DNSLint gebruiken om replicatieproblemen met Active Directory op te lossen

Samenvatting

In dit artikel wordt beschreven hoe u het hulpprogramma DNSLint gebruikt om problemen met Active Directory-replicatie op te lossen.

Active Directory is een gedistribueerde database. In deze database worden gegevens over objecten in een netwerk opgeslagen en kunnen gebruikers toegang tot deze gegevens krijgen. Active Directory-replicatie wordt gebruikt om replica's van partities te synchroniseren van domeincontrollers in een Active Directory-forest. Dit replicatieproces biedt gebruikers de mogelijkheid om vanaf elke willekeurige locatie in het netwerk toegang te krijgen tot de gegevens. Als dit replicatieproces niet naar behoren werkt, kunnen er services worden onderbroken die afhankelijk zijn van gegevens van Active Directory: domeinaanmelding en toegang tot netwerkbronnen, zoals bestanden en printers.

Active Directory-replicatie heeft DNS (Domain Name System) nodig om waar nodig namen om te zetten in IP-adressen. Een Active Directory-domeincontroller registreert gewoonlijk allerlei DNS-records met de bijbehorende, geconfigureerde DNS-server wanneer de netlogon-service wordt gestart. DNSLint is een hulpprogramma van Microsoft Windows dat kan worden uitgevoerd onder Windows 2000 en recentere Windows-besturingssystemen. U kunt dit hulpprogramma onder andere gebruiken om problemen met Active Directory-replicatie op te lossen. U kunt met het hulpprogramma de volgende twee dingen doen:

 • U kunt controleren of alle DNS-servers die gemachtigd zijn voor de hoofdmap van een Active Directory-forest, ook daadwerkelijk over de benodigde DNS-records beschikken om kopieën van partities te synchroniseren van domeincontrollers in een Active Directory-forest. DNSLint gaat na welke DNS-records er ontbreken op elke gemachtigde DNS-server.
 • U kunt controleren of een bepaalde Active Directory-domeincontroller alle benodigde DNS-records kan omzetten om kopieën van partities te synchroniseren van domeincontrollers in een Active Directory-forest. DNSLint gaat na welke DNS-records niet kunnen worden omgezet door de domeincontroller die wordt getest.

Probleemoplossing

Als een Active Directory-domeincontroller met een andere domeincontroller wil repliceren, wordt DNS gebruikt om andere domeincontrollers te zoeken. Deze procedure werkt als volgt:

 1. De domeincontroller die de replicatie start (DC1), voert een query uit in Active Directory om te zoeken naar zijn geconfigureerde replicatiepartners. Deze replicatiepartners worden gewoonlijk gedefinieerd door de KCC (Knowledge Consistency Checker), maar kunnen ook handmatig worden gedefinieerd.

  Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:

  244368 Active Directory-replicatie optimaliseren in een groot netwerk
  DC1 kent alleen de naam van de domeincontroller waarmee deze wil repliceren (DC2). DC1 vindt een GUID in Active Directory die overeenkomt met de naam van de doeldomeincontroller (DC2). Elke domeincontroller in het forest moet over een eigen uniek GUID beschikken.
 2. Nu DC1 de GUID van DC2 kent, moet DC1 het IP-adres van DC2 zoeken, zodat de controller via het netwerk een verbinding met dit adres tot stand kan brengen. DC1 gebruikt DNS om dit te doen. DC1 stuurt een recursieve DNS-query naar zijn lokaal geconfigureerde DNS-server voor een CNAME-record. Deze record heeft altijd de volgende notatie

  guid._msdcs.hoofdmap van Active Directory-forest
  waarbij guid de GUID is die DC1 heeft gevonden in Active Directory en hoofdmap van Active Directory-forest de hoofdmap is van het Active Directory-forest. Bijvoorbeeld:

  91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
  waarbij 91f9b084-4876-4b59-be17-59e74c340221 een GUID is en reskit.com de hoofdmap is van het Active Directory-forest.

  De lokaal geconfigureerde DNS-server van DC1 moet met een alias reageren op de query voor de CNAME. De alias is een andere naam voor de GUID. De GUID 91f9b084-4876-4b59-be17-59e74c340221 wordt bijvoorbeeld omgezet in dc-02.reskit.com.
 3. Nu DC1 de alias voor de GUID kent, moet DC1 de alias omzetten in een IP-adres zodat er via het netwerk een verbinding met DC2 tot stand kan worden gebracht. DC1 stuurt een recursieve DNS-query naar zijn lokaal geconfigureerde DNS-server voor een host-A-record die overeenkomt met de naam van de alias. De DNS-server moet reageren met een IP-adres dat aan de alias is gekoppeld, bijvoorbeeld 169.254.66.7
 4. Nu DC1 het IP-adres van DC2 weet, kan DC1 via het netwerk een verbinding tot stand brengen met DC2 en gegevens van Active Directory repliceren.
Als deze procedure mislukt, mislukt ook de Active Directory-replicatie van de domeincontrollers en kunnen gegevens op de domeincontrollers inconsistent worden. U kunt DNSLint gebruiken om vast te stellen of de in deze procedure gebruikte DNS-records gedefinieerd zijn en kunnen worden omgezet.

 1. Om vast te stellen of DNS een probleem veroorzaakt bij Active Directory-replicatie van domeincontrollers in een Active Directory-forest, moet u de volgende opdracht uitvoeren

  dnslint /ad 169.254.32.1 /s 169.254.10.22


  waarbij de parameter /ad wordt gebruikt om een Active Directory-domeincontroller aan te geven die kan worden gebruikt om de GUID's voor alle domeincontrollers in het Active Directory-forest te zoeken. Standaard moeten alle domeincontrollers in een forest over de volgende gegevens beschikken. De optie /s is vereist als u de functie /ad gebruikt. De optie /s wordt gebruikt om DNSLint het IP-adres te geven van een DNS-server die gemachtigd is voor de forest-root-zone _msdcs.

  Wanneer u deze opdracht uitvoert, neemt DNSLint eerst contact op met de Active Directory-domeincontroller die na de schakeloptie /ad (169.254.32.1) is opgegeven. Met deze opdracht zorgt u ervoor dat DNSLint een query uitvoert in Active Directory op deze domeincontroller om te zoeken naar alle GUID's in het Active Directory-forest. In Active Directory wordt op de volgende locatie gezocht

  CN=NTDS-instellingen, CN=Sites,CN=Configuratie,DC=reskit,DC=com
  waarbij DC=reskit,DC=com de hoofdmap is van het Active Directory-forest.

  Voor dit type LDAP-query (Lightweight Directory Access Protocol) is verificatie vereist voor Active Directory. Normaal wordt DNSLint uitgevoerd met de beveiliging van de gebruiker die de opdracht uitvoert. De referenties van deze gebruiker worden gebruikt om Active Directory te verifiëren tijdens het tot stand brengen van een LDAP-bindingsbewerking. Als de referenties geldig zijn en de gebruiker toegang heeft tot deze gegevens in Active Directory, wordt er een binding tot stand gebracht en wordt in Active Directory naar de GUID's gezocht. Als de binding mislukt, wordt de zoekactie niet uitgevoerd en mislukt de hele bewerking. DNSLint retourneert in die gevallen een fout.

  Als er een lijst met GUID's wordt opgehaald uit de opgegeven domeincontroller, stuurt DNSLint een DNS-query naar de DNS-server. Dit wordt aangegeven door het gebruik van de optie /s. In het voorbeeld dat eerder in deze stap werd gegeven, worden DNS-query's naar 169.254.10.22 verzonden. Als deze DNS-server niet is gemachtigd voor de hoofdmap _msdcs. van het Active Directory-forest, wordt de bewerking mogelijk beëindigd zonder dat er DNS-records worden gevonden voor de eerder gevonden GUID's. Met de optie /s moet het IP-adres van een DNS-server worden opgegeven die gemachtigd is voor het subdomein van de _msdcs.-hoofdmap van het Active Directory-forest.

  In sommige omgevingen, zoals in omgevingen waarin een DNS-server die geen dynamische updates accepteert, als host optreedt van de hoofdzone, is de zone _msdcs overgedragen aan een DNS-server die niet is gemachtigd voor de hoofdmap van het Active Directory-forest. DNSLint controleert of deze overdracht heeft plaatsgevonden voordat de volgende DNS-query's worden uitgevoerd. Met deze stap wordt voorkomen dat er DNS-query's naar DNS-servers worden verzonden die niet moeten worden getest.

  DNSLint probeert te achterhalen welke andere DNS-servers zijn gemachtigd voor de hoofdmap van het Active Directory-forest terwijl de DNS-query's worden verwerkt. Nadat DNSLint DNS-servers heeft gevonden die gemachtigd zijn voor de hoofdmap van het Active Directory-forest, wordt op de DNS-server (of servers) naar de CNAME-records gezocht die in Active Directory worden gevonden. Terwijl elke naam wordt omgezet in een alias, probeert het DNSLint ook de glue-A-record voor elke alias om te zetten. Zoals eerder in dit artikel werd vermeld, zijn deze DNS-records vereist voor Active Directory-replicatie.

  DNSLint maakt vervolgens een rapport in de HTML-indeling (en optioneel een tekstrapport). Dit rapport bevat alle GUID's die in Active Directory zijn gevonden, de gevonden DNS-servers die gemachtigd zijn voor de hoofdmap van het Active Directory-forest en de resultaten van alle CNAME- en glue-A-recordquery's die op die servers zijn uitgevoerd. In het rapport wordt aangegeven welke CNAME-records en glue-A-records er op elke DNS-server ontbreken. Dit rapport kan worden gebruikt om alle DNS-kwesties op te lossen die problemen met de Active Directory-replicatie veroorzaken, zoals ontbrekende of onjuiste DNS-records.
 2. Om vast te stellen of een bepaalde Active Directory-domeincontroller alle benodigde DNS-records kan omzetten om kopieën van partities te synchroniseren van domeincontrollers in een Active Directory-forest, moet u de volgende opdracht uitvoeren op de domeincontroller die wordt getest:

  dnslint /ad /s localhost
  Omdat er geen IP-adres is opgegeven na de optie /ad, wordt 127.0.0.1 gebruikt. Dit houdt in dat de domeincontroller bij zichzelf naar de lijst met GUID-records zoekt. U kunt eventueel een andere LDAP-server van de domeincontroller opgeven. Als u localhost opgeeft na de optie /s, weet DNSLint dat de op de domeincontroller geconfigureerde DNS-server (of servers) moet worden gebruikt die wordt getest om de CNAME- en glue-A-records om te zetten die voor Active Directory-replicatie worden gebruikt. Deze specificatie verzendt recursieve DNS-query's naar de lokaal geconfigureerde DNS-server (of servers) van de domeincontroller om te bepalen of de domeincontroller de benodigde records kan omzetten. Dit houdt niet in dat alle DNS-servers van de lokale domeincontroller worden gecontroleerd op deze records. De DNS-serverlijst van de domeincontroller wordt beheerd volgens het standaardgedrag van de lijst. Dit betekent dat de tweede DNS-server in de lijst alleen wordt gebruikt als de eerste DNS-server niet reageert. Bij deze test wordt alleen vastgesteld of een domeincontroller de DNS-records kan omzetten die voor Active Directory-replicatie worden gebruikt. Er wordt geen specifieke DNS-server getest.

  Het rapport dat DNSLint genereert, kan vervolgens worden gebruikt om alle DNS-kwesties op te lossen die problemen met de Active Directory-replicatie veroorzaken, zoals ontbrekende of onjuiste DNS-records.

U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:
Downloaden Het pakket dnslint.v204.exe nu downloaden.

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 Microsoft-ondersteuningsbestanden via Online Services downloaden
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is opgeslagen op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen voorkomen.


Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het hulpprogramma DNSLint:

321045 Beschrijving van het hulpprogramma DNSLint
Eigenschappen

Artikel-id: 321046 - Laatst bijgewerkt: 15 jan. 2008 - Revisie: 1

Feedback