器服務,但服務未在執行中,此命令便會啟動 DNS 伺服器服務。

    如果未安裝 DNS 伺服器服務,便會出現訊息指出伺服器名稱無效。如果目標網域控制站是設定為使用遠端 DNS 伺服器,請使用 DNS 主控台來啟動 DNS 伺服器服務。如果要執行這項操作,請依照下列步驟執行:
    1. 開啟 DNS 主控台。
    2. [動作] 功能表上按一下 [連線到 DNS 伺服器]
    3. [連線到 DNS 伺服器] 中,按一下 [下列電腦]
    4. 如果要連線到遠端伺服器,請指定遠端伺服器的 DNS 電腦名稱或其 IP 位址。
    5. 按一下以選取 [立即連線到指定電腦] 核取方塊,然後按一下 [確定]
    6. [動作] 功能表上,指向 [所有工作],然後按一下 [開始]
  5. 確認已登錄資源記錄。

    目標網域控制站會使用 DNS CNAME 資源記錄 Dsa_Guid._msdcs.Dns_Domain_Name 來尋找它的來源網域控制站複寫協力電腦。如果要確認此資源記錄是在 Active Directory 網域名稱的 DNS 區域中,請執行下列步驟:
    1. 開啟主控台樹狀目錄中的 DNS 主控台。尋找正在執行 DNS 伺服器服務的任何網域控制站,該服務主控與 Active Directory 網域名稱有相同名稱的 DNS 區域。
    2. 在主控台樹狀目錄中,按一下名為 _msdcs.Dns_Domain_Name 的區域。

      在 Windows 2000 Server DNS 中,_msdcs.Dns_Domain_Name 是 Active Directory 網域名稱的 DNS 區域的子網域。在 Windows Server 2003 中,_msdcs.Dns_Domain_Name 是另外的區域。
    名為 _msdcs.Dns_Domain_Name 的區域必須包含:
    • 名為 Dsa_Guid._msdcs.Dns_Domain_Name 的 CNAME 資源記錄。
    • 在 CNAME 記錄中視為目標主機的 DNS 伺服器名稱的對應 A 資源記錄。


    如果沒有資源記錄,請進行步驟 6 以診斷 Net Logon 服務為何沒有自動登錄資源記錄。
  6. 確認主控 Active Directory 網域名稱的區域的 DNS 伺服器服務是設定為接受動態更新。
    1. 在 DNS 主控台中,用滑鼠右鍵按一下適用區域,然後按一下 [內容]
    2. [一般] 索引標籤上,確認區域類型為 [Active Directory–整合]
    3. [動態更新] 中,按一下 [只有安全的]。(在 Windows 2000 Server 中,安全的動態更新選項名為 [只有安全性更新]。)
  7. 在 DNS 中登錄 DNS 資源記錄。

    網域控制站上的 Net Logon 服務會登錄在網路中尋找網域控制站所需要的 DNS 資源記錄。如果要在來源網域控制站上手動初始化此登錄,在命令提示字元中輸入下列命令,然後在各命令後按 ENTER:

    net stop "net logon"

    net start "net logon"

    DNS 用戶端服務會登錄 CNAME 記錄指向的主機 (A) 資源記錄。如果要在來源網域控制站上初始化此登錄,在命令提示字元中輸入 ipconfig /registerdns,然後按 ENTER。
  8. 確認資源記錄登錄。

    如果要確認已成功登錄的記錄,請進行步驟 5「確認已登錄資源記錄」。
  9. 在來源和目標網域控制站上強制執行複寫。
    1. 在目標網域控制站上,開啟 [Active Directory 站台及服務]
    2. 在主控台樹狀目錄中,按一下您要強制複寫的網域控制站的 [NTDS 設定]
    3. 在詳細資料窗格中,用滑鼠右鍵按一下您複寫目錄資訊時所要使用的連線,然後按一下 [立即複寫]
    您也可以使用 repadminreplmon 命令列工具。這些工具可從您的 Windows Server 2003 安裝 CD 上取得。(repadmin 命令是 repadmin /syncall /d /e /P source_domain_controller。)
  10. 調查其他問題。

    如果前述步驟沒有解決錯誤,網域控制站可能就無法動態登錄其 DNS 資源記錄,因為網域控制站用於名稱解析的 DNS 伺服器找不到這些資源記錄的主要授權管理區域。在這種情況下,有兩種可能的原因:

其他相關資訊

您也可以使用 Netdiag.exeDcdiag.exe 命令列工具來排解 DNS 和 Active Directory 基礎結構的問題。這兩種工具都可以從線上或 Windows Server 2003 安裝 CD 上取得。如果要下載這些工具,請造訪 Windows Server 2003 Resource Kit Tools 網頁:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

屬性

文章編號: 824449 - 上次校閱: 2006年2月25日 - 版次: 4.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbprb kbdirservices KB824449
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com