Jak używać programu DNSLint w celu rozwiązywania problemów z replikacją usługi Active Directory

Streszczenie

W tym artykule opisano, jak używać narzędzia DNSLint do rozwiązywania problemów z replikacją usługi Active Directory.

Usługa Active Directory jest rozproszoną bazą danych. Służy ona do przechowywania informacji o obiektach sieciowych i zapewnia użytkownikom dostęp do tych informacji. Replikacja usługi Active Directory służy do synchronizowania obrazów częściowych rozmieszczonych na kontrolerach domen w lesie usługi Active Directory. Proces replikacji zapewnia użytkownikom dostęp do informacji niezależnie od miejsca połączenia z siecią. Jeśli proces replikacji nie przebiega tak, jak powinien, użytkownicy mogą utracić dostęp do usług, które opierają się na informacjach z bazy Active Directory, takich jak: logowanie do domeny i dostęp do zasobów sieciowych, np. plików lub drukarek.

Replikacja usługi Active Directory opiera się na systemie nazw domen (DNS) przy zamianie nazw na adresy IP. Kontroler domeny usługi Active Directory zwykle rejestruje zbiór rekordów DNS ze skonfigurowanego serwera DNS w chwili uruchomienia usługi netlogon. DNSLint jest programem narzędziowym firmy Microsoft, który można uruchamiać w systemie operacyjnym Windows 2000 oraz nowszych. Oprócz innych zastosowań może on być przydatny przy rozwiązywaniu problemów z replikacją usługi Active Directory. W szczególności opisywany program umożliwia sprawdzenie, czy:

 • Na wszystkich serwerach DNS, które powinny być autorytatywne dla katalogu głównego lasu usługi Active Directory, faktycznie znajdują się rekordy DNS potrzebne do pomyślnego zsynchronizowania obrazów częściowych przechowywanych na kontrolerach domeny w lesie usługi Active Directory. Program DNSLint wykrywa brakujące rekordy DNS na wszystkich autorytatywnych serwerach DNS.
 • Każdy kontroler domeny usługi Active Directory może rozpoznać rekordy DNS wymagane do udanej synchronizacji obrazów częściowych na kontrolerach domeny w lesie usługi Active Directory. Program DNSLint określa, które rekordy DNS nie mogą być rozpoznane przez testowany kontroler domeny.

Rozwiązywanie problemów

Przed rozpoczęciem replikacji kontroler domeny usługi Active Directory korzysta z systemu DNS, aby odnaleźć inne kontrolery domeny. Proces przebiega następująco:

 1. Kontroler domeny inicjujący replikację (DC1) przesyła do usługi Active Directory żądanie znalezienia skonfigurowanych partnerów replikacji. Partnerzy replikacji są zwykle zdefiniowani w bazie KCC (Knowledge Consistency Checker), ale można ich również definiować ręcznie.

  Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

  244368 How to optimize Active Directory replication in a large network

  Serwer DC1 zna tylko nazwę kontrolera domeny (DC2), z którym chce prowadzić replikację. W bazie Active Directory może odnaleźć identyfikator GUID (Global Universal Identifier) odpowiadający nazwie docelowego kontrolera domeny (DC2). Warto zauważyć, że każdy kontroler domeny w lesie powinien mieć niepowtarzalny identyfikator GUID.
 2. Serwer DC1 na podstawie identyfikatora GUID serwera DC2 musi znaleźć jego adres IP, aby nawiązać połączenie sieciowe. W tym celu DC1 wykorzystuje system DNS. DC1 wysyła zwrotną kwerendę DNS do lokalnie skonfigurowanego serwera DNS dla rekordu CNAME. Format tego rekordu jest zawsze następujący:

  guid._msdcs.katalog główny AD
  Gdzie guid jest identyfikatorem GUID znalezionym przez DC1 za pomocą usługi Active Directory, katalog główny AD jest katalogiem głównym lasu usługi Active Directory. Na przykład:

  91f9b084-4876-4b59-be17-59e74c340221._msdcs.reskit.com
  gdzie 91f9b084-4876-4b59-be17-59e74c340221 jest identyfikatorem GUID, a reskit.com jest katalogiem głównym lasu usługi Active Directory.

  Lokalnie skonfigurowany serwer DNS kontrolera DC1 w odpowiedzi na kwerendę rekordu CNAME powinien zwrócić alias. Alias jest nazwą odpowiadającą identyfikatorowi GUID. Na przykład GUID 91f9b084-4876-4b59-be17-59e74c340221 zostanie zamieniony na dc-02.reskit.com.
 3. Znając alias identyfikatora GUID, serwer DC1 musi zamienić go na adres IP, aby móc nawiązać połączenie sieciowe z DC2. DC1 wysyła zwrotną kwerendę DNS do lokalnie skonfigurowanego serwera DNS dla rekordu Host (A) odpowiadającego nazwie aliasu. Serwer DNS powinien zwrócić adres IP, który przyporządkowano do aliasu — na przykład 169.254.66.7
 4. Znając adres IP serwer DC1, może nawiązać połączenie sieciowe z serwerem DC2 i rozpocząć replikację danych usługi Active Directory.
Jeśli opisana procedura nie powiedzie się, to również replikacja usługi Active Directory pomiędzy kontrolerami domeny nie może być wykonana i dane na kontrolerach domeny będą niespójne. Program DNSLint może być użyty do sprawdzenia, czy rekordy DNS używane w tym procesie istnieją i czy mogą być rozpoznane.

 1. Aby sprawdzić czy system DNS powoduje problemy z replikacją usługi Active Directory pomiędzy kontrolerami domeny w lesie usługi Active Directory, uruchom następujące polecenie:

  dnslint /ad 169.254.32.1 /s 169.254.10.22


  gdzie parametr /ad umożliwia podanie kontrolera domeny usługi Active Directory, który może być użyty do znalezienia identyfikatorów GUID wszystkich kontrolerów domeny w lesie usługi Active Directory. Domyślnie każdy kontroler domeny w lesie powinien mieć tę informację. Opcja /s jest wymagana dla przełącznika /ad. Opcja /s pozwala na określenie adresu IP serwera DNS, który jest autorytatywny dla strefy _msdcs.katalogu głównego lasu.

  Po uruchomieniu tego polecenia program DNSLint skontaktuje się z kontrolerem domeny usługi Active Directory podanym po przełączniku /ad (169.254.32.1). Polecenie spowoduje wykonanie przez program DNSLint kwerendy usługi Active Directory na tym kontrolerze domeny dotyczącej wszystkich identyfikatorów GUID w lesie usługi Active Directory. W szczególności zostanie przeszukany następujący obszar usługi Active Directory:

  CN=NTDS Settings, CN=Sites,CN=Configuration,DC=reskit,DC=com
  gdzie DC=reskit,DC=com jest katalogiem główny lasu usługi Active Directory.

  Ten typ kwerendy wykorzystuje protokół LDAP (Lightweight Directory Access Protocol) i wymaga uwierzytelnienia przez usługę Active Directory. Zwykle program DNSLint pracuje w kontekście zabezpieczeń użytkownika, który uruchomił polecenie. Poświadczenia tego użytkownika są używane do uwierzytelnienia przez usługę Active Directory podczas operacji powiązania LDAP. Jeśli poświadczenia są ważne i użytkownik ma dostęp do żądanych informacji w usłudze Active Directory, to operacja powiązania powiedzie się i w bazie Active Directory będą wyszukane odpowiednie identyfikatory GUID. Jeśli powiązanie nie uda się, to wyszukiwanie nie zostanie wykonane i cała operacja nie powiedzie się. Program DNSLint zwróci wówczas komunikat o błędzie.

  Jeśli lista identyfikatorów GUID zostanie zwrócona przez wskazany kontroler domeny, to program DNSLint przesyła kwerendę DNS do serwera DNS określonego przy użyciu przełącznika /s. W przykładzie przedstawionym wcześniej kwerendy DNS wysłano by na adres 169.254.10.22. Jeśli serwer DNS nie jest autorytatywny dla _msdcs.katalog główny AD, to operacja może się zakończyć tym, że nie zostaną znalezione żadne rekordy DNS dla znalezionych wcześniej identyfikatorów GUID. W opcji /s trzeba przekazać adres IP serwera DNS, który jest autorytatywny dla poddomeny _msdcs.katalog główny AD .

  W pewnych środowiskach, w których strefa katalogu głównego znajduje się na serwerze DNS nieakceptującym dynamicznych aktualizacji, strefa _msdcs została delegowana na serwer DNS, który nie jest autorytatywny dla katalogu głównego lasu Active Directory. Program DNSLint sprawdza przed wykonaniem kolejnych kwerend DNS, czy zostało dokonane takie delegowanie. Ten krok pozwala uniknąć przesyłania kwerend DNS do serwerów DNS, które nie powinny być sprawdzane.

  Program DNSLint próbuje znaleźć inne serwery DNS, które są autorytatywne dla katalogu głównego lasu usługi Active Directory podczas przetwarzania kwerend DNS. Po znalezieniu przez program DNSLint serwerów DNS, które są autorytatywne dla katalogu głównego lasu usługi Active Directory, do tych serwerów DNS przesyłana jest kwerenda dotycząca rekordów CNAME, które można znaleźć w bazie Active Directory. Przy zamianie rekordu CNAME na alias program DNSLint próbuje również rozpoznać rekord glue (A) dla każdego aliasu. Jak wspomniano wcześniej, te rekordy DNS są wymagane do replikacji usługi Active Directory.

  W programie DNSLint tworzony jest raport w formacie HTML (opcjonalnie również raport tekstowy). Raport ten zawiera wszystkie identyfikatory GUID znalezione w bazie danych Active Directory, serwery DNS autorytatywne dla katalogu głównego lasu usługi Active Directory oraz wyniki wszystkich kwerend rekordów CNAME oraz glue (A) na tych serwerach. W raporcie można sprawdzić, których rekordów CNAME i glue (A) brakuje na każdym z serwerów DNS. Raport generowany przez program DNSLint może być wykorzystany do rozwiązywania problemów związanych z replikacją usługi Active Directory, takich jak brakujące lub niepoprawne rekordy DNS.
 2. Aby sprawdzić, czy kontroler domeny usługi Active Directory może rozpoznać wszystkie rekordy DNS potrzebne do pomyślnej synchronizacji obrazów częściowych na kontrolerach domeny w lesie usługi Active Directory, należy uruchomić następujące polecenie na testowanym kontrolerze domeny:

  dnslint /ad /s localhost
  Ponieważ nie podano adresu IP po przełączniku /ad, używany jest adres 127.0.0.1. Oznacza to że kontroler domeny prześle kwerendę dotyczącą rekordów GUID do samego siebie. Można też podać alternatywny serwer LDAP kontrolera domeny. Jeśli podany zostanie parametr localhost po przełączniku /s, to program DNSLint użyje jednego lub kilku serwerów DNS skonfigurowanych dla testowanego kontrolera domeny do rozpoznania rekordów CNAME i glue (A) używanych do replikacji usługi Active Directory. W tej specyfikacji wysyłane są cykliczne kwerendy DNS do lokalnie skonfigurowanego serwera lub serwerów DNS kontrolera domeny w celu określenia, czy kontroler domeny może rozpoznać wszystkie wymagane rekordy. Nie oznacza to że wszystkie lokalnie skonfigurowane serwery DNS kontrolera domeny są sprawdzane w poszukiwaniu tych rekordów. Lista serwerów DNS kontrolera domeny jest przeglądana zgodnie z domyślnymi ustawieniami. Oznacza to, że drugi serwer DNS na liście jest używany tylko wówczas, gdy pierwszy nie odpowiada. Ten test określa tylko, czy kontroler domeny może rozpoznać rekordy DNS używane przy replikacji usługi Active Directory. Nie jest testowany konkretny serwer DNS.

  Raport generowany przez program DNSLint może być wykorzystany do rozwiązywania problemów związanych z replikacją usługi Active Directory, takich jak brakujące lub niepoprawne rekordy DNS.

Następujący plik jest udostępniony do pobrania w witrynie Microsoft – Centrum pobierania:
Pobierz Pobierz pakiet dnslint.v204.exe teraz.

Aby uzyskać więcej informacji dotyczących sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonym poziomie zabezpieczeń, co utrudnia nieautoryzowane zmiany w pliku.


Aby uzyskać więcej informacji dotyczących narzędzia DNSLint, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

321045 Opis narzędzia DNSLint

Właściwości

Identyfikator artykułu: 321046 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia