Windows DNS registriert doppelte SRV-Einträge für einen Domänencontroller, wenn dessen Computername Großbuchstaben enthält

  • Artikel

Dieser Artikel hilft bei der Behebung eines Problems, bei dem Windows DNS doppelte Serverspeicherorteinträge (SRV) für einen Domänencontroller registriert, wenn dessen Computername Großbuchstaben enthält.

Gilt für: Windows Server 2019, Windows Server 2016
Ursprüngliche KB-Nummer: 4496901

Symptome

Sie verfügen über mindestens einen Windows Server 2019-basierten oder Windows Server 2016-basierten Domänencontroller (Domänencontroller, Domänencontroller) in einer Bereitstellung, die AD DS-integrierte DNS-Zonen verwendet. Mindestens einer der DOmänencontroller verfügt über einen Computernamen, der Großbuchstaben enthält.

In diesem Fall stellen Sie fest, dass die DNS-Einträge für die Domäne SRV-Einträge (Duplicate Server Location) für die DCs enthalten, die Großbuchstaben in ihren Computernamen enthalten. Ein Datensatz enthält den Computernamen in RDATA in Kleinbuchstaben, und ein Datensatz enthält den Computernamen in RDATA in der gleichen Groß-/Kleinschreibung wie der Computername.

Ursache

Dieses Verhalten tritt aufgrund einer Änderung in der Art und Weise auf, wie die DNS-Funktionalität von Windows Server das RDATA-Segment eines SRV-Eintrags verwaltet. In Windows Server 2012 R2 und früheren Versionen enthält das RDATA-Segment nur Kleinbuchstaben. Wenn ein Computername Großbuchstaben enthält, konvertiert die DNS-Funktionalität diese in Kleinbuchstaben. Die DNS-Funktionalität der Windows Server 2016 (oder höher) akzeptiert jedoch Groß- und Kleinbuchstaben.

Wenn der DNS-Server überprüft, ob einem Computernamen bereits ein SRV-Eintrag zugeordnet ist, berücksichtigt er keine Änderungen in der Groß-/Kleinschreibung. Daher werden und WinServ16.contoso.com als unterschiedliche Adressen betrachtetwinserv16.contoso.com.

Aus diesem Grund können unerwartete Auswirkungen auftreten, wenn Sie die folgenden Konfigurationen verwenden:

  • Alle DNS-Server und DCs in der Domäne wurden von Windows Server 2012 R2 (oder einer früheren Version) auf Windows Server 2016 (oder eine höhere Version) aktualisiert. Die DNS-Datenbank kann zusätzliche SRV-Einträge für jeden DC generieren, der Großbuchstaben im Computernamen enthält.

  • Alle DNS-Server und DCs in der Domäne werden Windows Server 2012 oder früher ausgeführt. Sie installieren die DNS-Serverrolle auf einem Windows Server 2016 Mitgliedsserver und stufen diesen Mitgliedsserver dann zu einem Domänencontroller in derselben Domäne herauf. Wenn der Windows Server 2016 DC Großbuchstaben in seinem Computernamen enthält, enthält er zusätzliche SRV-Einträge im DNS.

  • Sie verfügen über eine Domäne, die Domänencontroller und DNS-Server enthält, auf denen verschiedene Versionen von Windows Server ausgeführt werden. Der primäre DNS-Server ist ein Domänencontroller, der Windows Server 2012 oder früher ausgeführt wird, und der sekundäre DNS-Server ist ein Windows Server 2016 DC. Der primäre DNS-Server ist nicht mehr verfügbar, und Sie ändern den Windows Server 2016 DC in den neuen primären DNS-Server. Nach dieser Änderung kann die DNS-Datenbank zusätzliche SRV-Einträge für jeden DC generieren, der Großbuchstaben im Computernamen enthält.

Lösung

Microsoft hat ein Update veröffentlicht, das dieses Problem entschärft. In der folgenden Tabelle sind die relevanten Versionen des Updates für betroffene Versionen von Windows aufgeführt.

Version Freigabe
Windows Server 2019, Version 1903 24. März 2020 bis KB4541335 (Betriebssystembuilds 18362.752 und 18363.752)
Windows Server 2019, Version 1809 17. März 2020–KB4541331 (Betriebssystembuild 17763.1131)
Windows Server 2016 17. März 2020 bis KB4541329 (BS-Build 14393.3595)

Das Update führt eine neue Gruppenrichtlinie-Richtlinieneinstellung in NETLOGON ein. ADMX-Datei, wie in der folgenden Tabelle beschrieben.

Richtlinienname Verwenden von DNS-Hostnamen in Kleinbuchstaben beim Registrieren von SRV-Einträgen für Domänencontroller
Richtlinienpfad Computerkonfiguration\Policies\Administrative Templates\System\Net Logon\DC Locator DNS Records\
Richtlinienwerte
  • 1 (Standard). Die Richtlinie wird aktiviert. Die Richtlinie löscht doppelte DNS SRV-Einträge. Wenn Sie das Update auf einem Domänencontroller installieren, wird dies Teil der lokalen Standardkonfiguration dieses Domänencontrollers.
  • 0. Die Richtlinie ist deaktiviert. Unter dieser Einstellung setzt sich das problematische Verhalten fort, und DCs mit Computernamen, die Großbuchstaben enthalten, registrieren weiterhin SRV-Einträge, die diese Großbuchstaben enthalten. Der Wert 0 wird nur für notfall- oder Testzwecke unterstützt. Es sollte nicht unter typischen Bedingungen verwendet werden.
Wenn die Richtlinie nicht konfiguriert ist oder der Wert fehlt, greift der DC auf die neue lokale Standardkonfiguration zurück und behandelt die Richtlinie als aktiviert.

Das Update fügt den folgenden Registrierungseintrag hinzu, der dieser Richtlinie zugeordnet ist. (Diese Informationen dienen nur zur Referenz.)

  • Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Netlogon\Parameters
  • Registrierungseintrag: DnsSrvRecordUseLowerCaseHostNames
  • Datentyp: REG_DWORD

Nach der Installation des Updates

Hinweis

Sie müssen den Netlogon-Dienst nicht neu starten oder deaktivieren, wenn Sie das Update installieren, Datensätze manuell sauber oder die Richtlinie deaktivieren. Sie müssen den Computer nach der Installation des Updates nicht neu starten.

Wenn Sie das Update installieren (oder die Richtlinie in einer Umgebung aktivieren, in der es deaktiviert wurde), versucht der Netlogon-Dienst nach besten Kräften, vorhandene DNS-Einträge mit Großbuchstaben zu entfernen.

Es wird empfohlen, diesen Fix zu installieren (oder die Richtlinie zu aktivieren) und dann ein oder zwei Tage zu warten, bis Netlogon die neue Einstellung abrufen und anwenden kann. Warten Sie dann lange genug, bis die Änderungen in der gesamten Umgebung repliziert werden. Überprüfen Sie danach die DNS-Einträge auf alle verbleibenden Duplikate. Es ist wahrscheinlich, dass der Richtlinie einige doppelte Datensätze fehlen. In diesem Fall müssten Sie diese Datensätze manuell entfernen.

Sie können den folgenden Windows PowerShell Befehl verwenden, um Datensätze zu überprüfen:

Get-DnsServerResourceRecord -ZoneName "contoso.com" -RRType Srv

Hinweis

In diesem Befehl contoso.com ist ein Platzhalterdomänenname.

Führen Sie den folgenden PowerShell-Befehl aus, um die verbleibenden doppelten Datensätze zu entfernen:

Remove-DnsServerResourceRecord -ZoneName "contoso.com" -RRType Srv -Name "<hostname of record to delete>" -RecordData "<recorddata of record to delete>"​

Zum Deaktivieren der Richtlinie ist keine Bereinigung erforderlich.

Wichtig

Microsoft hat ein Update veröffentlicht, um dieses Problem zu beheben und zu verhindern, dass es sich wiederholt. Es wird empfohlen, das Update zu installieren, anstatt das Problem zu umgehen.

Problemumgehung 1: Verhindern doppelter SRV-Einträge

Sie können die folgenden Methoden verwenden, um zu verhindern, dass Windows DNS doppelte SRV-Einträge erstellt:

  • Bevor Sie einen Mitgliedsserver auf einen Domänencontroller heraufstufen oder bevor Sie ein Upgrade auf Windows Server 2016 oder eine höhere Version durchführen, stellen Sie sicher, dass der Computername nur Kleinbuchstaben enthält.

  • Stellen Sie sicher, dass alle internen Buildprozesse, Tools und Skripts, die Computernamen erstellen, ändern oder verwenden, auch Kleinbuchstaben verwenden.

  • Wenn Sie Ihre DCs nicht umbenennen können (oder dies lange dauern wird), konfigurieren Sie Ihre DNS-Topologie so, dass Domänencontroller, die Windows Server 2016 oder höher ausführen, DNS-Server verwenden, die Windows Server 2016 oder höher ausgeführt werden. Ebenso konfigurieren Sie DCs, die Windows Server 2012 R2 oder früher ausführen, um DNS-Server zu verwenden, die Windows Server 2012 R2 oder früher ausgeführt werden.

Problemumgehung 2: Entfernen doppelter SRV-Einträge

Um dieses Problem zu umgehen, nachdem es aufgetreten ist, müssen Sie Ihre DCs umbenennen, indem Sie alle Kleinbuchstaben verwenden. Abhängig von den Details Ihrer Bereitstellung müssen Sie möglicherweise Einstellungen manuell neu konfigurieren oder Dateien entfernen. Dieser Abschnitt enthält die folgenden Problemumgehungsmethoden in der Reihenfolge der Komplexität:

Wichtig

Bevor Sie eine dieser Methoden verwenden, lesen Sie die folgenden Artikel. Diese Artikel enthalten ausführliche Schritte zum Umbenennen eines Domänencontrollers. Sie enthalten auch Informationen zu zusätzlichen Bereinigungsaufgaben, die Sie möglicherweise ausführen müssen, nachdem Sie einen Domänencontroller herabstufen oder umbenennen.

Hinweis

Wenn nach dem Umbenennen eines Domänencontrollers Probleme auftreten, rückgängig machen den Namen des Domänencontrollers auf den ursprünglichen Inhalt.

Methode 1: Umbenennen eines Domänencontrollers in einer Einzel-DC-Domäne

Wenn Sie über einen Domänencontroller verfügen, führen Sie die Schritte unter Umbenennen eines Domänencontrollers aus, um den Computernamen des Domänencontrollers in einen neuen Namen zu ändern, der nur Kleinbuchstaben enthält. Bei einem einzelnen DC müssen Sie ihn nicht herabstufen und neu festlegen.

Wichtig

Es wird dringend empfohlen, dass jede Domäne mindestens zwei DCs enthält. Wenn Sie nur über einen Domänencontroller verfügen, ist Ihre Domäne möglicherweise nicht mehr verfügbar, sobald ein Problem mit dem DC aufgetreten ist.

Methode 2: Umbenennen von DCs in einer Domäne mit mehreren Domänencontrollern

Wenn Sie mehr als einen DC in Ihrer Domäne haben, führen Sie die folgenden Schritte für jeden betroffenen Domänencontroller aus:

  1. Herabstufen des Domänencontrollers und sauber die zugehörigen Metadaten. Weitere Informationen finden Sie unter Herabstufen von Domänencontrollern und Domänen undWiederherstellung der AD-Gesamtstruktur: Bereinigen von Metadaten entfernter beschreibbarer Domänencontroller.

  2. Benennen Sie den Computer um, und geben Sie ihm einen Namen, der nur Kleinbuchstaben enthält.

  3. Stufen Sie den Computer erneut auf einen Domänencontroller herauf.

Wenn alle DOmänencontroller wieder online sind, sollten die doppelten SRV-Einträge (in gemischter Groß-/Kleinschreibung) nicht mehr vorhanden sein.

Methode 3: Umbenennen von DCs und Entfernen aller gespeicherten SRV-Einträge

Wenn Methode 1 und Methode 2 keine zufriedenstellenden Ergebnisse liefern, führen Sie die folgenden Schritte für jeden betroffenen DC aus:

  1. Herabstufen des Domänencontrollers und sauber die zugehörigen Metadaten. Weitere Informationen finden Sie unter Herabstufen von Domänencontrollern und Domänen undWiederherstellung der AD-Gesamtstruktur: Bereinigen von Metadaten entfernter beschreibbarer Domänencontroller.

  2. Führen Sie auf dem herabgestuften Computer die folgenden Schritte aus:

    1. Benennen Sie den Computer um, und geben Sie ihm einen Namen, der nur Kleinbuchstaben enthält.
    2. Beenden Sie den netlogon-Dienst. Öffnen Sie dazu ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann aus net stop netlogon.
    3. Löschen Sie die folgenden Dateien im Ordner C:\Windows\System32\config\:
      • netlogon.dnb
      • netlogon.dns

  3. Öffnen Sie auf einem der anderen Domänencontroller Server-Manager, wählen Sie Tools und dann DNS aus.

  4. Überprüfen Sie im DNS-Manager die Container unter Forward-Lookupzonen , und löschen Sie dann die SRV-Einträge für den Domänencontroller, den Sie herabgestuft haben.

  5. Starten Sie auf dem umbenannten Computer den dienst netlogon. Öffnen Sie dazu ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann aus net start netlogon.

  6. Stufen Sie den umbenannten Computer erneut auf einen Domänencontroller herauf.