Problemy z wieloma kontrolerami domen w strefach DNS zintegrowanych z usługą Active Directory

WAŻNE: Ten artykuł zawiera informacje na temat edytowania Rejestru. Przed edycją Rejestru upewnij się, że wiesz, jak go przywrócić w przypadku pojawienia się problemu. Informacje o przywracaniu Rejestru można znaleźć w temacie „Przywracanie Rejestru” w Pomocy programu Regedit.exe lub w temacie „Przywracanie klucza Rejestru” w Pomocy programu Regedt32.exe.

Symptomy

W domenie zawierającej dużą liczbę kontrolerów domen (zwykle powyżej 800), w strefie DNS zintegrowanej z usługą Active Directory, dla niektórych kontrolerów domen mogą nie działać rejestracje usług SRV systemu nazw domen (DNS), rekordów A lokalizacji kontrolera domen (DC) (zarejestrowane przez usługę Netlogon) i rekordów NS (dodanych przez nadrzędne serwery DNS). Problemy z rejestracją rekordów A i rekordów NS w katalogu głównym strefy występują w domenie zawierającej ponad 400 kontrolerów domen, jeżeli strefa DNS zintegrowana z usługą Active Directory ma taką samą nazwę jak nazwa domeny usługi Active Directory. Oprócz tego, w dzienniku zdarzeń może pojawić się przynajmniej jeden z następujących komunikatów o błędach:
Typ zdarzenia: Błąd

Źródło zdarzenia: DNS

Kategoria zdarzenia: Brak

Identyfikator zdarzenia: 4011

Data: 2000-06-28

Godzina: 19:50:13

Użytkownik: Brak

Komputer: MACHINE1

Opis: Serwer DNS nie może dodać lub zapisać uaktualnienia nazwy domeny xyz w strefie xyz.example.com do katalogu usługi Active Directory. Sprawdź czy usługa Active Directory poprawnie funkcjonuje, po czym dodaj lub uaktualnij tę nazwę domeny. Dane opisujące zdarzenie zawierają kod błędu.

Dane: 0000: 2a 23 00 00 *#..


Typ zdarzenia: Błąd

Źródło zdarzenia: DNS

Kategoria zdarzenia: Brak

Identyfikator zdarzenia: 4015

Data: 2000-06-28

Godzina: 19:50:13

Użytkownik: Brak

Komputer: MACHINE1

Opis: Serwer DNS napotkał błąd krytyczny usługi Active Directory. Sprawdź, czy usługa Active Directory poprawnie funkcjonuje. Dane opisujące zdarzenie zawierają kod błędu.

Dane: 0000: 0b 00 00 00 ....


Kod końcowego stanu ze zdarzenia 4015, 0x00000b oznacza błąd „LDAP_ADMIN_LIMIT_EXCEEDED Ograniczenie administracyjne na serwerze zostało przekroczone”.


Typ zdarzenia: Ostrzeżenie

Źródło zdarzenia: Replikacja NTDS

Kategoria zdarzenia: Replikacja

Identyfikator zdarzenia: 1093

Data: 2000-06-28

Godzina: 19:33:24

Użytkownik: Wszyscy

Komputer: MACHINE1

Opis: Agent replikacji katalogów DRA nie może zastosować zmian do obiektu DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC=com (identyfikator GUID 77d76064-f49e-4762-ba8c-324b6c518f11), ponieważ nadchodzące zmiany powodują, że obiekt przekracza limit rozmiaru rekordu bazy danych. Nadchodząca zmiana atrybutu 9017e (dnsRecord) zostanie wycofana przy próbie dopasowania aktualizacji. Oprócz zmiany atrybutu, która nie zostanie zastosowana lokalnie, bieżąca wartość atrybutu w tym systemie zostanie wysłana do wszystkich pozostałych systemów, aby utworzyć wersję ostateczną. Dotyczy to unieważniania zmiany dla reszty przedsiębiorstwa.

Zmianę można rozpoznać w następujący sposób: wersja 5474, czas zmiany 2000-06-28 19:33.24 i numer USN 2873104.


Typ zdarzenia: Informacje

Źródło zdarzenia: Replikacja NTDS

Kategoria zdarzenia: Replikacja

Identyfikator zdarzenia: 1101

Data: 2000-06-28

Godzina: 19:33:24

Użytkownik: Wszyscy

Komputer: MACHINE1

Opis: Po wycofaniu jednej lub więcej zmian atrybutów agent replikacji katalogów (DRA) pomyślnie wprowadził zmiany do obiektu DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC=xyz,DC=example,DC=com (identyfikator GUID 77d76064-f49e-4762-ba8c-324b6c518f11). Następne komunikaty wskażą, które atrybuty zostały odwrócone Zauważ, że spowoduje to unieważnienie zmiany, tam gdzie została wprowadzona, wobec czego aktualizacja oryginalna nie zostanie wprowadzona. Osobę rozpoczynającą należy powiadomić, że jej zmiana nie została zaakceptowana przez system.

Przyczyna

Problem występuje ponieważ usługa Active Directory ogranicza liczbę wartości, które mogą być skojarzone z pojedynczym obiektem do około 800. W strefie DNS zintegrowanej z usługą Active Directory, nazwy DNS są reprezentowane przez obiekty dnsNode, a rekordy DNS są przechowywane jako wartości w wielowartościowym atrybucie dnsRecord obiektów dnsNode, powodując komunikaty o błędach wymienione wcześniej w tym artykule.

Rozwiązanie

Aby rozwiązać ten problem, należy uzyskać najnowszy dodatek Service Pack dla systemu Microsoft Windows 2000. Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000

Anglojęzyczna wersja tej poprawki powinna mieć następujące atrybuty pliku (lub nowsze):

Data Godzina Wersja Rozmiar Nazwa pliku
------------------------------------------------------------------------------
05/18/2000 06:38p 5 090 728.2195.1623 546,576 Netcfgx.dll (i386)
05/19/2000 11:26a 528,640 Q267855_W2k_sp1_x86_en.exe

Poprawka zawiera poprawione składniki usług DNS i Netlogon. Poprawka nie usuwa ograniczenia liczby rekordów, które można dodać dla tej samej nazwy DNS, gdy strefa DNS jest zintegrowana z usługą Active Directory, ale udostępnia mechanizm wyłączania niepotrzebnych rejestracji DNS usług SRV, rekordów A lokalizatora kontrolera domen i rekordów NS w strefie DNS zintegrowanej z usługą Active Directory.

Poprawka usługi DNS

Wprowadź tę poprawkę na każdym serwerze DNS działającym na kontrolerze domeny. Część poprawki dotycząca usługi DNS dodatkowo zawiera uaktualnioną wersję pliku Dnscmd.exe, który jest instalowany w folderze Dysk_systemowy:\Program Files\Support Tools. Po wprowadzeniu tej poprawki, użyj jednej z następujących metod:

Metoda 1

Jeśli chcesz określić listę serwerów DNS, które w danej strefie będą mogły dodawać odpowiadające sobie rekordy NS, wybierz jeden serwer DNS, a następnie uruchom polecenie Dnscmd.exe z przełącznikiem /AllowNSRecordsAutoCreation:
 • Aby ustawić listę adresów TCP/IP serwerów DNS, które mają uprawnienia do automatycznego tworzenia rekordów NS dla strefy, użyj polecenia
  dnscmd
  nazwa_serwera
  /config
  nazwa_strefy
  /AllowNSRecordsAutoCreation IPList
  . Na przykład:
  Dnscmd NS1 /config
  nazwa_strefy
  .com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
 • Aby wyczyścić listę adresów TCP/IP serwerów DNS, które mają uprawnienia automatycznego tworzenia rekordów NS dla strefy, i aby przywrócić domyślny stan strefy, w którym każdy podstawowy serwer DNS automatycznie dodaje do strefy odpowiedni rekord NS, użyj polecenia dnscmdnazwa_serwera/config nazwa_strefy
  /AllowNSRecordsAutoCreation
  . Na przykład:
  Dnscmd NS1 /config
  nazwa_strefy
  .com /AllowNSRecordsAutoCreation
 • Aby wyszukać listę adresów TCP/IP serwerów DNS, które mają uprawnienia do automatycznego tworzenia rekordów NS dla strefy, użyj polecenia
  dnscmd
  nazwa_serwera
  /zoneinfo
  nazwa_strefy
  /AllowNSRecordsAutoCreation
  . Na przykład:
  Dnscmd NS1 /zoneinfo
  nazwa_strefy
  .com /AllowNSRecordsAutoCreation
UWAGA: Polecenie należy uruchamiać jedynie na jednym serwerze DNS. Replikacja Active Directory propaguje zmiany na wszystkich serwerach DNS uruchomionych na kontrolerach domen w tej samej domenie.


W środowisku, w którym większość kontrolerów domen DNS została zlokalizowana w oddziałach, a kilka centralnie, konieczne może być użycie polecenia Dnscmd opisanego wcześniej w tym artykule, w celu ustawienia listy IPList uwzględniającej jedynie centralnie zlokalizowane kontrolery domen DNS. W ten sposób tylko centralnie zlokalizowane kontrolery domen DNS będą dodawać odpowiednie rekordy NS do strefy domeny Active Directory.

Metoda 2

OSTRZEŻENIE: Nieprawidłowe wykorzystanie Edytora Rejestru może być przyczyną poważnych problemów, które spowodują, że konieczna może być ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora Rejestru. Możesz używać Edytora Rejestru na własną odpowiedzialność.

Informacje o edytowaniu Rejestru można znaleźć w temacie „Zmienianie kluczy i wartości” w Pomocy Edytora Rejestru (Regedit.exe) lub w tematach „Dodawanie i usuwanie informacji w Rejestrze” oraz „Edytowanie danych Rejestru” w Pomocy programu Regedt32.exe. Należy pamiętać o utworzeniu kopii zapasowej Rejestru przed jego edycją. Używając systemu Windows NT lub Windows 2000, należy również zaktualizować awaryjny dysk naprawczy.

Aby zdecydować, który serwer DNS nie będzie dodawał odpowiednich rekordów NS do dowolnej strefy DNS zintegrowanej z usługą Active Directory, użyj Edytora Rejestru (Regedt32.exe). Ustaw następującą wartość rejestru na każdym serwerze DNS, którego to dotyczy:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


Wartość rejestru: DisableNSRecordsAutoCreation

Typ danych: REG_DWORD

Zasięg danych: 0x0 | 0x1

Wartość domyślna: 0x0
Ta wartość odnosi się do wszystkich stref DNS zintegrowanych z usługą Active Directory. Wartości mają następujące znaczenia:

Wartość Znaczenie
----------------------------------------------------------------------
0 Serwer DNS automatycznie tworzy rekordy NS dla wszystkich
stref DNS zintegrowanych z usługą Active Directory, chyba że
jakaś strefa obsługiwana przez serwer zawiera
atrybut AllowNSRecordsAutoCreation (opisany wcześniej w tym artykule),
który nie obejmuje tego serwera.
Wtedy serwer używa konfiguracji AllowNSRecordsAutoCreation.

1 Serwer DNS nie tworzy automatycznie rekordów NS dla wszystkich
stref DNS zintegrowanych z usługą Active Directory, niezależnie od konfiguracji
AllowNSRecordsAutoCreation w strefach DNS zintegrowanych z usługą Active Directory.
UWAGA: System Windows 2000 nie dodaje tej wartości do rejestru. Aby zastosować zmiany tej wartości, należy ponownie uruchomić usługę serwera DNS.


Jeśli chcesz uniemożliwić pewnym serwerom DNS dodawanie swoich rekordów NS do obsługiwanych stref DNS zintegrowanych z usługą Active Directory, możesz użyć wartości rejestru DisableNSRecordsAutoCreation opisanej wcześniej w tym artykule.


Zwróć uwagę, że jeżeli wartość rejestru DisableNSRecordsAutoCreation ustawiona jest na 0x1, żadna ze stref DNS zintegrowanych z usługą Active Directory na tym serwerze DNS nie zawiera rekordów NS. Dlatego, jeżeli serwer musi dodać swój własny rekord NS do co najmniej jednej strefy DNS zintegrowanej z obsługiwaną usługą Active Directory, nie ustawiaj wartości rejestru na 0x1.

Poprawka usługi Netlogon

OSTRZEŻENIE: Nieprawidłowe wykorzystanie Edytora Rejestru może być przyczyną poważnych problemów, które spowodują, że konieczna może być ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możliwe będzie rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora Rejestru. Możesz używać Edytora Rejestru na własną odpowiedzialność.

Informacje o edytowaniu Rejestru można znaleźć w temacie „Zmienianie kluczy i wartości” w Pomocy Edytora Rejestru (Regedit.exe) lub w tematach „Dodawanie i usuwanie informacji w Rejestrze” i „Edytowanie danych Rejestru” w Pomocy programu Regedt32.exe. Należy pamiętać, aby przed edycją utworzyć kopię zapasową Rejestru. Używając systemu Windows NT lub Windows 2000, należy również zaktualizować awaryjny dysk naprawczy.

Jak opisano wcześniej w tym artykule, część poprawek usługi Netlogon daje administratorom większą kontrolę. Poprawkę należy stosować we wszystkich kontrolerach domen. Oprócz tego, aby uniemożliwić kontrolerowi domeny dynamiczne aktualizacje pewnych rekordów DNS, które domyślnie są aktualizowane dynamicznie przez usługę Netlogon, użyj programu Regedt32.exe do skonfigurowania następującej wartości rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters


Wartość rejestru: DnsAvoidRegisterRecords

Typ danych: REG_MULTI_SZ
W tej wartości określ listę mnemoników odpowiadających rekordom DNS, które nie powinny być rejestrowane przez ten kontroler domeny. Lista mnemoników zawiera:

Mnemonik Typ Rekord DNS
--------------------------------------------------------------------------
LdapIpAddress A <DnsDomainName>
Ldap SRV _ldap._tcp.<DnsDomainName>
LdapAtSite SRV _ldap._tcp.<SiteName>._sites.<DnsDomainName>
Pdc SRV _ldap._tcp.pdc._msdcs.<DnsDomainName>
Gc SRV _ldap._tcp.gc._msdcs.<DnsForestName>
GcAtSite SRV _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName>
DcByGuid SRV _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
GcIpAddress A _gc._msdcs.<DnsForestName>
DsaCname CNAME <DsaGuid>._msdcs.<DnsForestName>
Kdc SRV _kerberos._tcp.dc._msdcs.<DnsDomainName>
KdcAtSite SRV _kerberos._tcp.dc._msdcs.<SiteName>._sites.<DnsDomainName>
Dc SRV _ldap._tcp.dc._msdcs.<DnsDomainName>
DcAtSite SRV _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName>
Rfc1510Kdc SRV _kerberos._tcp.<DnsDomainName>
Rfc1510KdcAtSite SRV _kerberos._tcp.<SiteName>._sites.<DnsDomainName>
GenericGc SRV _gc._tcp.<DnsForestName>
GenericGcAtSite SRV _gc._tcp.<SiteName>._sites.<DnsForestName>
Rfc1510UdpKdc SRV _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd SRV _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd SRV _kpasswd._udp.<DnsDomainName>
UWAGA: System Windows 2000 nie dodaje tej wartości do rejestru i nie jest konieczne ponowne uruchomienie usługi Netlogon. Jeżeli wartość rejestru DnsAvoidRegisterRecords została utworzona lub zmodyfikowana, gdy usługa Netlogon została zatrzymana lub w ciągu pierwszych 15 minut od uruchomienia usługi, odpowiednie aktualizacje DNS następują z niewielką zwłoką (jednak zwłoka nie trwa dłużej niż 15 minut od uruchomienia usługi Netlogon).


Rejestracje DNS rekordów A wykonywane przez usługę Netlogon mogą być też zmodyfikowane za pomocą wartości rejestru RegisterDnsARecords.
Aby uzyskać informacje o sposobach wykonania tych czynności, kliknij numer artykułu poniżej w celu wyświetlenia artykułu z bazy wiedzy Microsoft Knowledge Base:

246804 Jak włączyć/wyłączyć dynamiczne rejestracje w usłudze DNS w systemie Windows 2000


Zwróć uwagę, że ustawienia wartości rejestru DnsAvoidRegisterRecords mają pierwszeństwo przed ustawieniami wartości rejestru RegisterDnsARecords. Dlatego, jeżeli mnemoniki LdapIpAddress i/lub GcIpAddress są używane w wartości rejestru DnsAvoidRegisterRecords, stosuje się następujące warunki:
 • Jeżeli rejestr DnsAvoidRegisterRecords zawiera wartość LdapIpAddress, a w rejestrze RegisterDnsARecords została ustawiona wartość 0x0, rekord (rekordy) A domeny DnsDomainName nie są rejestrowane przez usługę Netlogon.
 • Jeżeli rejestr DnsAvoidRegisterRecords nie zawiera wartości LdapIpAddress, a w rejestrze RegisterDnsARecords została ustawiona wartość 0x1, rekord (rekordy) A domeny DnsDomainName nie są rejestrowane przez usługę Netlogon.
 • Jeżeli rejestr DnsAvoidRegisterRecords zawiera wartość GcIpAddress, a w rejestrze RegisterDnsARecords została ustawiona wartość 0x0, _gc._msdcs. rekord (rekordy) A domeny DnsForestName nie są rejestrowane przez usługę Netlogon.
 • Jeżeli rejestr DnsAvoidRegisterRecords nie zawiera wartości GcIpAddress, a w rejestrze RegisterDnsARecords została ustawiona wartość 0x1, _gc._msdcs. rekord (rekordy) A domeny DnsForestName nie są rejestrowane przez usługę Netlogon.
Aby opisany wcześniej w tym artykule problem nie występował w środowisku, w którym zestaw kontrolerów domen i/lub serwerów katalogów globalnych (GC) został zlokalizowany centralnie, a dużą liczbę kontrolerów domen i/lub serwerów katalogów globalnych zlokalizowano w oddziałach, administrator może wyłączyć rejestrację niektórych rekordów DNS za pomocą usługi Netlogon na kontrolerach domen lub serwerów katalogów globalnych w oddziałach. W tej sytuacji lista mnemoników, które nie powinny być rejestrowane zawiera:

Rekordy specyficzne dla kontrolera domeny:

Mnemonik Typ Rekord DNS
---------------------------------------------------------------------------
LdapIpAddress A <DnsDomainName>
Ldap SRV _ldap._tcp.<DnsDomainName>
DcByGuid SRV _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName>
Kdc SRV _kerberos._tcp.dc._msdcs.<DnsDomainName>
Dc SRV _ldap._tcp.dc._msdcs.<DnsDomainName>
Rfc1510Kdc SRV _kerberos._tcp.<DnsDomainName>
Rfc1510UdpKdc SRV _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd SRV _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd SRV _kpasswd._udp.<DnsDomainName>

Rekordy specyficzne dla katalogu globalnego:

Mnemonik Typ Rekord DNS
------------------------------------------------------------------------
Gc SRV _ldap._tcp.gc._msdcs.<DnsForestName>
GcIpAddress A _gc._msdcs.<DnsForestName>
GenericGc SRV _gc._tcp.<DnsForestName>
Należy zwrócić uwagę, że te listy nie obejmują rekordów specyficznych dla witryny. Dlatego kontrolery domen i serwery katalogów globalnych w oddziałach można zlokalizować za pomocą rekordów specyficznych dla witryny, używanych zwykle przez lokalizatora kontrolera domeny. Jeżeli program wyszukuje kontrolery domen/katalogi globalne za pomocą typowych (nie specyficznych dla witryny) rekordów, takich jak wymienione wcześniej w tym artykule, znajdzie globalne kontrolery domen/katalogi w centralnej lokalizacji.


Aby zmniejszyć rozmiar odpowiedzi DNS na zapytania o rekordy, administrator może ograniczyć liczbę rekordów lokalizatorów kontrolerów domen, takich jak SRV i rekordy A zarejestrowane za pomocą usługi Netlogon dla tej samej typowej nazwy DNS (_ldap._tcp.dc._msdcs.
DomainName), nawet wtedy, gdy w tej samej domenie jest mniej niż 800 kontrolerów domen.

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji "Informacje zawarte w tym artykule dotyczą".
Ten problem został po raz pierwszy rozwiązany w dodatku Windows 2000 Service Pack 2.

Więcej informacji

Każdy serwer DNS nadrzędny wobec strefy DNS zintegrowanej z usługą Active Directory dodaje rekord NS. Domyślnie każdy kontroler domeny w domenie rejestruje rekord SRV dla zestawu nazw nie specyficznych dla witryny, takich jak „_ldap._tcp.
nazwa_domeny
”, a rekord (rekordy) A mapuje nazwę domeny DNS usługi Active Directory do adresu (adresów) TCP/IP kontrolera domeny. Jeżeli serwer DNS próbuje wpisywać rekordy z tą samą dzieloną nazwą, po około 800 rekordach lokalny serwer zabezpieczeń (LSA) przez prawie 10 sekund wykorzystuje wszystkie zasoby procesora i rejestracja nie udaje się. Co godzinę usługa Netlogon próbuje ponownej rejestracji i znowu przynajmniej raz na godzinę pojawia się 100 procent wykorzystania procesora. W tej sytuacji rejestracje nazw nie dochodzą do skutku.


Aby uzyskać dodatkowe informacje dotyczące sposobów równoczesnego instalowania systemu Windows 2000 i poprawek dla systemu Windows 2000, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

249149 Instalowanie systemu Microsoft Windows 2000 i poprawek do systemu Windows 2000

Właściwości

Identyfikator artykułu: 267855 — ostatni przegląd: 12.04.2006 — zmiana: 1

Opinia