Cómo utilizar DNSLint para solucionar problemas de replicación de Active Directory

Resumen

Este artículo describe cómo utilizar la utilidad DNSLint para solucionar problemas de replicación de Active Directory.

Active Directory es una base de datos distribuida. Se utiliza para almacenar información acerca de los objetos en una red y permitir a los usuarios tener acceso a esta información. Replicación de Active Directory se utiliza para sincronizar réplicas de particiones entre los controladores de dominio en un bosque de Active Directory. Este proceso de replicación permite a los usuarios tener acceso a información desde cualquier lugar y en la red. Cuando este proceso de replicación no funciona correctamente, los usuarios pueden experimentar una interrupción de los servicios que se basan en la información de Active Directory: inicio de sesión de dominio y el acceso a recursos de red, como archivos e impresoras.

Replicación de Active Directory se basa en el sistema de nombres de dominio (DNS) para resolver nombres en direcciones IP como sea necesario. Un controlador de dominio de Active Directory registra normalmente una gran variedad de registros DNS con su servidor DNS configurado cuando se inicia el servicio netlogon. DNSLint es una utilidad de Microsoft Windows que se ejecuta en sistemas operativos Windows 2000 y posteriores. Entre otros usos, puede ayudarle a solucionar problemas de replicación de Active Directory. Específicamente, puede ayudarle a determinar dos cosas:

  • Si todos los servidores DNS que se supone que tiene autoridad para la raíz de un bosque de Active Directory tienen realmente los registros DNS necesarios para sincronizar correctamente réplicas de particiones entre los controladores de dominio en un bosque de Active Directory. DNSLint identifica qué registros DNS faltan en cada servidor DNS autorizado.
  • Si un determinado controlador de dominio de Active Directory puede resolver todos los registros DNS necesarios para sincronizar correctamente réplicas de particiones entre los controladores de dominio en un bosque de Active Directory. DNSLint identifica qué registros DNS no se puede resolver mediante el controlador de dominio que se está probando.

Solución de problemas

Si desea que un controlador de dominio de Active Directory replicar con otro controlador de dominio, utiliza DNS para buscar otros controladores de dominio. Este proceso funciona de la siguiente manera:

  1. El controlador de dominio inicia la replicación (DC1) consulta a Active Directory en busca de sus asociados de replicación configurados. Estos asociados de replicación suelen definirse mediante Comprobador de coherencia de réplica (KCC), pero también se pueden definir manualmente.

    Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

    244368 cómo optimizar la replicación de Active Directory en una red grande

    DC1 sólo conoce el nombre del controlador de dominio que desea realizar la replicación (DC2). Encuentra un GUID en Active Directory que coincide con el nombre del controlador de dominio de destino (DC2). Tenga en cuenta que cada controlador de dominio del bosque debe tener su propio GUID único.
  2. Ahora que DC1 conoce de DC2 GUID, debe buscar la dirección IP de DC2 para que lo puedan conectarse a él a través de la red. Para ello, DC1 utiliza DNS. DC1 envía una consulta DNS recursiva al servidor DNS configurado localmente para un registro CNAME. El formato de este registro coincide siempre con la siguiente

    GUID_msdcs. raíz de bosque de Active Directory
    Donde guid es el GUID que DC1 encontró en Active Directory y la raíz del bosque de Active Directory es la raíz del bosque de Active Directory. Por ejemplo

    91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
    donde 91f9b084-4876-4b59-be17-59e74c340221 es un GUID y reskit.com es la raíz del bosque de Active Directory.

    Servidor DNS configurado localmente en DC1 debe responder a la consulta del registro CNAME con un alias. El alias es otro nombre para el GUID. Por ejemplo, el GUID 91f9b084-4876-4b59-be17-59e74c340221 se resuelve en dc-02.reskit.com.
  3. Ahora que DC1 conoce el alias del GUID, debe resolver el alias en una dirección IP para que poder conectar con DC2 a través de la red. DC1 envía una consulta DNS recursiva al servidor DNS configurado localmente para un registro de Host (A) que coincida con el nombre del alias. El servidor DNS debe responder con la dirección IP que se asignó al alias, por ejemplo, 169.254.66.7
  4. Ahora que DC1 conoce de DC2 dirección IP, se puede conectar con DC2 a través de la red y replicar los datos de Active Directory.
Si este proceso se realiza correctamente, la replicación de Active Directory entre los controladores de dominio tampoco será correcta y los datos pueden producirse incoherencias en los controladores de dominio. DNSLint puede ayudar a determinar si los registros DNS utilizados en este proceso existen y se puede resolver.

  1. Para determinar si DNS está causando un problema de replicación de Active Directory entre controladores de dominio en un bosque de Active Directory, ejecute el siguiente comando

    DNSLint /ad 169.254.32.1 /s 169.254.10.22


    donde se utiliza el parámetro/AD para especificar un controlador de dominio de Active Directory que se puede utilizar para buscar los GUID de todos los controladores de dominio en el bosque de Active Directory. De forma predeterminada, todos los controladores de dominio de un bosque deben tener esta información. La opción /s se requiere cuando se utiliza la función /ad . La opción /s se utiliza para indicar a DNSLint la dirección IP de un servidor DNS que es autoritativo para la zona _msdcs. zona raíz del bosque .

    Al ejecutar este comando, DNSLint contacta primero el controlador de dominio de Active Directory especificado después del modificador/AD (169.254.32.1). Este comando hace que DNSLint consulte Active Directory en este controlador de dominio para todos los GUID del bosque de Active Directory. Específicamente, consulta la ubicación siguiente en Active Directory

    CN = NTDS Settings, CN = Sites, CN = Configuration, DC = reskit, DC = com
    donde DC = reskit, DC = com es la raíz del bosque de Active Directory.

    Este tipo de consulta de protocolo ligero de acceso a directorios (LDAP) requiere autenticación en Active Directory. Generalmente, DNSLint se ejecuta bajo el contexto de seguridad del usuario que ejecutó el comando. Las credenciales de este usuario se utilizan para autenticarse en Active Directory durante la operación de enlace LDAP. Si las credenciales son válidas y el usuario tiene acceso a esta información en Active Directory, el enlace se realiza correctamente y se busca en Active Directory los GUID. Si el enlace se realiza correctamente, no se realiza la búsqueda y toda la operación no tiene éxito. Para el usuario en estos casos, DNSLint devuelve un error.

    Si el controlador de dominio especificado devuelve una lista de GUID, DNSLint envía una consulta DNS al servidor DNS, especificado mediante la opción /s . En el ejemplo proporcionado anteriormente en este paso, se enviarían consultas DNS a 169.254.10.22. Si este servidor DNS no tiene autoridad para el dominio _msdcs. raíz de bosque de Active Directory, la operación puede finalizar sin encontrar los registros DNS de los GUID que encontró antes. La opción /s debe especificar la dirección IP de un servidor DNS que es autoritativo para la zona _msdcs. subdominio de raíz de bosque de Active Directory .

    En algunos entornos, como aquellos en los que un servidor DNS no acepta actualizaciones dinámicas hospeda la zona raíz, la zona _msdcs se ha delegado a un servidor DNS que no está autorizado para la raíz del bosque de Active Directory. DNSLint comprueba la delegación antes de continuar con las siguientes consultas DNS. Este paso ayuda a evitar el envío de consultas DNS a los servidores DNS que no se deben probar.

    DNSLint intenta descubrir otros servidores DNS que tienen autoridad para la raíz del bosque de Active Directory mientras procesa las consultas DNS. Cuando DNSLint ha encontrado servidores DNS que tienen autoridad en la raíz del bosque de Active Directory, consulta el servidor DNS (o servidores) para los registros CNAME que encuentra en Active Directory. Al resolver cada registro CNAME con un alias, DNSLint también intenta resolver el registro (A) para cada alias de cola. Como se mencionó anteriormente en este artículo, estos registros DNS son necesarios para la replicación de Active Directory.

    A continuación, DNSLint crea un informe en formato HTML (y opcionalmente un informe de texto). El informe incluye todos los GUID encontrados en Active Directory, los servidores DNS encontrados que tienen autoridad para la raíz del bosque de Active Directory y los resultados de todo el CNAME y adherencia (A) registro de consultas a los servidores. Informa de qué registros CNAME y qué registros de adherencia (A) faltaban en cada servidor DNS. Este informe se puede utilizar para corregir los problemas DNS que pueden causar problemas de replicación de Active Directory, como los registros DNS que faltan o son incorrectos.
  2. Para determinar si un determinado controlador de dominio de Active Directory puede resolver todos los registros DNS necesarios para sincronizar correctamente réplicas de particiones entre los controladores de dominio en un bosque de Active Directory, ejecute el comando siguiente en el controlador de dominio que se está probando:

    DNSLint /ad /s localhost
    Porque no se ha especificado ninguna dirección IP después de la opción/AD , 127.0.0.1 es utilizar. Esto significa que el controlador de dominio se consultará a sí mismo de la lista de registros GUID. Puede especificar un servidor LDAP de controlador de dominio alternativo si desea. Si se especifica localhost después de la opción/s , se indica a DNSLint para utilizar el DNS servidor (o servidores) configurada en el controlador de dominio que se está probando para resolver el CNAME y adherencia (A) los registros utilizan para la replicación de Active Directory. Esta especificación envía recursivas consultas DNS del controlador de dominio local configurado el servidor (o servidores DNS) para determinar si el controlador de dominio puede resolver los registros necesarios. Esto no significa que todos los servidores DNS del controlador de dominio local se comprueban para estos registros. Lista de servidores DNS del controlador de dominio se administra según su comportamiento predeterminado. Esto significa que el segundo servidor DNS en la lista sólo se utiliza si el primero no responde. Esta prueba sólo determina si un controlador de dominio puede resolver los registros DNS utilizados para la replicación de Active Directory. No se prueba ningún servidor DNS específico.

    El informe que genera DNSLint puede utilizarse entonces para corregir los problemas DNS que pueden causar problemas de replicación de Active Directory, como los registros DNS que faltan o son incorrectos.

El siguiente archivo está disponible para su descarga desde el Centro de descarga de Microsoft:
Download Descargue ahora el paquete dnslint.v204.exe.

Para obtener más información acerca de cómo descargar archivos de Microsoft Support, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft analizó este archivo en busca de virus. Microsoft ha utilizado el software de detección de virus más reciente que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores seguros que ayudan a evitar cambios no autorizados en el archivo.


Para obtener más información acerca de la utilidad DNSLint, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

321045 descripción de la utilidad DNSLint

Propiedades

Id. de artículo: 321046 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios