Active Directory 複寫錯誤 8524:DSA 作業因為 DNS 查閱失敗而無法繼續

  • 發行項

本文說明因 Win32 錯誤 8524 而失敗的 AD 作業的徵兆、原因和解決步驟:

DSA 作業因為 DNS 查閱失敗而無法繼續。

適用於:Windows 10 - 所有版本、Windows Server 2012 R2
原始 KB 編號: 2021446

首頁使用者: 本文僅適用於技術支持專員和IT專業人員。 如果您要尋找問題的協助, 請詢問 Microsoft 社群

徵狀

  1. DCDIAG 報告 Active Directory 複寫測試失敗,狀態為 8524:

    測試伺服器: <月臺名稱><目的地DC>
    開始測試:複寫
    [複寫檢查,<目的地 DC>] 最近的復寫嘗試失敗:從 <來源 DC> 到 <目的地 DC>
    命名內容:
    失敗目錄分割區的> CN=<DN 路徑,DC=Contoso,DC=Com
    複寫 (8524) 產生錯誤:
    DSA 作業因為 DNS 查閱失敗而無法繼續。

  2. REPADMIN 報告復寫嘗試失敗,狀態為8524。

    通常會指出 8524 狀態的 REPADMIN 命令包含,但不限於:

    • REPADMIN /REPLSUM
    • REPADMIN /SHOWREPS
    • REPADMIN /SHOWREPL

    REPADMIN /SHOWREPL 的 8524 失敗範例如下所示:

    Default-First-Site-Name\CONTOSO-DC1
    DSA 選項:IS_GC
    網站選項: (無)
    DSA 物件 GUID:DSA invocationID:
    DC=contoso,DC=com
    Default-First-Site-Name\CONTOSO-DC2 via RPC
    DSA 物件 GUID:
    上次嘗試 @ YYYY-MM-DD HH:MM:SS 失敗,結果 8524 (0x214c) :
    DSA 作業因為 DNS 查閱失敗而無法繼續。
    連續 1 次失敗 () 。
    上次成功 @ YYYY-MM-DD HH:MM:SS。

    已截斷 /showrepl 輸出的其餘部分

  3. 下列其中一個狀態為 8524 的事件會記錄在目錄服務事件記錄檔中:

    • KCC) (NTDS 知識一致性檢查工具
    • NTDS 一般
    • Microsoft-Windows-ActiveDirectory_DomainService

    通常會指出 8524 狀態的 Active Directory 事件包括但不限於:

    事件 來源 事件字串
    Microsoft-Windows-ActiveDirectory_DomainService 2023 此目錄伺服器無法將下列目錄分割的變更複寫至下列遠端目錄伺服器
    NTDS 一般 1655 Active Directory 嘗試與下列全域編錄通訊,但嘗試失敗。
    NTDS KCC 1308 KCC 偵測到使用下列目錄服務的後續複寫嘗試持續失敗。
    NTDS KCC 1865 KCC 無法形成完整的跨樹狀結構網路拓撲。 因此,無法從本機網站連線到下列網站清單
    NTDS KCC 1925 嘗試建立下列可寫入目錄分割區的復寫連結失敗。

    NTDS KCC 1926 嘗試使用下列參數建立唯讀目錄分割區的複寫連結失敗

  4. 域控制器會在其目錄服務事件記錄檔中記錄 NTDS 複寫事件 2087 和 NTDS 複寫事件 2088:

    記錄檔名稱:目錄服務
    來源:Microsoft-Windows-ActiveDirectory_DomainService
    日期: <日期><時間>
    事件標識碼:2087
    工作類別:DS RPC 用戶端
    層級:錯誤
    關鍵詞:傳統
    使用者:匿名登入
    計算機: <dc 名稱>。<功能變數名稱>
    描述:

    Active Directory 網域服務 無法將來源域控制器的下列 DNS 主機名解析為 IP 位址。 此錯誤會防止在樹系中的一或多個域控制器之間復寫 Active Directory 網域服務 的新增、刪除和變更。 安全組、組策略、用戶和計算機及其密碼在域控制器之間會不一致,直到解決此錯誤為止。 這可能會影響登入驗證和網路資源的存取。

    記錄檔名稱:目錄服務
    來源:Microsoft-Windows-ActiveDirectory_DomainService
    日期: <日期><時間>
    事件標識碼:2088
    工作類別:DS RPC 用戶端
    層級:警告
    關鍵詞:傳統
    使用者:匿名登入
    計算機: <dc 名稱>。<功能變數名稱>
    描述:
    Active Directory 網域服務 無法使用 DNS 來解析下列來源域控制器的 IP 位址。 為了維持安全組、組策略、用戶和計算機及其密碼的一致性,Active Directory 網域服務 使用來源域控制器的 NetBIOS 或完整電腦名稱成功複寫。

    無效的 DNS 設定可能會影響此 Active Directory 網域服務 樹系中成員計算機、域控制器或應用程式伺服器上的其他基本作業,包括登入驗證或網路資源的存取。

    您應該立即解決此 DNS 設定錯誤,讓此域控制器可以使用 DNS 解析來源域控制器的 IP 位址。

原因

錯誤狀態 8524 對應至下列錯誤字串:

DSA 作業因為 DNS 查閱失敗而無法繼續。

這是所有可能影響 Windows Server 2003 SP1 域控制器上 Active Directory 之可能 DNS 失敗的所有攔截錯誤。

Microsoft-Windows-ActiveDirectory_DomainService事件 2087 是其他 Active Directory 事件的夥伴事件,如果 Active Directory 域控制器無法透過來源 DC NTDS Settings 物件>的完整 CNAME 記錄 (<物件 guid 解析遠端 DC,則會發出 8524 狀態._msdcs。<使用 DNS) 樹系根域>。

Microsoft-Windows-ActiveDirectory_DomainService 當來源域控制器的 NetBIOS 名稱成功解析時,會記錄事件 2088,但這類名稱解析後援只會在 DNS 名稱解析失敗時發生。

8524 狀態和 Microsoft-Windows-ActiveDirectory_DomainService 事件 2088 或 2087 事件的存在,全都表示 DNS 名稱解析失敗 Active Directory。

總而言之,當目的地DC無法使用 DNS 透過其 CNAME 和主機 “A” 或主機 “AAAA” 記錄解析來源 DC 時,就會記錄 8524 複寫狀態。 特定的根本原因包括:

  1. 來源 DC 已離線或已不存在,但其NTDS Settings 物件仍存在於目的地 DC 的 Active Directory 複本中。

  2. 來源 DC 無法在一或多部 DNS 伺服器上註冊 CNAME 或主機記錄,原因如下:

    • 註冊嘗試失敗。
    • 來源上的 DNS 用戶端設定不會指向裝載、轉送或委派其_msdcs的 DNS 伺服器。<樹系根域區域和 (或) 主要 DNS 後綴網域區域>。

  3. 目的地DC上的 DNS 用戶端設定不會指向裝載、轉送或委派 DNS 區域的 DNS 伺服器,其中包含來源 DC 的 CNAME 或主機記錄

  4. 來源 DC 所註冊的 CNAME 和主機記錄不存在於目的地 DC 所查詢的 DNS 伺服器上,原因如下:

    • 簡單復寫延遲
    • 複寫失敗
    • 區域傳輸失敗

  5. 無效的轉寄站或委派。 它們可防止目的地 DC 解析樹系中其他網域中 DC 的 CNAME 或主機記錄。

  6. 目的地 DC、來源 DC 或中繼 DNS 伺服器所使用的 DNS 伺服器無法正常運作。

解決方案

確認8524是由離線DC或過時DC元數據所造成

如果 8524 錯誤/事件參考目前在樹系中離線但仍然有效的 DC,請讓它運作。

如果 8524 錯誤 /事件參考非使用中的 DC,請從目的地 DC 的 Active Directory 複本中移除該 DC 的過時元數據。 非作用中的 DC 是不再存在於網路上的 DC 安裝,但其 NTDS Settings 物件仍存在於目的地 DC 的 Active Directory 複本中 -

Microsoft 支援服務會定期尋找不存在 DC 的過時元數據,或是先前升級 DC 的過時元數據,其電腦名稱與 Active Directory 中尚未移除的電腦名稱相同。

如果有的話,請移除過時的DC元數據

使用 Active Directory 月臺和服務 (DSSITE 進行 GUI 元數據清除。MSC)

  1. 啟動 Windows Server 2008 或 Windows Server 2008 R2 Active Directory 月臺和服務嵌入式管理單元 (DSSITE。MSC) 。

    您也可以在已安裝為遠端伺服器管理工具 (RSAT) 套件一部分的 Windows Vista 或 Windows 7 計算機上啟動 Active Directory 月臺和服務來完成。

  2. 將焦點放在 DSSITE。目的地 DC 的 Active Directory 複本上的 MSC 嵌入式管理單元。

    啟動 DSSITE 之後。MSC,以滑鼠右鍵按兩下 [Active Directory 月臺和服務 [<DC 名稱>]

    從 「變更域控制器...」中可見的DC清單中,選取記錄8524錯誤/事件的目的地DC清單

  3. 刪除 8524 錯誤和事件中參考的來源 DC NTDS Settings 物件。 Active Directory 使用者和電腦 (DSA。MSC) 嵌入式管理單元,並刪除來源DC NTDS Settings物件。

    DC NTDS Settings 對象隨即出現

    • 在 [月臺]、[月臺名稱]、[伺服器容器] 和 [%伺服器名稱%] 容器下方
    • 在 Active Directory 月臺和服務右窗格中顯示的輸入連接物件上方。

    下列螢幕快照中的紅色醒目提示顯示 CONTOSO-DC2 的 NTDS Settings 對象,位於 Default-First-Site-Name 網站下方。

    Active Directory 網站和服務視窗的螢幕快照,其中已選取 NTDS 設定。

    以滑鼠右鍵按下您想要移除的過時 NTDS 設定物件,然後選取 [刪除]。

    您也可以從 W2K8/ W2K8 R2 Active Directory 使用者和電腦 嵌入式管理單元完成元數據清除,如 TECHNET 中所述。

使用 NTDSUTIL 清除命令行元數據

使用 NTDSUTIL 元資料清除命令刪除過時 NTDS 設定物件的舊版或命令行方法記載於 MSKB 216498中。

DCDIAG /TEST:DNS在來源 DC + 目的地 DC 上執行

DCDIAG /TEST:DNS 會執行七個不同的測試,以快速審查域控制器的 DNS 健康情況。 此測試不會在 DCDIAG 的預設執行過程中執行。

  1. 使用 Enterprise 管理員 認證登入記錄 8524 事件的目的地域控制器控制台。

  2. 開啟系統管理特殊許可權的 CMD 提示字元,然後 DCDIAG /TEST:DNS /F 在 DC 記錄 8424 狀態和目的地 DC 複寫的來源 DC 上執行。

    若要針對樹系中的所有 DC 執行 DCDIAG,請輸入 DCDIAG /TEST:DNS /V /E /F:<File name.txt>

    若要針對特定 DC 執行 DCDIAG TEST:DNS,請輸入 DCDIAG /TEST:DNS /V /S:<DC NAME> /F:<File name.txt>

  3. 在輸出結尾 DCDIAG /TEST:DNS 處找出摘要數據表。 識別並協調報表相關 DC 上的警告或失敗狀況。

  4. 如果 DCDIAG 無法識別根本原因,請使用下列步驟進行「很長的步驟」。

使用 PING 檢查 Active Directory 名稱解析

目的地 DC 會根據衍生自遠端 DC NTDS Settings 物件之物件 GUID 的完整 CNAME 記錄來解析 DNS 中的來源 DC, (父物件連線到 Active Directory 月臺和服務嵌入式管理單元) 中可見的連接物件。 您可以使用 PING 命令來測試指定 DC 解析來源 DC 完整 CNAME 記錄的能力。

  1. 在來源 DC 的 Active Directory 複本中,找出來源 DC NTDS Settings 物件的 objectGUID。

    從來源 DC 記錄 8524 錯誤/事件的主控台,輸入:

    repadmin /showrepl <fully qualified hostname of source DC cited in the 8524 error (event)>

    例如,如果 8524 錯誤/事件中參考的 DC 是網域中的 contoso.com contoso-DC2,請輸入:

    repadmin /showrepl contoso-dc2.contoso.com

    命令標 repadmin /SHOWREPl 頭中的 [DSA 物件 GUID] 欄位包含來源 DC 目前 NTDS 設定物件的 objectGUID。 如果復寫速度緩慢或失敗,請使用來源DC的NTDS設定物件檢視。 輸出的 repadmin 標頭看起來會像這樣:

    Default-First-Site-Name\CONTOSO-DC1
    DSA 選項:IS_GC
    網站選項: (無)
    DSA 物件 GUID:8a7baee5-cd81-4c8c-9c0f-b10030574016 <- 按鼠右鍵 + 將此字串複製到 Windows
    <- 剪貼簿 & 貼到其中的 PING 命令
    <- 步驟 4

  2. 目的地 DC 的 Active Directory 複本中,找出來源 DC 的 ObjectGUID。

    從記錄 8524 錯誤/事件的目的地 DC 控制台,輸入:

    repadmin /showrepl <fully qualified hostname of destination DC>

    例如,如果網域中的 contoso.com DC記錄8524錯誤/事件是 contoso-DC1,請輸入:

    repadmin /showrepl contoso-dc1.contoso.com

    REPADMIN /SHOWREPL 輸出如下所示。 針對目的地DC輸入複寫的每個來源DC,都會列出[DSA 物件 GUID] 字段。

     c:\>repadmin /showreps `contoso-dc1.contoso.com`  
 Default-First-Site-Name\CONTOSO-DC1  
 DSA Options: IS_GC  
 Site Options: (none)  
 DSA object GUID:  
 DSA invocationID:  
  DC=contoso,DC=com  
     Default-First-Site-Name\CONTOSO-DC2 via RPC  
         DSA object GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016      <- Object GUID for source DC derived from  
         Last attempt @ 2010-03-24 15:45:15 failed, result 8524 (0x214c):        \ destination DCs copy of Active Directory  
             The DSA operation is unable to proceed because of a DNS lookup failure.
         23 consecutive failure(s).  
         Last success @ YYYY-MM-DD HH:MM:SS.

  3. 比較 #2 和 #3 中的物件 GUID。

    如果物件 GUIDS 相同,則來源 DC 和目的地 DC 會知道相同的具現化 (來源 DC 的相同升級) 。 如果不同,則圖中稍後會建立哪一個。 具有較早建立日期的 NTDS 設定物件可能已過時,應予以移除。

  4. 使用完整的 CNAME PING 來源 DC。

    從目的地 DC 的 主控台,使用來源 DC 完整 CNAME 記錄的 PING 來測試 Active Directory 的名稱解析:

    c:\>ping <ObjectGUID> from source DCs NTDS Settings object._msdcs.<DNS name for Active Directory forest root domain>

    使用上述來自網域中 contoso-dc1 DC contoso.com 輸出的 8a7baee5... objectGUID repadmin /showreps 範例,PING 語法會是:

    c:\>ping 8a7baee5-cd81-4c8c-9c0f-b10030574016. _msdcs.contoso.com

    如果 ping 正常運作,請在 Active Directory 中重試失敗的作業。 如果 PING 失敗,請繼續進行「解決 8524 DNS 查閱失敗」,但在每個步驟之後重試 PING 測試,直到解決為止。

解決 8524 DNS 查閱失敗:很長的一環

如果 8524 錯誤/事件不是由過時的 DC 元數據所造成,而且 CNAME PING 測試失敗,請檢查下列專案的 DNS 健康情況:

  • 來源 DC
  • 目的地 DC
  • 來源和目的地DC所使用的 DNS 伺服器

總而言之,請確認:

  • 來源 DC 已向有效的 DNS 註冊 CNAME 和主機記錄。
  • 目的地 DC 指向有效的 DNS 伺服器。
  • 來源 DC 所註冊的相關記錄可由目的地 DC 解析。

DS RPC Client 事件 2087 中的錯誤消息正文記載了解決 8524 錯誤的用戶動作。 更詳細的行動計劃如下:

  1. 確認來源DC指向有效的 DNS 伺服器

    在來源DC上,確認 DNS 用戶端設定僅指向裝載、轉送或委派the_msdcs的操作 DNS Severs。<樹系根域> 區域 (即,contoso.com 樹系中的所有DC都會在the_msdcs.contoso.com區域中註冊 CNAME 記錄)

    AND

    Active Directory 網域 (的 DNS 區域,也就是 contoso.com 網域中的電腦會在 contoso.com 區域) 中註冊主機記錄。

    AND

    如果計算機的主要 DNS 後綴網域與 Active Directory 功能變數名稱不同, (請參閱 Technet 文章 脫離命名空間) 。

    驗證 DNS 伺服器裝載、轉送或委派 (的選項,也就是「可以解析」) 這類區域包括在內。

    • 啟動 DNS 的 DNS 管理工具,並確認來源 DC 指向名稱解析的 DNS 伺服器裝載有問題的區域。

    • 使用 NSLOOKUP 來確認來源 DC 所指向的所有 DNS 伺服器都可以解析有問題的 DNS 區域查詢。

      在來源DC的控制臺上執行IPCONFIG /ALL

      c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>

      執行下列 NSLOOKUP 查詢:

      c:\>nslookup -type=soa  <Source DC DNS domain name> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <source DCs secondary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs secondary DNS Server IP >

      例如,如果樹系網域contoso.com中的 CHILD.CONTOSO.COM DC設定為主要和次要 DNS 伺服器 IP “10.45.42.99” 和 “10.45.42.101”,則 NSLOOKUP 語法會是:

      c:\>nslookup -type=soa  child.contoso.com 10.45.42.99
c:\>nslookup -type=soa  child.contoso.com 10.45.42.101
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.101

    附註:

    • 如果目標 DNS 具有良好的轉寄站或委派或the_msdcs,則 _mscs.contoso.com 區域的 SOA 查詢會正確解析。<樹系根區域>。 如果_msdcs,則無法正確解析。<正在查詢之 DNS 伺服器上的樹系根區域>是樹系根區域>的<非委派子域,這是 Windows 2000 網域所建立的區域關聯性。
    • CNAME 記錄一律會在_msdcs中註冊。<樹系根區域>,即使是非根域中的DC也一般。
    • 將 DC 或成員電腦的 DNS 用戶端設定為指向 ISP DNS 伺服器以進行名稱解析無效。 唯一的例外是 ISP 已 (,也就是付費) ,且目前正在裝載、轉送或委派 Active Directory 樹系的 DNS 查詢。
    • ISP DNS 伺服器通常不接受動態 DNS 更新,因此可能需要手動註冊 CNAME、主機和 SRV 記錄。

  2. 確認來源DC已註冊其 CNAME 記錄

    使用「使用 PING 檢查 Active Directory 名稱解析」中的步驟 1,找出來源 DC 的目前 CNAME。

    ipconfig /all 來源DC的控制臺上執行 ,以判斷來源DC指向哪個 DNS 伺服器以進行名稱解析。

    c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99                        <primary DNS Server IP
                                           10.45.41.101                      <secondary DNS Server IP

    使用 NSLOOKUP 查詢來源 DC CNAME 記錄的目前 DNS 伺服器, (透過「使用 PING 檢查 Active Directory 名稱解析」) 中的程式找到。

    c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs secondary DNS Server IP>

    在範例中,contoso.com 網域中 contoso-dc2 的 NTDS Settings 物件GUID 是 8a7baee5-cd81-4c8c-9c0f-b10030574016。 它指向 「10.45.42.99」 作為 DNS 名稱解析的主要專案。 NSLOOKUP 語法會是:

    c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.101

    如果來源 DC 尚未在其指向的 DNS 伺服器上註冊其 CNAME 記錄以進行名稱解析,請從來源 DC 執行下列命令。 然後重新檢查 CNAME 記錄的註冊:

    c:\>net stop netlogon & net start netlogon

    附註:

    • CNAME 記錄一律會在_msdcs中註冊。<樹系根區域>,即使是非根域中的DC也一般。
    • CNAME 記錄會由 NETLOGON 服務在作業系統啟動、NETLOGON 服務啟動期間註冊,並在稍後的週期性間隔中註冊。
    • 每次升級具有相同名稱的DC時,可能會建立具有不同 objectGUID的新NTDS Settings物件,因而註冊不同的 CNAME 記錄。 如果來源已升級超過 1 倍,請根據來源 DC 與目的地 DC 上 NTDS Settings 物件的 objectGUID,驗證 CNAME 記錄的註冊。
    • OS 啟動期間的計時問題可能會延遲成功的動態 DNS 註冊。
    • 如果 DC 的 CNAME 記錄已成功註冊,但之後消失,請檢查 KB953317。 在不同的復寫範圍中複製 DNS 區域,或由 DNS 伺服器過度積極地清除 DNS 區域。
    • 如果來源 DC 指向名稱解析的 DNS 伺服器上的 CNAME 記錄註冊失敗,請檢閱 SYSTEM 事件記錄檔中的 NETLOGN 事件,以瞭解 DNS 註冊失敗。

  3. 確認來源DC已註冊其主機記錄

    從來源DC的主控台,執行 ipconfig /all 以判斷來源DC指向哪個 DNS 伺服器以進行名稱解析。

    c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>

    使用 NSLOOKUP 查詢主機記錄的目前 DNS 伺服器。

    c:\>nslookup -type=A+AAAA  <fully qualified hostname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs secondary DNS Server IP>

    繼續 contoso.com 網域中 contoso-dc2 的主機名範例是 8a7baee5-cd81-4c8c-9c0f-b10030574016,並指向自我 (127.0.0.1) 作為 DNS 名稱解析的主要專案,NSLOOKUP 語法會是:

    c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.99
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.101

    針對來源 DC 次要 DNS 伺服器 IP 位址重複 NSLOOKUP 命令。

    若要動態登錄主機 「A」 記錄,請從電腦的主機輸入下列命令:

    c:\>ipconfig /registerdns

    附註:

    • Windows 2000 到 Windows Server 2008 R2 計算機全都註冊 IPv4 主機 “A” 記錄。
    • Windows Server 2008 和 Windows Server 2008 R2 計算機全都會註冊 IPv6 主機 “AAAA” 記錄。
    • 主機 “A” 和 “AAAA” 記錄會在電腦主要 DNS 後綴區域中註冊。
    • 停用未連接網路纜線的 NIC。
    • 停用 NIC 和網路上成員電腦無法存取的 NIC 主機記錄註冊。
    • 取消核取網路卡屬性中的 [IPv6] 複選框,不支援停用IPv6通訊協定。

  4. 確認目的地DC指向有效的 DNS 伺服器

    在目的地DC上,確認 DNS 用戶端設定僅指向目前裝載、轉送和委派_msdcs的在線 DNS Severs。<樹系根域> 區域 (也就是說,contoso.com 樹系中的所有DC都會在the_msdcs.contoso.com區域) 中註冊 CNAME 記錄。

    AND

    Active Directory 網域 (的 DNS 區域,也就是 contoso.com 網域中的電腦會在 contoso.com 區域) 中註冊主機記錄。

    AND

    如果計算機的主要 DNS 後綴網域與 Active Directory 功能變數名稱不同, (請參閱 Technet 文章 脫離命名空間) 。

    驗證 DNS 伺服器裝載、轉送或委派的選項 (也就是「可以解析」,) 這類區域包括:

    • 啟動 DNS 的 DNS 管理工具,並確認來源 DC 指向名稱解析的 DNS 伺服器裝載有問題的區域。

      OR

    • 使用 NSLOOKUP 來確認來源 DC 所指向的所有 DNS 伺服器都可以解析有問題的 DNS 區域查詢。

      在目的地 DC 的控制台上執行 IPCONFIG /ALL:

      c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                      10.45.42.103<- Secondary DNS Server IP>

      從目的地DC的主控台執行下列 NSLOOKUP 查詢:

      c:\>nslookup -type=soa  <Source DC DNS domain name> <destinatin DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <destination DCs secondary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS domain> <destination DCs primary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS name> <destination DCs secondary DNS Server IP>

    例如,如果在 contoso.com 樹系 CHILD.CONTOSO.COM 網域中的DC是使用主要和次要 DNS 伺服器 IP “10.45.42.102” 和 “10.45.42.103” 設定,則 NSLOOKUP 語法會是

    c:\>nslookup -type=soa  child.contoso.com 10.45.42.102
c:\>nslookup -type=soa  child.contoso.com 10.45.42.103
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.103

    附註:

    • 如果目標 DNS 具有良好的轉寄站或委派或the_msdcs,則 _mscs.contoso.com 區域的 SOA 查詢會正確解析。<樹系根區域>。 如果the_msdcs,則無法正確解析。<正在查詢之 DNS 伺服器上的樹系根區域>是樹系根區域>的<非委派子域,這是 Windows 2000 網域所建立的區域關聯性。
    • CNAME 記錄一律會在_msdcs中註冊。<樹系根區域>,即使是非根域中的DC也一般。
    • 將 DC 或成員電腦的 DNS 用戶端設定為指向 ISP DNS 伺服器以進行名稱解析無效。 唯一的例外是 ISP 已 (,也就是付費) ,且目前正在裝載、轉送或委派 Active Directory 樹系的 DNS 查詢。
    • ISP DNS 伺服器通常不接受動態 DNS 更新,因此可能需要手動註冊 CNAME、主機和 SRV 記錄。
    • Windows 電腦上的 DNS 解析程式在設計上是「黏性」。 它會使用可回應查詢的 DNS 伺服器,不論這類 DNS 伺服器是裝載、轉送還是委派必要的區域。 重述,只要作用中的 DNS 有回應,DNS 解析程式就不會故障轉移並查詢另一部 DNS 伺服器,即使來自 DNS 伺服器的回應是「我未裝載您要尋找的記錄,或甚至裝載該記錄的區域複本」。

  5. 確認目的地DC所使用的 DNS 伺服器可以解析來源 DC CNAME 和 HOST 記錄

    從目的地 DC 的 主控台執行 , ipconfig /all 以判斷目的地 DC 指向哪個 DNS 伺服器進行名稱解析:

    DNS Servers that destination DC points to for name resolution:

c:\>ipconfig /all
…
  DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                             10.45.42.103<- Secondary DNS Server IP>

    從目的地DC的主機記錄所 NSLOOKUP 設定的 DNS 伺服器:

    c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs secondary DNS Server IP>
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs secondary DNS Server IP>

    在此範例中,contoso.com 網域中 GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016 Contoso.com 中的 contoso-dc2 會指向 DNS 伺服器 “10.45.42.102” 和 “10.45.42.103”。 NSLOOKUP 語法會是:

    c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.103
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102

  6. 檢閱來源和目的地DC所使用的 DNS 伺服器之間的關聯性

    如果來源和目的地主機 AD 整合複本所使用的 DNS 伺服器_msdcs。<樹系根> 和 <主要 DNS 後綴> 區域,請檢查下列專案:

    • 記錄註冊所在的 DNS 與查詢記錄的 DNS 之間的復寫延遲。
    • 記錄註冊所在的 DNS 與所查詢 DNS 之間的復寫失敗。
    • 裝載感興趣記錄的 DNS 區域會保留在不同的複寫範圍中,因此會有不同的內容,或是在一或多個 DC 上發生 CNF/ 衝突。

    如果來源和目的地 DC 所使用的 DNS 區域儲存在 DNS 區域的主要和次要復本中,請檢查:

    • 載入區域主要複本的 DNS 上未啟用 [允許區域傳輸] 複選框。
    • [僅限下列伺服器] 複選框已啟用,但次要 DNS 的 IP 位址尚未新增至主要 DNS 上的允許清單。
    • 裝載區域次要複本的 Windows Server 2008 DNS 上的 DNS 區域是空的 ,因為KB953317

    如果來源和目的地DC使用的 DNS 伺服器具有父系/子系關聯性,請檢查:

    • DNS 上的委派無效,該 DNS 擁有委派給次級區域的父區域。
    • 嘗試解析上層 DNS 區域的 DNS 伺服器上無效的轉寄站 IP 位址 (範例:child.contoso.com 中的 DC 嘗試解析根域) 中 DNS 伺服器上 conto.com 區域中的主機記錄。

資料收集

如果您需要 Microsoft 支援的協助,建議您依照 使用 TSS 針對 Active Directory 複寫問題收集資訊中所述的步驟來收集資訊。