Töötate praegu ühenduseta, ootame Interneti-ühenduse taasloomist

Tõrkeotsing Active Directory kopeerimise tõrked, mis toimuvad DNS otsing ebaõnnestumisi, sündmuse ID 2087 või sündmuse ID 2088

Windows XP tugi on lõppenud.

Microsoft lõpetas Windows XP tugiteenuse pakkumise 8. aprillil 2014. Muudatus mõjutas teie tarkvaravärskendusi ja turbesuvandeid. Lugege, mida see teie jaoks tähendab ja kuidas saate kaitset säilitada.

Windows Server 2003 tugi lõppes 14. juulil 2015.

Microsoft lõpetas Windows Server 2003 toe 14. juulil 2015. Muudatus mõjutas teie tarkvaravärskendusi ja turbesuvandeid. Lugege, mida see teie jaoks tähendab ja kuidas saate kaitset säilitada.

NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.

Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 824449
Kokkuvõte
Käesolevas artiklis kirjeldatakse tegevuskava administraatorid ja klienditoe spetsialistidelt järgima, kui kasutate operatsioonisüsteemi Microsoft Windows 2000 või Microsoft Windows Server 2003 domeenikontrolleritesse ei saa korrata Active Directory DNS otsing tõrgete tõttu. Administraatorid, kes on tõrkeotsingu replikatsiooniks või muude komponentide eeldatavate rikete korral, mis toimuvad DNS-nime eraldusvõimet puudumise tõttu tuleks järgida käesoleva tegevuskava.

Selles artiklis käsitletakse ka kaks uut sündmuste, sündmuse ID 2087 ja event ID 2088, mis on sisse logitud sihtkohta domeenikontrollerid, mis töötab Windows Server 2003 hoolduspaketiga Service Pack 1 (SP1). Need sündmused toimuvad, kui DNS-nime eraldusvõimet puudumine takistab sissetuleva replikatsiooni Active Directory teenuse sektsiooni kausta. Veelgi olulisem on, selle probleemi stsenaariumi, Windows Server 2003 SP1-põhise sihtkohta domeenikontrollerid kasutab allikas domeenikontrolleri täielik domeeninimi DNS-is või allikas domeenikontrolleri arvuti NetBIOS-nimi on Windows Internet Internetinime teenus (WINS). Windows Server 2003 täiustusi eesmärk on vähendada DNS-kliendi või DNS-i serveri konfiguratsiooni vead mõju Active Directory kopeerimise.
Sümptomid
Kohta on Microsoft Windows Server 2003 Service Pack 1 (SP1)-põhineb domeenikontroller, teated kirjutatakse logisse kataloogiteenuse sündmuselogisse järgmine sündmus.

Teade 1

Tüüp: viga
Allikas: NTDS-i replikatsiooni
Kategooria: DS RPC kliendil
Sündmuse ID: 2087
Kasutaja: NT AUTHORITY\ANONYMOUS SISSELOGIMINE
Arvuti: Arvutinimi
Kirjeldus:
Active Directory ei saanud lahendada järgmised DNS-i hostinime allikas domeenikontrolleri IP-aadressi. See tõrge takistab lisamised, kustutamised ja Active Directorys tehtud imitatsiooniga ühele või mitmele domeenikontrollerile metsa vahel. Turvalisuse rühmad, rühmapoliitika, kasutajate ja arvutite ja nende paroolid on vastuolus seni, kuni see viga on lahendatud domeenikontrollerite vahelise, mõjutavate sisselogimine autentimine ja juurdepääsu võrguressurssidele.

Allikas domeenikontroller: DomainControllerName
DNS-i hostinime puudumisel: GUID._msdcs.DNSDomainName

Märkus: Vaikimisi ainult kuni 10 DNS-i tõrked kuvatakse iga 12 tunni jooksul, isegi siis, kui üle 10 vigade teke. Logi kõigi üksikute suutmatus sündmusi, seadke järgmised diagnostika registri väärtus 1:

Registri tee:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC kliendil

Kasutaja tegevus:

1) Kui domeenikontroller allikas ei ole enam toimimise või selle operatsioonisüsteemi on installeeritud erinevat arvutinime või NTDSDSA objekti GUID, Eemalda allikas domeenikontrolleri metaandmeid ning ntdsutil.exe, kasutades MSKB artiklis 216498 kirjeldatud juhised.

2) Kinnitavad, et allika domeeni kontroller töötab Active directory ja on kättesaadav võrgus kirjutades "neto vaade \\<source dc="" name="">" või "ping <source dc="" name="">".

3) Kontrollige, et allika domeeni kontroller on kasutades kehtiv DNS-serveri DNS teenused ja et allikas domeenikontrolleri hosti kirje ja CNAME-i salvestada õigesti registreeritud, kasutades DNS-i täiustatud versiooni DCDIAG.EXE, mis on kättesaadav http://www.microsoft.com/dns

Dcdiag /test:dns

4) Veenduge, et et selle sihtkoha domeeni kontrolleri kasutab kehtiv DNS-serveri DNS teenused, DCDIAG DNS-i täiustatud versiooni, käivitades.EXE käsk konsooli domeenikontrolleri sihtkohta järgmiselt:

Dcdiag /test:dns

5) Täiendav analüüs DNS tõrge tõrked vt KB 824449: http://support.microsoft.com/?kbid=824449

Lisaandmed
Tõrke väärtus:
11004 On taotletud nimi sobib, kuid taotletud tüübi andmeid ei leitud. </source></source>

2. Sõnum

Tüüp: Hoiatus
Allikas: NTDS-i replikatsiooni
Kategooria: DS RPC kliendil
Sündmuse ID: 2088
Kasutaja: NT AUTHORITY\ANONYMOUS SISSELOGIMINE
Arvuti: Arvutinimi
Kirjeldus:
Active Directory ei saanud kasutada DNS-i lahendada allpool loetletud allikas domeenikontrolleri IP-aadressi. Järjepidevuse turvalisuse rühmad, rühmapoliitika, kasutajate ja arvutite ja nende paroolid, Active Directory edukalt paljundatud, NetBIOS või allika domeeni kontrolleri teesid arvuti nimi.

Sobimatu DNS-i konfiguratsioon võib mõjutada muude oluliste toimingute liige arvutid, domeenikontrollerite või rakenduste serverid selle Active Directory metsas, sealhulgas sisselogimisel toimuva autentimise ja juurdepääsu võrguressurssidele.

Sa peaksid kohe selle tõrke DNS-i konfiguratsiooni nii, et selle domeenikontrolleri saate lahendada kasutades DNS allikas domeenikontrolleri IP-aadressi.

Alternatiivse serveri nimi: AlternateServerName
DNS-i hostinime puudumisel: GUID._msdcs.DNSDomainName

Märkus: Vaikimisi ainult kuni 10 DNS-i tõrked kuvatakse iga 12 tunni jooksul, isegi siis, kui üle 10 vigade teke. Logi kõigi üksikute suutmatus sündmusi, seadke järgmised diagnostika registri väärtus 1:

Registri tee:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC kliendil

Kasutaja tegevus:

1) Kui domeenikontroller allikas ei ole enam toimimise või selle operatsioonisüsteemi on installeeritud erinevat arvutinime või NTDSDSA objekti GUID, Eemalda allikas domeenikontrolleri metaandmeid ning ntdsutil.exe, kasutades MSKB artiklis 216498 kirjeldatud juhised.

2) Kinnitavad, et allika domeeni kontroller töötab Active directory ja on kättesaadav võrgus kirjutades "neto vaade \\<source dc="" name="">" või "ping <source dc="" name="">".

3) Kontrollige, et allika domeeni kontroller on kasutades kehtiv DNS-serveri DNS teenused ja et allikas domeenikontrolleri hosti kirje ja CNAME-i salvestada õigesti registreeritud, kasutades DNS-i täiustatud versiooni DCDIAG.EXE, mis on kättesaadav http://www.microsoft.com/dns

Dcdiag /test:dns

4) Veenduge, et et selle sihtkoha domeeni kontrolleri kasutab kehtiv DNS-serveri DNS teenused, DCDIAG DNS-i täiustatud versiooni, käivitades.EXE käsk konsooli domeenikontrolleri sihtkohta järgmiselt:

Dcdiag /test:dns

5) Täiendav analüüs DNS tõrge tõrked vt KB 824449: http://support.microsoft.com/?kbid=824449

Lisaandmed
Tõrke väärtus:
11004 On taotletud nimi sobib, kuid taotletud tüübi andmeid ei leitud.</source></source>

Sündmuse ID 2087 tekib siis, kui aktiivse kataloogi kopeerimine nurjus, kuna on DNS-i või NetBIOS-i otsingu tõrge. Täpsemalt ei olnud sisse logitud sündmuse ID 2087 domeenikontrolleri lahenda replikatsiooni partner IP-aadress, kasutades ühte järgmistest:
  • CNAME-kirje loomist ressurss
  • Täielik arvutinimi DNS-is
  • Arvuti NetBIOS-nimi
Sest palgid sündmuse domeenikontroller ei suuda täita sissetuleva replikatsiooni, Active Directory andmed võivad olla vastuolus, hulgast domeenikontrollerid. Näiteks kasutaja ja arvuti rühma teave võib olla ebaühtlane.

Sündmuse ID 2088 tekib siis, kui täidetud on järgmised tingimused:
  • Aktiivse kataloogi kopeerimine ei saa lahendada replikatsiooni partner CNAME ressurss rekord IP-aadressi, DNS-i abil.
  • Active Directory lahendada replikatsiooni partner IP-aadressi partneri täielikult kvalifitseeritud arvuti nime DNS-i abil või kasutades partneri arvuti NetBIOS-nimi on WINS-i või NetBIOS-i saade.
Märkus Isegi kui NetBIOS-i nimeteisendust õnnestub, peab kõik DNS-i nimi resolutsioon ebaõnnestumised uuritud ja lahendatud, kui DNS-i konfiguratsiooni vead võivad põhjustada Active Directory funktsioone ebaõnnestuda.
Põhjus
DNS otsing probleeme võib põhjustada Active Directory kopeerimise nurjuda ühel järgmistest viisidest:
  • Juhtum 1: Domeenikontrolleri üritab imiteerida teise domeeni kontroller, mis on ühenduseta ja ühenduseta domeenikontrolleri Active Directory ja DNS andmete ei ajakohastada või kustutada, näitamaks, et domeenikontroller on kättesaamatud.
  • Juhtum 2: Domeenikontrolleri üritab imiteerida teise domeeni kontroller, mis on võrgus, kuid DNS või võrgustike küsimusi, et domeenikontrollerid ei leia teineteist.
Kõik domeeni domeenikontrollerid registreerida SRV, A- ja CNAME-kirjeid DNS-is. CNAME-kirje on vormi Dsa_Guid._msdcs.Dns_Domain_Name. Dsa_Guid on domeenikontrolleri kataloogis Süsteemiobjekti agent (DSA) GUID. Dns_Domain_Name on metsa, kus asub domeenikontrolleri nimi. Domeenikontrollerite nõuab CNAME-kirje leidmiseks ning teha kindlaks partnerite replikatsiooni.

Domeenikontrolleri teenuse Net Logon võrku sisselogimisel registreerib kõik SRV-kirjeid. DNS-i klienditeeninduse domeenikontrolleris registrite DNS host (A) kirje ja GUID CNAME-kirje.

Domeenikontrolleri kasutab replikatsiooni partneri leidmiseks toimige järgmiselt:
  1. Domeenikontrolleri kasutab DNS otsima oma replikatsiooni partner CNAME-kirje.
  2. Kui otsinguga ei õnnestu, domeenikontrolleri otsib DNS A kirje oma replikatsiooni partner. Näiteks domeenikontrolleri otsib dc-03.corp.contoso.com.
  3. Kui DNS-i A kirjete otsing ei õnnestu, sooritab domeenikontrolleri NetBIOS, edastavad selle replikatsiooni partner hostinimi. Näiteks domeenikontrolleri kasutab dc-03.
Lahendus

1. Juhtum

Active Directory ja DNS-i andmed, mis on jäänud domeenikontroller, mis ei ole enam kasutusel eemaldamiseks järgige protseduuri järgmises Microsofti teabebaasi artiklis:
216498 Kuidas eemaldada andmeid Active Directory pärast ebaõnnestunud domeeni kontroller madaldamine
Kui domeenikontroller peab olema online, blokeerides probleemi lahendada ja seejärel panna domeenikontrolleri taastamisel. Kui te taaskäivitate domeenikontroller, registreerige automaatselt Active Directory ja DNS-i andmed, mis on vajalik Active Directory kopeerimise sihtkoha domeeni kontroller.

Kui te ei soovi uuesti domeenikontroller, kuid soovite uuesti registreerida oma DNS-kirjeid, jätkake 7, "registri ressurss salvestab DNS-is."

2. Juhtum

Kui replikatsiooni ei toimu, sest sihtkohta domeenikontrolleriga ei saa lahendada DNS-nime replikatsiooni partner, tuleb diagnoosida DNS ja ühenduvusprobleemide kindlaks määrata rikke allikas.

Diagnoosida ja lahendada DNS-i toetus Active Directory kopeerimise, järgige neid samme:
  1. Teabe kogumiseks.

    Vajate järgmist teavet diagnoosida ja parandada Active Directory kopeerimise ja muid toiminguid, mis sõltuvad DNS DNS-i toetus:
    • Täielik domeeninimi (FQDN) ja allika domeenikontrolleri IP-aadressi.
    • DNS server, mis korraldab DNS-tsooni jaoks Active Directory domeeni nimi (FQDN) ja IP aadress.
    Märkus Domeenikontrolleri ja DNS serveri info võib olla sama kui domeeni kontroller töötab ka DNS serveri teenus, mis majutab Active Directory domeeni nime DNS-tsoonis.
  2. Kontrollige võrguühenduse sätted.
    1. Klõpsake domeenikontrollerit, millest on aruandluse viga, Kaust Võrguühendused juhtpaneelil.
    2. Paremklõpsake võrguühendust, mida soovite konfigureerida, ja seejärel klõpsake Atribuudid.
    3. Kohta ning Üldine vahekaardil local area connection või edasi ning Võrgustike loomine Kõik muud ühendused vahekaardil, klõpsake Interneti-protokolli (TCP/IP), ja seejärel klõpsake nuppu Atribuudid.
    4. Aastal Kasuta järgmisi DNS-serveri aadresse, kontrollige, et eelistatud DNS-server või Alternatiivne DNS-server on DNS server, mis korraldab Active Directory domeeni nime DNS-tsoonis õige IP-aadress.

      Märkus Me soovitame, et eelistatud DNS-server domeenikontrolleri asub jaoturi sait, mis on kohaliku või hästi ühendatud. Kui kasutate Rummu kodukale, siis vähendada kopeerimise peiteaeg.
    5. Kui IP-aadresse pole õige, jätkake 3. Kui IP-aadress on vale, sisestage õige aadress ja seejärel jätkake 7.
  3. Kontrollib ühenduvust.

    Ühenduvuse kontrollimiseks kasutada ning ping käsk sihtkohta domeenikontrolleri leida allika domeeni kontroller ja DNS-server IP-aadressid.
    Domeenikontrolleris sihtkohta tippige järgmine käsk ja vajutage pärast iga käsku sisestusklahvi:

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    Kui kas käsk ei õnnestu, võrgu Ühenduvus viga võib esineda. Pöörduge võrguadministraatori poole diagnoosida ja määrata see viga. Kui mõlemad on edukad, on viga olemas DNS.
  4. Veenduge, et DNS serveri teenus töötab.

    Kui sihtkoht domeenikontroller konfigureeritakse kasutama kohalikku DNS-serverit, veenduge, et DNS serveri teenus töötab. Selleks tippige net start "DNS Server" Käsuviip ja seejärel vajutage nuppu ENTER.

    Kui DNS-i Serveri teenus on käivitatud, kuvatakse teade, mis näitab, et teenus töötaks. Kui DNS-i Serveri teenus on installitud, kuid kui teenus ei tööta, algab käsk DNS serveri teenus.

    Kui DNS-i Serveri teenus pole installitud, kuvatakse teade, mis näitab, et serveri nimi ei sobi.Kui sihtkoha domeenikontroller konfigureeritakse kasutama serveri DNS server, kasutada DNS-serveri teenuse käivitamise DNS konsooli. Selle tegemiseks järgige neid samme:
    1. Avatud DNS konsooli.
    2. Kohta ning Tegevus menüü, klõpsake nuppu DNS-i serveriga.
    3. Aastal DNS-i serveriga, klõpsake nuppu Järgmine arvuti.
    4. Ühendust serveritega, määrake serveri server DNS arvuti nime või IP-aadress.
    5. Märkige selle Et määratud arvuti kiirühendus ruut ja klõpsake siis nuppu Ok.
    6. Kohta ning Tegevus menüü käsk Kõik tööülesanded, ja seejärel klõpsake nuppu Algus.
  5. Veenduge, et ressurss rekord on registreeritud.

    Sihtkoha domeeni kontroller kasutab DNS CNAME-allika kirje, Dsa_Guid._msdcs.Dns_Domain_Name, selle allika domeeni kontroller replikatsiooni partneri leidmiseks. Veenduge, et selle allika kirje on DNS-tsooni jaoks Active Directory domeeni nime, toimige järgmiselt.
    1. Avatud DNS konsooli konsoolipuu. Leida ühtegi domeenikontrollerit, mis töötab DNS serveri teenus, kui teenust majutab DNS-tsooni Active Directory domeeni nimi sama nimega.
    2. Klõpsake konsoolipuu tsooni, mida nimetatakse _msdcs.Dns_Domain_Name.

      Windows 2000 Serveri DNS, _msdcs.Dns_Domain_Name on alamdomeen Active Directory domeeni nime DNS-tsoonis. Windows Server 2003, _msdcs.Dns_Domain_Name on eraldi tsooniks.
    Tsooni, mida nimetatakse _msdcs.Dns_Domain_Name peab sisaldama järgmist:
    • CNAME-i ressursi rekord, mis on nime saanud Dsa_Guid._msdcs.Dns_Domain_Name.
    • Vastava DNS server, mis on määratletud siht host CNAME-kirje nimi ressursi rekord.


    Kui ressursi kirjed ei ole olemas, jätkake 6 diagnoosi, miks teenus Net Logon võrku sisselogimisel ei registreeri ressursi kirjed automaatselt.
  6. Veenduge, et DNS serveri teenus, mis majutab tsooni Active Directory domeeni nimi on konfigureeritud aktsepteerima dünaamilised uuendused.
    1. Konsooli DNS kohaldatav tsooni paremklõpsake ja seejärel klõpsake Atribuudid.
    2. Kohta ning Üldine sakk, veenduge, et kontrollvahemiku tüüp Aktiivne Directory–integrated.
    3. Aastal Dünaamilised uuendused, klõpsake nuppu tagada ainult. (Windows 2000 server, turvaline dünaamilise värskenduse variant nimega Ainult turvaline uuendused.)
  7. Registreerida DNS-ressursikirjeid DNS.

    Domeenikontrolleri teenuse Net Logon võrku sisselogimisel registrid peavad asuma võrgu domeenikontrolleri DNS-ressursikirjeid. Käsitsi algatada selle registreerimise domeenikontrolleris allikat, tippige järgmine käsk ja vajutage pärast iga käsku sisestusklahvi:

    net stop "net Logon võrku sisselogimisel"

    net start "net Logon võrku sisselogimisel"

    DNS-i klienditeeninduse registrite vastuvõtva (A) ressursi rekord, mis viitab CNAME-kirje. Selle registreerimise domeenikontrolleris allikat algatada tüüp ipconfig/registerdns Käsuviip ja seejärel vajutage nuppu ENTER.
  8. Kontrollige, kas ressursi registreerimine.

    Veenduge, et kirjed registreeriti edukalt, jätkake toiminguga 5, "Veenduge, et ressurss rekord on registreeritud."
  9. Jõu replikatsiooni domeenikontrolleritesse lähte- ja sihtpunkt.
    1. Domeenikontrolleri sihtkoha avada Active Directory saidid ja teenused.
    2. Klõpsake konsoolipuu NTDS-i sätete domeenikontrolleri, mida soovite sundida replikatsiooni kohta.
    3. Paanil üksikasjad Paremklõpsake ühendusel, mida soovite kasutada imiteerida Kataloogiinfo ja seejärel klõpsake nuppu Nüüd juhendist.
    Võite kasutada ka Repadmin ja REPLMON käsurea tööriistade. Need vahendid on saadaval Windows Server 2003 installi-CD. (The Repadmin käsk on Repadmin /syncall /d /e /P source_domain_controller.)
  10. Muude probleemide uurimiseks.

    Kui eelmistes sammudes ei lahenda tõrked, domeenikontroller ei pruugi dünaamiliselt oma DNS-ressursikirjete registreerimine, sest DNS serverid, mis domeenikontrolleri nimi resolutsioon ei leia esmane autoriteetne tsooni jaoks need ressursikirjeid. Sel juhul on kaks võimalikku põhjust:
Lisateave
Netdiag.exe ja Dcdiag.exe käsurea tööriistade abil saate DNS ja Active Directory infrastruktuuri probleemide tõrkeotsingut. Mõlemad tööriistad on saadaval online või Windows Server 2003 installi-CD. Nende tööriistade allalaadimiseks külastage Windows Server 2003 Resource Kit Tools veebilehe:

Hoiatus. See artikkel on masintõlgitud.

Atribuudid

Artikli ID: 824449 – viimati läbi vaadatud: 06/07/2013 01:18:00 – redaktsioon: 1.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows XP Professional Edition, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbdirservices kbprb kbmt KB824449 KbMtet
Tagasiside
&t=">