Jak řešit potíže s replikací služby Active Directory pomocí DNSLint

Souhrn

Tento článek popisuje, jak řešit potíže s replikací služby Active Directory pomocí nástroje DNSLint.

Služba Active Directory je distribuovaná databáze. Slouží k ukládání informací o objektech v síti a umožňují uživatelům přístup k těmto informacím. Replikace služby Active Directory slouží k synchronizaci replik oddílů mezi řadiči domény v doménové struktuře služby Active Directory. Tento proces replikace umožňuje uživatelům získat přístup k informacím z všude, kde jsou v síti. Pokud tento proces replikace nefunguje, jak je navržena, může dojít k výpadku služby, které spoléhají na informace ze služby Active Directory: přihlášení k doméně a přístup k síťovým prostředkům, jako jsou soubory a tiskárny.

Replikace služby Active Directory závisí na systému DNS (Domain Name) pro překlad názvů na adresy IP podle potřeby. Řadič domény služby Active Directory obvykle registruje různých záznamů DNS nakonfigurovanému serveru DNS při spuštění jeho služby netlogon. DNSLint je nástroj Microsoft Windows, se systémem Windows 2000 a novějších operačních systémech. Mezi další použití může pomoci vyřešit problémy s replikací služby Active Directory. Konkrétně může pomoci určit dvě věci:

  • Zda se všechny servery DNS, které mají jako autoritativní pro kořenové doménové struktury služby Active Directory mají skutečně potřebné záznamy DNS úspěšně synchronizace replik oddílů mezi řadiči domény v doménové struktuře služby Active Directory. DNSLint identifikuje záznamy DNS, které chybí každý autoritativní server DNS.
  • Zda konkrétní řadič domény služby Active Directory lze vyřešit všechny potřebné záznamy DNS Chcete-li úspěšně synchronizace replik oddílu mezi řadiči domény v doménové struktuře služby Active Directory. DNSLint identifikuje záznamy DNS, které nemohou být vyřešeny řadič domény, který je právě testován.

Poradce při potížích

Pokud řadič domény služby Active Directory k replikaci s jiným řadičem domény, používá službu DNS k vyhledání řadičů domény. Tento proces probíhá takto:

  1. Inicializace replikace (DC1) řadič domény odešle dotaz v hledání jeho nakonfigurované partnerské servery pro replikaci služby Active Directory. Tyto partnerské servery pro replikaci jsou obvykle definovány tak, že kontrola konzistence znalostí (KCC), ale lze také definovat ručně.

    Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

    244368 jak optimalizovat replikace služby Active Directory v rozsáhlé síti

    DC1 zná název řadiče domény, který chce replikovat (DC2). Identifikátor GUID vyhledá ve službě Active Directory, který odpovídá názvu cílového řadiče domény (DC2). Všimněte si, že každý řadič domény v doménové struktuře by měl mít svůj vlastní jedinečný identifikátor GUID.
  2. Nyní, když DC1 zná jeho DC2 identifikátor GUID, jej musíte najít adresu IP daného DC2 tak, aby k němu můžete připojit prostřednictvím sítě. To provedete DC1 používá službu DNS. DC1 odešle rekurzivního dotazu DNS na server DNS místně konfigurované pro záznam CNAME. Formát tohoto záznamu vždy odpovídá následující

    identifikátor GUID._msdcs. kořenové doménové struktury služby Active Directory
    Identifikátor guid je identifikátor GUID, který DC1 nalezen ve službě Active Directory, kde je kořenové doménové struktury služby Active Directory kořenové doménové struktury služby Active Directory. Například

    91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
    kde 91f9b084-4876-4b59-be17-59e74c340221 je identifikátor GUID a reskit.com je kořenové doménové struktury služby Active Directory.

    Server DNS místně konfigurované v počítači DC1 by měly odpovídat na dotaz pro CNAME s aliasem. Alias je jiný název pro identifikátor GUID. Například identifikátor GUID 91f9b084-4876-4b59-be17-59e74c340221 je přeložen na dc 02.reskit.com.
  3. Nyní, když DC1 zná alias pro identifikátor GUID, ji musí odpovídat alias adresy IP tak, aby se můžete připojit k DC2 v síti. DC1 odešle rekurzivního dotazu DNS na server DNS místně konfigurované pro záznam hostitele (A), který odpovídá názvu aliasu. By měly odpovědět na server DNS s adresou IP, která byla namapována na alias--například 169.254.66.7
  4. Nyní, že zná DC1 DC2 jeho adresa IP se můžete připojit k DC2 prostřednictvím sítě a replikovat data služby Active Directory.
Je-li tento proces neúspěšné, replikace služby Active Directory mezi řadiči domény, je také neúspěšné a dat se může stát nekonzistentní v řadičích domény. DNSLint může pomoci určit, zda jsou záznamy DNS používané v tomto procesu na místě a může být vyřešen.

  1. Chcete-li zjistit, zda k problému replikace služby Active Directory mezi řadiči domény v doménové struktuře služby Active Directory způsobuje DNS, spusťte následující příkaz

    dnslint /ad 169.254.32.1 /s 169.254.10.22


    kde /ad parametr slouží k určení řadiče domény služby Active Directory, který lze použít k vyhledání identifikátory GUID u všech řadičů domény v doménové struktuře služby Active Directory. Ve výchozím nastavení všechny řadiče domény v doménové struktuře by měl mít tyto informace. Parametr /s je vyžadován při použití /ad funkce. Přepínač /s používá k zjištění DNSLint adresu IP serveru DNS, který je autoritativní pro zóny _msdcs. Kořenová zóna.

    Při spuštění tohoto příkazu, první kontakty DNSLint zadaný řadič domény služby Active Directory po /ad přepínač (169.254.32.1). Tento příkaz způsobí, že DNSLint dotaz služby Active Directory v tomto řadiči domény pro identifikátory GUID v doménové struktuře služby Active Directory. Konkrétně se dotáže následující umístění ve službě Active Directory

    CN = NTDS Settings, CN = Sites, CN = konfigurace, DC = reskit, DC = com
    Pokud DC = reskit, DC = com je kořenové doménové struktury služby Active Directory.

    Tento typ dotazu Lightweight Directory Access Protocol (LDAP) vyžaduje ověření ke službě Active Directory. Obvykle DNSLint je spuštěna v kontextu zabezpečení uživatele, který spustil příkaz. Tato uživatelská pověření použitá k ověření ke službě Active Directory během operace vazby LDAP. Pokud jsou pověření platná, a uživatel má přístup k těmto informacím ve službě Active Directory, vazba je úspěšná a služby Active Directory vyhledány identifikátory GUID. Pokud vazba neproběhne úspěšně, nebude provedeno hledání a celá operace neproběhne úspěšně. DNSLint vrátí chybu uživatel v těchto případech.

    Pokud seznam identifikátorů GUID je vrácena z zadaný řadič domény, odešle DNSLint dotaz DNS na server DNS, který je určen pomocí parametru /s . V příkladu výše v tomto kroku bude odesláno 169.254.10.22 dotazy DNS. Pokud není tento server DNS autoritativní pro zóny _msdcs. kořenové doménové struktury služby Active Directory, operace může skončit bez hledání GUID dříve nalezeny všechny záznamy DNS. /S možnost, musíte zadat adresu IP serveru DNS, který je autoritativní pro zóny _msdcs. podřízené domény kořenové doménové struktury služby Active Directory .

    V některých prostředích, jako jsou ty, ve kterých server DNS nepřijímá dynamické aktualizace hostitelem kořenové zóny byla přenesena na server DNS, který není autoritativní pro kořenové doménové struktury služby Active Directory zóny _msdcs. DNSLint kontroluje tohoto delegování před pokračováním další dotazy DNS. Tento krok pomůže vyhnout se odesílání dotazů DNS na servery DNS, které by neměly být testovány.

    DNSLint se pokusí zjistit další servery DNS, které jsou autoritativní pro kořenové doménové struktury služby Active Directory během zpracování dotazů DNS. Po DNSLint zjistil servery DNS, které jsou autoritativní pro kořenové doménové struktury služby Active Directory, odešle dotaz DNS server (nebo servery) pro záznamy CNAME, které najde v adresáři Active Directory. Jako každý záznam CNAME se překládá na alias, rovněž snaží vyřešit glue (A) záznam pro každý alias DNSLint. Jak bylo uvedeno dříve v tomto článku, jsou tyto záznamy DNS vyžaduje replikace služby Active Directory.

    DNSLint pak vytvoří sestavu ve formátu HTML (a volitelně textovou zprávu). Sestava zahrnuje všechny identifikátory GUID nalezen ve službě Active Directory servery DNS jako autoritativní pro kořenové doménové struktury služby Active Directory a výsledky všech CNAME a připevnit (A) záznam dotazy na tyto servery nalezen. Oznámí, že záznamy CNAME a připevnit (A) záznamy, které byly na každý server DNS nebyl nalezen. Tuto sestavu lze opravit všechny problémy DNS, které mohou být příčinou potíže s replikací služby Active Directory, jako jsou například chybějící nebo nesprávné záznamy DNS.
  2. Chcete-li zjistit, zda konkrétní řadič domény služby Active Directory lze vyřešit všechny záznamy DNS úspěšně synchronizace replik oddílů mezi řadiči domény v doménové struktuře služby Active Directory nutné, spusťte následující příkaz na řadiči domény, které jsou testovány:

    dnslint /ad /s localhost
    Protože po /ad přepínač není zadána žádná adresa IP, adresa 127.0.0.1 je použít. To znamená, že řadič domény bude dotaz samotný seznam záznamů identifikátor GUID. Chcete-li, můžete zadat server LDAP řadiči domény alternativní. Pokud zadáte localhost za přepínač /s toto říká DNSLint použití DNS server (nebo servery) nakonfigurován v řadiči domény, které je právě testován řešení CNAME a připevnit (A) záznamy se používají pro replikaci služby Active Directory. Tato specifikace odešle rekurzivní dotazy DNS řadiče domény místně konfigurovat DNS server (nebo servery) k určení, zda řadič domény může vyřešit potřebné záznamy. To neznamená, že všechny servery řadiče místní domény DNS jsou kontrolovány pro tyto záznamy. Seznam serverů DNS řadiče domény je spravovány podle jeho chování. To znamená, že druhý server DNS v seznamu se používá pouze v případě, že první z nich neodpovídá. Tento test pouze určuje, zda řadič domény může vyřešit záznamy DNS pro replikaci služby Active Directory. Žádný konkrétní server DNS je testován.

    Sestava, která generuje DNSLint pak lze opravit všechny problémy DNS, které mohou způsobit problémy s replikací služby Active Directory, jako jsou například chybějící nebo nesprávné záznamy DNS.

Následující soubor je k dispozici pro stažení z Microsoft Download Center:
Download Stáhněte balíček dnslint.v204.exe nyní.

Další informace o stažení Microsoft Support soubory klepněte na následující číslo článku databáze Microsoft Knowledge Base:
119591 jak získat soubory podpory společnosti Microsoft ze serverů služeb online
Microsoft zkontroloval tento soubor na přítomnost virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici k datu, kdy byl soubor vydán. Soubor je uložen na zabezpečených serverech, které pomáhají zabránit neoprávněným změnám v souboru.


Další informace o nástroji DNSLint klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

Popis nástroje DNSLint 321045

Vlastnosti

ID článku: 321046 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor