В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Устранение неполадок, связанных с репликацией Active Directory, возникающие из-за сбоев поиска DNS, кода события 2087 и кода события 2088

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 824449
Аннотация
В данной статье описывается план действий для администраторов и специалистов службы поддержки когда контроллерам домена под управлением Microsoft Windows 2000 или Microsoft Windows Server 2003 не удается выполнить репликацию Active Directory из-за ошибки поиска DNS. Администраторам для устранения неполадок репликации или других ошибок компонента, возникающие из-за отсутствия разрешения имен DNS следует придерживаться этого плана действий.

В этой статье также рассматриваются две новые события, 2088 идентификатор события и событие ID 2087, зарегистрированных контроллерами домена назначения под управлением Windows Server 2003 Пакет обновления 1 (SP1). Эти события происходят, когда отсутствие разрешения DNS-имен предотвращает входящую репликацию разделов службы каталогов Active Directory. В данной ситуации контроллеры домена под управлением Windows Server 2003 с SP1 назначения будут использовать полное доменное имя исходного контроллера домена в DNS или NetBIOS-имя исходного контроллера домена в службе WINS. Цель усовершенствований в Windows Server 2003 — свести к минимуму влияние на репликацию Active Directory DNS-клиент или ошибки конфигурации сервера DNS.
Проблема
В контроллере домена на основе Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) в журнале событий службы каталогов регистрируется следующее событие.

Сообщение 1

Тип: ошибка
Источник: Репликация NTDS
Категория: Клиент DS RPC
Код события: 2087
Пользователь: NT AUTHORITY\ANONYMOUS LOGON
Компьютер: Имя_компьютера
Описание:
Active Directory не удалось разрешить следующее имя узла DNS исходного контроллера домена в IP-адрес. Эта ошибка не допускает репликацию добавления, удаления и изменения в Active Directory между один или несколько контроллеров домена в лесу. Группы безопасности, групповая политика, пользователи и компьютеры и пароли не будут согласованы между контроллерами домена, пока эта ошибка не будет исправлена, что потенциально влияет проверку подлинности при входе в систему и доступ к сетевым ресурсам.

Исходный контроллер домена: DomainControllerName
Сбой DNS-имя узла: ИДЕНТИФИКАТОР GUID._msdcs.DNSDomainName

Примечание: По умолчанию до 10 ошибок DNS отображаются для любого заданного 12 часов периода, даже в случае более 10 ошибок. Чтобы в журнал записывались все отдельные сбои, установите для следующего значения диагностики в реестре 1:

Путь реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена не работает или его операционная система переустановлена с другим именем компьютера или GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью ntdsutil.exe, выполнив действия, описанные в статье базы знаний Майкрософт 216498.

2) убедитесь, что исходный контроллер домена Active directory работает и доступен в сети, введя «net view \\<source dc="" name="">» или «ping <source dc="" name="">».

3) Убедитесь, что исходный контроллер домена использует допустимый DNS-сервер для служб DNS, и что записи CNAME и записи узла исходного контроллера домена правильно зарегистрированы с помощью улучшенной версии DNS DCDIAG.EXE, доступная в http://www.microsoft.com/dns

dcdiag /test:dns

4) Убедитесь, что контроллер домена назначения использует допустимый DNS-сервер для служб DNS, запустив улучшенную версию DNS DCDIAG.Команда exe-файла на консоли конечный контроллер домена, как показано ниже:

dcdiag /test:dns

5) Для дальнейшего анализа сбоя DNS см. статью базы знаний 824449: http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки:
11004 запрошенное имя верно, но данные запрошенного типа не найден. </source></source>

Сообщение 2

Тип: предупреждение
Источник: Репликация NTDS
Категория: Клиент DS RPC
Код события: 2088
Пользователь: NT AUTHORITY\ANONYMOUS LOGON
Компьютер: Имя_компьютера
Описание:
Active Directory не удалось использовать DNS для разрешения IP-адрес исходного контроллера домена, перечисленные ниже. Для обеспечения согласованности групп безопасности, Групповая политика, пользователей и компьютеров и пароли, Active Directory репликацию с помощью имени NetBIOS или полного имени компьютера исходного контроллера домена.

Недопустимая конфигурация DNS может влиять на другие важные операции на рядовых компьютерах, контроллерах домена или серверах приложений в этом лесу Active Directory, включая проверку подлинности при входе и доступ к сетевым ресурсам.

Сразу же следует устранить эту ошибку конфигурации DNS, таким образом, чтобы этот контроллер домена может разрешить IP-адрес исходного контроллера домена с использованием службы DNS.

Имя альтернативного сервера: AlternateServerName
Сбой DNS-имя узла: ИДЕНТИФИКАТОР GUID._msdcs.DNSDomainName

Примечание: По умолчанию до 10 ошибок DNS отображаются для любого заданного 12 часов периода, даже в случае более 10 ошибок. Чтобы в журнал записывались все отдельные сбои, установите для следующего значения диагностики в реестре 1:

Путь реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1) Если исходный контроллер домена не работает или его операционная система переустановлена с другим именем компьютера или GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с помощью ntdsutil.exe, выполнив действия, описанные в статье базы знаний Майкрософт 216498.

2) убедитесь, что исходный контроллер домена Active directory работает и доступен в сети, введя «net view \\<source dc="" name="">» или «ping <source dc="" name="">».

3) Убедитесь, что исходный контроллер домена использует допустимый DNS-сервер для служб DNS, и что записи CNAME и записи узла исходного контроллера домена правильно зарегистрированы с помощью улучшенной версии DNS DCDIAG.EXE, доступная в http://www.microsoft.com/dns

dcdiag /test:dns

4) Убедитесь, что контроллер домена назначения использует допустимый DNS-сервер для служб DNS, запустив улучшенную версию DNS DCDIAG.Команда exe-файла на консоли конечный контроллер домена, как показано ниже:

dcdiag /test:dns

5) Для дальнейшего анализа сбоя DNS см. статью базы знаний 824449: http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки:
11004 запрошенное имя верно, но данные запрошенного типа не найден. </source></source>

Код события 2087 происходит при сбое репликации службы каталогов Active Directory из-за сбоя поиска NetBIOS или DNS. В частности контроллер домена, записавшего событие ID 2087 не удалось разрешить IP-адрес партнера репликации, используя один из следующих:
  • Запись ресурса CNAME
  • Полное имя компьютера в DNS
  • NetBIOS-имя компьютера
Поскольку контроллеру домена, который записывает события не удается выполнить входящую репликацию, данные Active Directory может быть несогласованны между контроллерами домена. Например сведения о группах пользователей и компьютеров могут оказаться несогласованными.

Событие с кодом 2088 возникает, когда выполняются следующие условия:
  • Репликация Active Directory не удалось разрешить запись ресурса CNAME партнер репликации IP-адреса при помощи DNS.
  • Active Directory может разрешить IP-адрес партнера по репликации с помощью партнера полное имя компьютера в службе DNS или с помощью партнера NetBIOS-имя компьютера в службе WINS или широковещательный NetBIOS.
Примечание Даже если разрешение имен NetBIOS успешно, необходимо изучить все ошибки при разрешение имен DNS и устранена, ошибки конфигурации DNS может вызвать сбой функции службы каталогов Active Directory.
Причина
Проблемы поиска DNS может привести к сбою репликации Active Directory одним из следующих способов:
  • Случай 1. Контроллер домена пытается выполнить репликацию с другого контроллера домена, который находится в автономном режиме, а данные Active Directory и DNS для отключенного контроллера домена не обновлены или удалены для указания того, что контроллер домена недоступен.
  • Случай 2. Контроллер домена пытается выполнить репликацию с другого контроллера домена, который находится в оперативном режиме, но из-за DNS или сетевых проблем, контроллеры домена не удается найти друг друга.
Все контроллеры домена регистрируют SRV, A и записи CNAME в DNS. CNAME-запись имеет вид Dsa_Guid._msdcs.Dns_Domain_Name. Dsa_Guid — Идентификатор GUID объекта агента (DSA) каталог системы контроллера домена. Dns_Domain_Name — Это имя леса, в котором находится контроллер домена. Контроллеров домена необходимо использовать запись CNAME для поиска и идентификации партнеров репликации.

Служба сетевого входа в систему на контроллере домена регистрирует все записи SRV. Служба DNS-клиента на контроллере домена регистрирует запись DNS узла (A) и идентификатор GUID CNAME-запись.

Контроллер домена использует следующие шаги для обнаружения его партнера репликации:
  1. Контроллер домена использует DNS для поиска записи CNAME его партнера репликации.
  2. Если поиск заканчивается неудачно, контроллер домена ищет запись DNS A его партнера репликации. Например контроллер домена ищет 03.corp.contoso.com постоянного тока.
  3. Если поиск записи DNS A завершается неудачно, контроллер домена выполняет NetBIOS вещание с использованием имени узла его партнера репликации. Например контроллер домена использует dc-03.
Решение

Случай 1

Чтобы удалить данные Active Directory и DNS, оставленные контроллером домена, который больше не используется, выполните процедуру, описанную в следующей статье базы знаний Майкрософт:
216498 Удаление данных в Active Directory после понижения роли контроллер домена неудачно
Если контроллер домена должен находиться в оперативном режиме, разрешите блокирующую проблему и затем включите контроллер домена. При перезагрузке контроллера домена автоматически регистрировать Active Directory и данных DNS, необходимые для репликации Active Directory с контроллера домена назначения.

Если перезапустить контроллер домена не требуется, но необходимо перерегистрировать его записи DNS, перейдите к шагу 7, регистрации записей ресурсов в DNS.

Случай 2

Если репликация не происходит, так как конечный контроллер домена не может разрешить DNS-имя партнера по репликации, необходимо выявить проблемы с DNS и сетевыми подключениями для определения источника ошибки.

Для диагностики и устранения поддержки DNS для репликации Active Directory, выполните следующие действия.
  1. Сбор сведений.

    Необходимо иметь следующие сведения для диагностики и исправления поддержки DNS для репликации Active Directory и других операций, которые зависят от DNS:
    • Полное доменное имя (FQDN) и IP-адрес исходного контроллера домена.
    • Полное доменное имя и IP-адрес DNS-сервера, на котором размещена зона DNS для имени домена Active Directory.
    Примечание Данные контроллера домена и DNS-сервера могут быть такими же, если на контроллере домена также работает служба DNS-сервера, на котором размещена зона DNS для имени домена Active Directory.
  2. Проверьте параметры сетевого подключения.
    1. На контроллере домена, который сообщает об ошибке, нажмите кнопку к сети на панели управления.
    2. Щелкните правой кнопкой мыши сетевое подключение, которое требуется настроить и выберите команду Свойства.
    3. На вкладке Общие для подключения по локальной сети или на вкладке Сеть для всех других подключений выберите Протокол Интернета (TCP/IP) и нажмите кнопку Свойства.
    4. В Использовать следующие адреса DNS-серверов, убедитесь, что предпочитаемый DNS-сервер и альтернативный DNS-сервер имеет правильный IP-адрес DNS-сервера, на котором размещена зона DNS для имени домена Active Directory.

      Примечание Корпорация Майкрософт рекомендует, чтобы предпочитаемый DNS-сервер на контроллере домена находится на сайте концентратора, который локален или хорошо подключен. При использовании такого сайта концентратора, можно снизить задержку репликации.
    5. Если IP-адреса верны, переходите к шагу 3. Если IP-адрес неверен, введите правильный адрес и перейдите к шагу 7.
  3. Проверьте подключение.

    Для проверки наличия связи, используйте ping команда на конечный контроллер домена для поиска IP-адреса исходного контроллера домена и DNS-сервера.
    На контроллере домена назначения введите в командной строке следующую команду и нажмите клавишу ВВОД после каждой команды:

    ping IP_Address_of_source_domain_controller
    ping IP_Address_DNS_server

    Если любая из команд завершается неудачно, возможно, существует ошибка подключения к сети. Обратитесь к администратору сети для диагностики и исправления этой ошибки. Если обе команды выполняются успешно, с ошибкой в DNS.
  4. Убедитесь, что запущена служба DNS-сервера.

    Если конечный контроллер домена настроен на использование локального DNS-сервера, убедитесь, что запущена служба DNS-сервера. Для этого введите net start «DNS-сервер» в командной строке и нажмите клавишу ВВОД.

    Если запущена служба DNS-сервер, появится сообщение, указывающее, что служба запущена. Если установлена служба DNS-сервера, но эта служба не запущена, команда запускает службу DNS-сервера.

    Если служба DNS-сервер не установлен, появится сообщение, указывающее, что имя сервера не является допустимым.Если конечный контроллер домена настроен на использование удаленного DNS-сервера, используйте консоль DNS для запуска службы сервера DNS. Чтобы сделать это, выполните следующие действия.
    1. Откройте консоль DNS.
    2. В меню Действие выберите команду Подключиться к DNS-серверу.
    3. В Подключение к DNS-серверу выберите Другой компьютер.
    4. Чтобы подключиться к удаленному серверу, укажите имя DNS компьютера удаленного сервера или его IP-адрес.
    5. Установите Соединение с указанным компьютером сейчас и нажмите кнопку ОК.
    6. В меню Действие выберите пункт Все задачи и выберите команду Пуск.
  5. Убедитесь, что запись ресурса зарегистрирована.

    Конечный контроллер домена использует запись ресурса DNS CNAME, Dsa_Guid._msdcs.Dns_Domain_Name, чтобы найти его исходного партнера репликации контроллера домена. Для проверки что эта запись ресурса есит зоне DNS для имени домена Active Directory, выполните следующие действия.
    1. В дереве консоли откройте консоль DNS. Найдите любой контроллер домена, на котором есть служба DNS-сервера, где размещается зона DNS с тем же именем, как имя домена Active Directory.
    2. В дереве консоли щелкните зону, которая называется _msdcs.Dns_Domain_Name.

      В Windows 2000 Server DNS _msdcs.Dns_Domain_Name представляет собой поддомен зона DNS для имени домена Active Directory. В Windows Server 2003, _msdcs.Dns_Domain_Name является отдельной зоны.
    Зона, которая называется _msdcs.Dns_Domain_Name должна содержать следующее:
    • Запись ресурса CNAME, которая называется Dsa_Guid._msdcs.Dns_Domain_Name.
    • Соответствующую запись ресурса A для имени DNS-сервера, определяемого как конечный узел в записи CNAME.


    Если записи ресурсов не существует, перейдите к шагу 6, чтобы провести диагностику причины службе Net Logon не удалось зарегистрировать записи ресурсов автоматически.
  6. Убедитесь, что служба DNS-сервера, на котором размещается зона для имени домена Active Directory настроен на прием динамических обновлений.
    1. В консоли DNS щелкните правой кнопкой мыши необходимую зону и выберите команду Свойства.
    2. На Общие убедитесь, что тип зоны — интегрированных с Active Directory.
    3. В Динамических обновлений выберите Только безопасные. (В Windows 2000 Server возможность безопасного динамического обновления называется Только безопасные обновления).
  7. Зарегистрируйте DNS-записи ресурсов в DNS.

    Служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов DNS, которые требуются, чтобы контроллер домена можно было найти в сети. Чтобы вручную инициировать данную регистрацию на исходном контроллере домена, введите в командной строке следующую команду и нажмите клавишу ВВОД после каждой команды:

    net stop "net logon"

    net start "net logon"

    Служба DNS-клиент регистрирует запись A, на которую указывает запись CNAME. Чтобы запустить данную регистрацию на исходный контроллер домена, введите: ipconfig/registerdns в командной строке и нажмите клавишу ВВОД.
  8. Проверка регистрации записей ресурсов.

    Чтобы убедиться, что записи были успешно зарегистрированы, перейдите к шагу 5, "Убедитесь, что запись ресурса зарегистрирована".
  9. Принудительная репликация на контроллерах домена источника и назначения.
    1. Откройте на конечный контроллер домена Active Directory — сайты и службы.
    2. В дереве консоли выберите Объект NTDS Settings для контроллера домена, необходимо произвести принудительную репликацию на.
    3. В области сведений щелкните правой кнопкой мыши подключение, которое требуется использовать для репликации данных каталога и выберите команду Реплицировать сейчас.
    Можно также использовать repadmin и Replmon средства командной строки. Эти средства доступны на установочном компакт-диске Windows Server 2003. ( repadmin команда repadmin /syncall /d /e /P source_domain_controller.)
  10. Изучите другие проблемы.

    Если предыдущие действия не устраняют ошибки, контроллер домена может не мочь динамически регистрировать свои записи ресурсов, т. к. DNS-серверы, которые контроллер домена использует для разрешения имен, не могут найти основной удостоверяющей зоны для этих записей ресурсов. В этом случае возможны две причины:
Дополнительная информация
Также можно использовать программы Dcdiag.exe и Netdiag.exe командной строки для устранения неполадок инфраструктуры DNS и Active Directory. Обе программы доступны в Интернете или на установочном компакт-диске Windows Server 2003. Загрузить эти инструменты можно с веб-страницы комплекта средств ресурсов Windows Server 2003:

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 824449 — последний просмотр: 10/02/2014 19:37:00 — редакция: 11.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows XP Professional, Microsoft Windows 2000 Professional Edition, операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbdirservices kbprb kbmt KB824449 KbMtru
Отзывы и предложения