Trikčių šalinimo Active Directory kopijavimo nesėkmių, kuri kyla dėl DNS peržvalgos nesėkmių, įvykio ID 2087 ar įvykio ID 2088

Nutrauktas „Windows XP“ palaikymas

Nuo 2014 m. balandžio 8 d. „Microsoft“ nutraukė „Windows XP“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

2015 m. liepos 14 d. buvo nutrauktas „Windows Server 2003“ palaikymas

2015 m. liepos 14 d. „Microsoft“ nutraukė „Windows Server 2003“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

SVARBU: šis straipsnis išverstas naudojant „Microsoft“ mašininio vertimo programinę įrangą ir gali būti pataisytas naudojant „Community Translation Framework“ (CTF) technologiją. „Microsoft“ siūlo mašinos išverstus ir po to bendruomenės suredaguotus straipsnius, taip pat žmogaus išverstus straipsnius siekdama suteikti prieigą prie visų savo žinių bazės straipsnių daugeliu kalbų. Mašinos išverstuose ir vėliau paredaguotuose straipsniuose gali būti žodyno, sintaksės ir / arba gramatikos klaidų. „Microsoft“ neatsako už jokius netikslumus, klaidas arba žalą, patirtą dėl neteisingo turinio vertimo arba mūsų klientų naudojimosi juo. Daugiau apie CTF žr. http://support.microsoft.com/gp/machine-translation-corrections.

Spustelėkite čia, norėdami pamatyti šio straipsnio versiją anglų kalba: 824449
Santrauka
Šiame straipsnyje aprašoma veiksmų planą, administratoriai ir pagalbos specialistų laikytis, kai domeno valdikliai, kuriuose veikia Microsoft Windows 2000 arba Microsoft Windows Server 2003 Active Directory negali replikuoti nes DNS peržvalgos nesėkmių. Administratoriai, kurie trikčių replikavimo ar kitų sudedamųjų dalių gedimo, kurie atsiranda dėl stokos DNS pavadinimo skyrą turėtų laikytis šio veiksmų plano.

Šiame straipsnyje taip pat aptariami du naujus įvykius, įvykio ID 2087 ir įvykio ID 2088, iš paskirties domeno valdikliai, kuriuose veikia Windows Server 2003 su 1 pakeitimų paketu (SP1). Šių įvykių įvyksta kai DNS pavadinimo skyrą stoka neleidžia gavimo dubliavimas Active Directory katalogo paslaugos skaidinius. Dar svarbiau tai, tokiu atveju problema Windows Server 2003 SP1, kurių paskirties domeno valdiklių naudos šaltinis domeno valdiklio domeno pavadinimą DNS arba šaltinio domeno valdiklio NetBIOS kompiuterio vardas Windows interneto vardų tarnybos (WINS). Patobulinimus, Windows Server 2003 tikslas yra sumažinti DNS kliento arba DNS serverio konfigūracijos klaidas poveikį Active Directory kopijavimo.
Požymiai
Dėl yra Microsoft Windows Server 2003 Service Pack 1 (SP1)-pagal domeno valdiklį, šių įvykių katalogų tarnybos įvykių žurnale gali būti užregistruotas pranešimus.

1 Pranešimas

Tipas: klaida
Šaltinis: NTDS dubliavimas
Kategorija: DS RPC kliento
Įvykio ID: 2087
Vartotojas: NT AUTHORITY\ANONYMOUS prisijungimas
Kompiuteris: ComputerName
Aprašymas:
Active Directory nepavyko išspręsti šiuos DNS pagrindinio kompiuterio pavadinimas, šaltinio domeno valdiklį į IP adresą. Ši klaida neleidžia papildymų, trynimų ir pakeitimai Active Directory pakartoti tarp vienam ar keliems domeno valdikliams miške. Saugos grupes, grupės strategija, vartotojai ir kompiuteriai ir jų slaptažodžius bus nesuderinamas tarp domeno valdiklių tol, kol ši klaida yra išspręsta, gali turėti įtakos įėjimo autentifikavimo ir prieigą prie tinklo išteklių.

Šaltinio domeno valdiklyje: DomainControllerName
Jei DNS pagrindinio kompiuterio pavadinimas: GUID._msdcs.DNSDomainName

Pastaba: Pagal numatytuosius nustatymus, tik iki 10 DNS gedimai yra rodomos bet kuriuo 12 valandų laikotarpį, net jei daugiau kaip 10 gedimui. Prisijungti visus atskirų nepakankamumas įvykius, nustatyti šių diagnostika registro reikšmė 1:

Registro kelyje:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC kliento

Vartotojo veiksmas:

1) Jei domeno valdiklio šaltinis yra ne ilgesnis veikimo arba jos operacinės sistemos turi susijusia su kito kompiuterio pavadinimą arba NTDSDSA objekto GUID, pašalinti šaltinio domeno valdiklio duomenys su ntdsutil.exe, naudojant MSKB straipsnyje 216498 veiksmus.

2) Patvirtina, kad šaltinio domeno valdiklis veikia Active directory ir yra prieinama tinkle įvesdami "grynasis Rodyti \\<source dc="" name="">" arba "ping <source dc="" name="">".

3) Patikrinti, kad domeno valdiklio šaltinis yra naudojant galiojančio DNS serverio DNS paslaugas, ir kad šaltinio domeno valdiklio host įrašą ir CNAME įrašo yra teisingai registruota, naudojant DCDIAG DNS Glaudesnis versija.EXE galima rasti http://www.microsoft.com/dns

Dcdiag /test:dns

4) Patikrinti, kad šios paskirties domeno valdiklyje yra naudojant galiojančio DNS serverio DNS paslaugos, veikia DCDIAG DNS Glaudesnis versija.EXE komandą konsolės paskirties domeno kontrolerio, išvardyti toliau:

Dcdiag /test:dns

5) Už tolesnę analizę, DNS klaida nesėkmių pamatyti KB 824449: http://support.microsoft.com/?kbid=824449

Papildomi duomenys
Klaidos reikšmę:
11004 Kreipiamasi pavadinimas galioja, tačiau nerasta jokių duomenų apie pageidaujamą tipą. </source></source>

Pranešimas 2

Tipas: įspėjimas
Šaltinis: NTDS dubliavimas
Kategorija: DS RPC kliento
Įvykio ID: 2088
Vartotojas: NT AUTHORITY\ANONYMOUS prisijungimas
Kompiuteris: ComputerName
Aprašymas:
Active Directory ne naudoti DNS spręsti IP adresas žemiau šaltinio domeno kontrolerio. Siekiant išlaikyti nuoseklumą saugos grupes, grupės strategija, vartotojai ir kompiuteriai ir jų slaptažodžius, Active Directory sėkmingai pakartoti naudojant NetBIOS arba visas kompiuterio vardas šaltinis domeno kontrolerio.

Neleistinas DNS konfigūracija gali turėti įtakos kitų esminių operacijų valstybės kompiuteriuose, domeno valdiklių ar taikomųjų programų serverius šiame Active Directory miške, įskaitant įėjimo autentifikavimas arba prieigos prie tinklo išteklių.

Iš karto turėtų išspręsti šią DNS konfigūracijos klaida, kad šį domeno valdiklį galite išspręsti IP adresą, naudojant DNS šaltinis domeno valdiklį.

Alternatyvųjį serverio vardą: AlternateServerName
Jei DNS pagrindinio kompiuterio pavadinimas: GUID._msdcs.DNSDomainName

Pastaba: Pagal numatytuosius nustatymus, tik iki 10 DNS gedimai yra rodomos bet kuriuo 12 valandų laikotarpį, net jei daugiau kaip 10 gedimui. Prisijungti visus atskirų nepakankamumas įvykius, nustatyti šių diagnostika registro reikšmė 1:

Registro kelyje:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC kliento

Vartotojo veiksmas:

1) Jei domeno valdiklio šaltinis yra ne ilgesnis veikimo arba jos operacinės sistemos turi susijusia su kito kompiuterio pavadinimą arba NTDSDSA objekto GUID, pašalinti šaltinio domeno valdiklio duomenys su ntdsutil.exe, naudojant MSKB straipsnyje 216498 veiksmus.

2) Patvirtina, kad šaltinio domeno valdiklis veikia Active directory ir yra prieinama tinkle įvesdami "grynasis Rodyti \\<source dc="" name="">" arba "ping <source dc="" name="">".

3) Patikrinti, kad domeno valdiklio šaltinis yra naudojant galiojančio DNS serverio DNS paslaugas, ir kad šaltinio domeno valdiklio host įrašą ir CNAME įrašo yra teisingai registruota, naudojant DCDIAG DNS Glaudesnis versija.EXE galima rasti http://www.microsoft.com/dns

Dcdiag /test:dns

4) Patikrinti, kad šios paskirties domeno valdiklyje yra naudojant galiojančio DNS serverio DNS paslaugos, veikia DCDIAG DNS Glaudesnis versija.EXE komandą konsolės paskirties domeno kontrolerio, išvardyti toliau:

Dcdiag /test:dns

5) Už tolesnę analizę, DNS klaida nesėkmių pamatyti KB 824449: http://support.microsoft.com/?kbid=824449

Papildomi duomenys
Klaidos reikšmę:
11004 Kreipiamasi pavadinimas galioja, tačiau nerasta jokių duomenų apie pageidaujamą tipą.</source></source>

Įvykio ID 2087 įvyksta, kai nepavyko Active Directory kopijavimo, nes DNS išteklių arba sugedus NetBIOS peržvalgos. Konkrečiai, domeno valdiklį, kuris prisijungęs įvykio ID 2087 negalėjo išspręsti replikacijos partneriu IP adresą naudodami vieną iš šių veiksmų:
  • CNAME ištekliaus įrašas
  • Visiškai kvalifikuotas kompiuterio pavadinimą DNS
  • NetBIOS kompiuterio vardas
Todėl, kad domeno valdiklis, prisijungiančios renginys negali atlieka gavimo dubliavimą, Active Directory duomenų gali būti nenuoseklus tarp domenų valdiklių. Pvz., vartotojo ir kompiuterio grupės informacija gali būti nenuosekli.

Įvykio ID 2088 įvyksta tada, kai yra šios sąlygos:
  • Active Directory kopijavimo negali išspręsti replikacijos partneriu CNAME išteklių įrašą į IP adresą naudodami DNS.
  • Active Directory gali išspręsti replikacijos partneriu IP adresą naudodami partnerio visas kompiuterio vardas DNS arba naudojant partnerio NetBIOS kompiuterio vardas yra laimi arba NetBIOS broadcast.
Pastaba Net jei leidžianti NetBIOS vardo vertinimą pavyksta, visų DNS pavadinimas rezoliucija nesėkmių turi būti ištirti ir išspręsti, nes DNS konfigūracijos klaidas gali sukelti Active Directory funkcijas žlugti.
Priežastis
DNS peržvalgos problemų gali sukelti Active Directory kopijavimo vienos iš šių būdų:
  • 1 Atvejis: Domeno valdiklis bando atkartoti su kitame domeno valdiklyje, kuris neprijungtas, ir duomenis apie neprisijungęs domeno valdiklio Active Directory ir DNS nebuvo atnaujinta arba panaikinta, kad rodo, kad domeno valdiklis yra nepasiekiamas.
  • 2 Atvejis: Domeno valdiklis bando atkartoti su kitu domeno valdiklis, kuris yra internete, bet dėl DNS arba tinklo problemas, domeno valdiklių negalima rasti vienas kitą.
Visi domeno valdikliai registruotis SRV, A ir CNAME įra us DNS. CNAME įrašas yra formos Dsa_Guid._msdcs.Dns_Domain_Name. Dsa_Guid katalogo sistemos agentas (DSA) objekto GUID yra domeno valdiklyje. Dns_Domain_Name yra miško kurioje domeno valdiklį, pavadinimas. Domeno valdikliai reikalauja CNAME įrašą, rasti ir identifikuoti savo replikacijos partnerių.

Net Logon paslaugos domeno valdiklyje registruoja visus SRV įrašus. Kliento DNS paslauga domeno valdiklyje registrus DNS pagrindinio kompiuterio (A) įrašo ir GUID CNAME įrašą.

Domeno valdiklis naudoja šiuos veiksmus raskite savo replikacijos partnerių:
  1. Domeno valdiklis naudoja DNS ieškoti CNAME įrašą savo replikacijos partnerių.
  2. Jei peržvalgos yra nesėkmingas, domeno valdiklis ieško savo replikacijos partnerių DNS A įrašą. Pvz., domeno valdiklio ieško dc-03.corp.contoso.com.
  3. Jei DNS A registruoti peržvelgiant yra nesėkmingas, domeno kontrolierius atlieka NetBIOS transliuojančios savo replikacijos partnerių vardą. Pvz., domeno valdiklis naudojamas dc-03.
Sprendimas

1 Atvejis

Norėdami pašalinti Active Directory ir DNS duomenis, kurie yra paliktas domeno valdikliui, kuris nėra naudojamas, laikomasi procedūros, šį Microsoft žinių bazės straipsnį:
216498 Kaip pašalinti duomenų Active Directory po nesėkmingo domeno kontrolierius žeminimas
Jei domeno valdiklis turi būti internete, blokavimo problemos neišsprendė, ir tada įdėti domeno valdiklio atgal internete. Kai jūs iš naujo domeno valdiklį, jūs automatiškai registruoti Active Directory ir DNS duomenų, kurie reikalingi Active Directory kopijavimo su paskirties domeno valdiklį.

Jei nenorite iš naujo paleisti domeno valdiklį, bet norite registruokite savo DNS įra us, pereikite prie 7 veiksmo, "registrą išteklių įrašų DNS."

Byla Nr. 2

Jei dubliavimas nevyksta, nes paskirties domeno valdiklis negali išspręsti DNS pavadinimas replikacijos partneriu, turite diagnozuoti DNS ir tinklo ryšio problemas nustatyti šaltinio gedimo.

Diagnozuoti ir nustatyti DNS paramos Active Directory kopijavimo, atlikite šiuos veiksmus:
  1. Rinkti informaciją.

    Turite turėti šią informaciją diagnozuoti ir nustatyti DNS paramos Active Directory kopijavimo ir kitas operacijas, kurios priklauso nuo DNS:
    • Visiškai apibrėžtą domeno vardą (FQDN) ir IP adresas šaltinis domeno kontrolerio.
    • FQDN ir IP adresą DNS serverio, kuriame yra Active Directory domeno DNS zonoje.
    Pastaba Domeno valdiklio ir DNS serverio informacija gali sutapti, jei domeno valdiklis taip pat veikia DNS serverio paslauga, kuri vyksta Active Directory domeno DNS zonoje.
  2. Patikrinkite, ar tinklo ryšio parametrai.
    1. Domeno valdiklis, praneπimus apie klaidą, spustelėkite Tinklo ryšiai Valdymo skyde.
    2. Dešiniuoju pelės mygtuku spustelėkite tinklo ryšį, kurį norite konfigūruoti, ir spustelėkite Ypatybės.
    3. Dėl to Bendrosios skirtuką vietinis arba dėl su Darbas tinkle visos kitos jungtys skirtuką, spustelėkite Interneto protokolas (TCP/IP), tada spustelėkite Ypatybės.
    4. Į Naudoti šiuos DNS serverio adresus, patikrinti, kad pageidaujamas DNS serveris ir alternatyvus DNS serveris turi teisingą IP adresą, DNS serverio, kuriame yra Active Directory domeno DNS zonoje.

      Pastaba Mes rekomenduojame, kad pageidaujamas DNS serveryje, domeno valdiklio įsikūręs centrinėje svetainėje, kuri yra vietinė, ar gerai prijungtas. Jei naudojate koncentratoriaus svetainė, galite sumažinti replikavimo gaištis.
    5. Jei IP adresai yra teisingi, pereikite prie 3 veiksmo. Jei IP adresas yra neteisingas, įveskite teisingą adresą ir tada pereikite prie 7 veiksmo.
  3. Patikrintas ry ys.

    Patikrinti ryšį, naudokite su Ping komanda paskirties domeno valdiklio šaltinis domeno kontrolieriaus ir DNS serverio IP adresams.
    Paskirties domeno valdiklyje, įrašykite į komandų eilutę ir paspauskite ENTER po kiekvienos komandos:

    Ping IP_Address_of_source_domain_controller
    Ping IP_Address_DNS_server

    Jei abiejų komandų yra nesėkmingas, tinklo jungiamumo klaida gali egzistuoti. Kreipkitės į tinklo administratorių diagnozuoti ir ištaisyti šią klaidą. Jei abi komandos sėkmingai, klaidos yra DNS.
  4. Patikrinkite, ar paleista DNS serverio paslauga.

    Jei paskirties domeno valdiklis konfigūruotas naudoti vietos DNS serverį, patikrinkite, ar paleista DNS serverio paslauga. Norėdami tai padaryti, įveskite net start "DNS serveris" Komandinė eilutė, o tada paspauskite ENTER.

    Jei DNS serverio paslauga veikia, pasirodo pranešimas, kuris nurodo, kad paslauga veikia. Jei DNS serverio paslaugos yra įdiegtas, bet paslauga nepaleista, komanda pradeda DNS serverio paslaugos.

    Jei DNS serveris tarnyba neįdiegta, pasirodo pranešimas, kad serverio vardas yra neleistina.Jei paskirties domeno valdiklis konfigūruotas naudoti nuotolinio DNS serverį, naudokite DNS konsolės paleisti DNS Server paslaugą. Norėdami tai padaryti, atlikite šiuos veiksmus:
    1. Atidarykite DNS konsolės.
    2. Dėl to Veiksmų meniu, spustelėkite Prisijungti prie DNS serverio.
    3. Į Prisijungti prie DNS serverio, spustelėkite Šis kompiuteris.
    4. Norėdami prisijungti prie nuotolinio serverio, nurodykite nuotolinio serverio DNS kompiuterio vardą arba IP adresą.
    5. Paspauskite, jei norite pasirinkti, Prisijungti prie nurodytas kompiuteris dabar žymės langelį, o tada spustelėkite gerai.
    6. Dėl to Veiksmų meniu, taškas į Visos užduotys, tada spustelėkite Pradėti.
  5. Patikrinkite, ar yra užregistruotas išteklių įrašą.

    Paskirties domeno valdiklį naudoja DNS CNAME išteklių įrašų, Dsa_Guid._msdcs.Dns_Domain_Name, norėdami rasti savo šaltinio domeno valdiklio replikacijos partneriu. Norėdami patikrinti, ar šio ištekliaus įrašas DNS zonoje Active Directory domeno vardo, atlikite šiuos veiksmus:
    1. Atidarykite DNS konsolės konsolės medyje. Raskite visus domeno valdikliui, kurį veikia DNS Server paslaugą, kai paslauga yra DNS zona su tuo pačiu pavadinimu kaip Active Directory domeno vardą.
    2. Konsolės medyje spustelėkite zonos, pavadintą _msdcs.Dns_Domain_Name.

      Windows 2000 Server DNS, _msdcs.Dns_Domain_Name yra subdomenas Active Directory domeno DNS zonoje. Windows Server 2003, _msdcs.Dns_Domain_Name yra atskira zona.
    Zona, pavadintą _msdcs.Dns_Domain_Name turi būti pateikta:
    • CNAME išteklių įrašą, pavadintą Dsa_Guid._msdcs.Dns_Domain_Name.
    • A atitinka ištekliaus įrašas DNS serverio, kuriame įvardijamas kaip tikslinės priimančiosios CNAME įrašo pavadinimas.


    Jei išteklių įrašai nėra, pereikite prie veiksmo 6 diagnozuoti kodėl Net Logon paslauga nėra užregistruoti išteklių įrašams automatiškai.
  6. Patikrinti, kad DNS serverio paslauga, kuri vyksta Active Directory domeno vardo zonoje yra sukonfigūruotas taip, kad dinamiškai atnaujina.
    1. DNS konsolėje, dešiniuoju pelės mygtuku spustelėkite taikomus zonoje, o tada spustelėkite Ypatybės.
    2. Dėl to Bendrosios skirtukas, patikrinkite, ar yra kokia zona Aktyvus Directory–integrated.
    3. Į Dinamiškai atnaujina, spustelėkite saugoma tik. (Sistemoje Windows 2000 Server, saugus dinaminio naujinimo parinkties pavadintas Tik saugus atnaujinimus.)
  7. Registruoti DNS išteklių įrašų DNS.

    Net Logon paslaugos domeno valdiklyje registrus DNS išteklių įrašų, kurių reikia domeno valdiklyje turi būti išdėstyti tinkle. Rankiniu būdu pradėti šią registracijos kodo domeno valdiklyje, įrašykite į komandų eilutę ir paspauskite ENTER po kiekvienos komandos:

    net stop "net logon"

    net start "net logon"

    Kliento DNS paslauga registrų priimančiosios (A) išteklių įrašą, kurį CNAME įrašas nukreipia į. Pradėti šį registracijos kodo domeno valdiklyje, įveskite ipconfig/registerdns Komandinė eilutė, o tada paspauskite ENTER.
  8. Patikrinkite, ar išteklių įrašų registravimas.

    Įsitikinti, kad įrašai buvo sėkmingai užsiregistravote, eikite prie žingsnio 5, "Patikrinti, kad išteklių įrašas įregistruotas."
  9. Jėgos replikacijos šaltinio ir paskirties domeno valdikliuose.
    1. Paskirties domeno valdiklio, atidarykite Active Directory svetainėse ir paslaugose.
    2. Konsolės medyje spustelėkite NTDS nustatymų domeno valdiklio, kurį norite galiojusį replikacija.
    3. Išsamios informacijos srityje dešiniuoju pelės mygtuku spustelėkite ryšį, kuriam norite naudoti atkartoti katalogas informacija, ir spustelėkite Pakartoti dabar.
    Taip pat galite, Repadmin ir replmon komandų eilutės įrankius. Šie įrankiai yra prieinami jūsų Windows Server 2003 diegimo kompaktiniame diske. (The Repadmin komanda Repadmin /syncall/d /e /P source_domain_controller.)
  10. Tirti kitų problemų.

    Jei ankstesnius veiksmus klaidas, domeno valdiklyje negalima prie dinamiškai užsiregistruoti savo DNS išteklių įrašų, nes DNS serverius domeno valdiklį naudoja vardo vertinimą nepavyksta rasti pirminio autoritetingų zonoje šių išteklių įrašų. Šiuo atveju yra dvi galimos priežastys:
Daugiau informacijos
Taip pat galite Netdiag.exe ir Dcdiag.exe komandų eilutės įrankiai išspręsti DNS ir Active Directory infrastruktūros klausimus. Abu įrankiai yra prieinami internete arba Windows Server 2003 diegimo kompaktiniame diske. Norėdami atsisiųsti šiuos įrankius, apsilankykite Windows Server 2003 išteklių rinkinys įrankiai interneto puslapyje:

Įspėjimas: šis straipsnis išverstas automatiškai

Savybės

Straipsnio ID: 824449 – Paskutinė peržiūra: 06/07/2013 01:19:00 – Peržiūra: 1.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows XP leidimas profesionalams, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server (serveris)

  • kbdirservices kbprb kbmt KB824449 KbMtlt
Atsiliepimai