問題可能發生的 400 個以上的網域控制站,在 Active Directory 整合 DNS 區域

狀況

(登錄 Netlogon) 的 SRV 」 和 「 網域控制站 (DC) 定位程式 A 記錄和 NS 記錄 (新增的授權 DNS 伺服器) 的一些 Dc 裡 Active Directory 整合 DNS 區域中的網域名稱系統 (DNS) 登錄可能不適用於包含網域大量的網域控制站 (通常超過 800)。如果 Active Directory 整合 DNS 區域有相同的名稱,做為 Active Directory 網域名稱,而問題與 A 記錄登錄根目錄中區域的 NS 記錄似乎都是 400 個以上的網域控制站之網域中。此外,一或多個下列的錯誤訊息可能會記錄在事件日誌中:

事件類型: 錯誤
事件來源: DNS
事件類別: 無
事件識別碼: 4011
日期: 2000 年 6/28 /
時間: 7:50:13 PM
使用者: n/A
電腦: MACHINE1
描述: DNS 伺服器無法新增或更新的網域名為 xyz 區域 xyz.example.com 中寫入 Active Directory。檢查 Active Directory 正常運作,以及新增或更新這個使用 DNS 主控台的網域名稱。事件資料中含有錯誤碼。
資料: 0000: 2a 23 00 00 * #..

事件類型: 錯誤
事件來源: DNS
事件類別: 無
事件識別碼: 4015
日期: 2000 年 6/28 /
時間: 7:50:13 PM
使用者: n/A
電腦: MACHINE1
描述: DNS 伺服器遇到從 Active Directory 的嚴重錯誤。檢查 [Active Directory 正常運作。事件資料中含有錯誤碼。
資料: 0000: 0b 00 00 00...

最終狀態程式碼從事件 4015,0x00000b,將對應至錯誤 」 已超過伺服器上的 LDAP_ADMIN_LIMIT_EXCEEDED 管理限制 」。

事件類型: 警告
事件來源: NTDS 複寫
事件類別: 複寫
事件識別碼: 1093年
日期: 2000 年 6/28 /
時間: 7:33:24 PM
使用者: 每個人
電腦: MACHINE1
描述: 目錄複寫代理程式 (DRA) 無法套用變更,物件 DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example,DC = com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11),因為連入變更的原因超過資料庫的記錄的大小限制的物件。在嘗試進行更新,符合連入屬性的變更 9017e (dnsRecord) 會被卸除。不在本機套用屬性的變更,除了這個系統上的屬性的目前值將會傳送到所有其他的系統來進行明確的版本。這樣的效果到企業的其餘變更變成無效。
取消可能辨識,如下所示: 版本 5474、 時間變更 2000年-06-28 19:33.24 和 2873104 的 USN。

事件類型: 資訊
事件來源: NTDS 複寫
事件類別: 複寫
事件識別碼: 1101年
日期: 2000 年 6/28 /
時間: 7:33:24 PM
使用者: 每個人
電腦: MACHINE1
描述: 目錄複寫代理程式 (DRA) 已能夠成功地將變更套用於物件 DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC = xyz,DC = 範例中,DC = 後退出其中一個的 com (GUID 77d76064-f49e-4762-ba8c-324b6c518f11) 或多個屬性變更。在前面的訊息會指出被回復的屬性。請注意,這將會有影響的變更變成無效所做,導致原始的更新不才能生效。建立者應該由系統不接受其變更會被通知。

原因

之所以發生這個問題,因為 Active Directory 有大約 800 可以與單一物件相關聯的值的限制。在 Active Directory 整合 DNS 區域,DNS 名稱會顯示由 dnsNode 物件,而 DNS 記錄儲存為 dnsNode 的物件,造成的錯誤訊息本文稍早所列就會發生的多重值的 dnsRecord 屬性中的值。

解決方案

方法 1

如果您想要指定可以加入對其本身的 NS 記錄對應到指定的區域的 DNS 伺服器的清單,請選擇一個 DNS 伺服器,並使用/AllowNSRecordsAutoCreation參數執行 Dnscmd.exe:

  • 若要設定一份有權限會自動建立區域的 NS 記錄的 DNS 伺服器的 TCP/IP 位址,使用
    dnscmd servername /config
    zonename /AllowNSRecordsAutoCreation IPListcommand。例如:

    Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2

  • 若要清除的 TCP/IP 清單記錄對應到它的擁有權限,來自動建立區域的 NS 記錄,及每個主要的 DNS 伺服器會自動新增至區域的 NS 時傳回的預設狀態的區域的 DNS 伺服器位址使用dnscmd
    伺服器名稱/config
    zonename /AllowNSRecordsAutoCreationcommand。例如:

    Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation

  • 若要查詢的 TCP/IP 位址,將自動建立區域的 NS 記錄的權限的 DNS 伺服器清單,請使用
    dnscmd servername /zoneinfo
    zonename /AllowNSRecordsAutoCreationcommand。例如:

    Dnscmd NS1 /zoneinfo zonename.com /AllowNSRecordsAutoCreation

注意: 只有一台 DNS 伺服器上執行這個命令。使用中的目錄複寫會傳播變更到在相同網域中的 Dc 執行的所有 DNS 伺服器。

在環境中的大部分的 DNS 網域控制站的網域位於分公司和幾個位於中心位置,您可以使用本文稍早所述的 Dnscmd 指令來設定包含位於中心位置的 DNS IPList 網域控制站。如此一來,只中央的 DNS 網域控制站會將其各自的 NS 記錄並將其加入 Active Directory 網域區域。

方法 2

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

如何備份及還原 Windows 中的登錄
如果您想要選擇哪一個 DNS 伺服器不會新增至這些對應到任何的 Active Directory 整合 DNS 區域的 NS 記錄,請使用登錄編輯器 (Regedt32.exe) 若要在每個受影響的 DNS 伺服器上設定下列登錄值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters


登錄值: DisableNSRecordsAutoCreation
資料型別: REG_DWORD
資料範圍: 0x0 |0x1
預設值: 0x0這個值會影響所有的 Active Directory 整合 DNS 區域。值的意義如下:

Value   Meaning
----------------------------------------------------------------------
  0     DNS server automatically creates NS records for all Active 
        Directory-integrated DNS zones unless any zone, that is hosted
        by the server, contains the AllowNSRecordsAutoCreation 
        attribute (described earlier in this article) that does not 
        include the server. In this situation, the server uses the 
        AllowNSRecordsAutoCreation configuration.

   1    DNS server does not automatically create NS records for all 
        Active Directory-integrated DNS zones, regardless of the 
        AllowNSRecordsAutoCreation configuration in the Active 
        Directory-integrated DNS zones.
 

附註: Windows 2000 不會將此值新增至登錄。若要套用所做的變更,此值,您必須重新啟動 DNS 伺服器服務。

如果您想要防止特定的 DNS 伺服器將其對應的 NS 記錄新增至他們所裝載的 Active Directory 整合 DNS 區域,您可以使用本文稍早所述的 DisableNSRecordsAutoCreation 登錄值。

請注意,是否 DisableNSRecordsAutoCreation 登錄值設定為 0x1,無 Active Directory 整合 DNS 區域的裝載的 DNS 伺服器將會包含它的 NS 記錄。因此,如果這台伺服器必須至少一個它所主控的 Active Directory 整合 DNS 區域中加入自己的 NS 記錄,並不為 0x1 設定登錄值。

Netlogon 修正程式

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

如何備份及還原 Windows 中的登錄
此 hotfix 的 Netlogon 部份提供更多的控制,如本文稍早所述的系統管理員。您應該套用此修正程式,到每個 DC。此外,若要防止 DC 嘗試,依預設會以動態方式更新 Netlogon 某些 DNS 記錄的動態更新,請使用 Regedt32.exe 設定下列登錄值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters


登錄值: DnsAvoidRegisterRecords
資料型別: REG_MULTI_SZ在此值,指定對應到不由這個網域控制站登錄這些 DNS 記錄的助憶鍵的清單。附註: 將值設定為 [enter 分隔助憶鍵下表中所指定的清單。助憶鍵的清單包括: Mnemonic Type DNS Record -------------------------------------------------------------------------- LdapIpAddress A <DnsDomainName> Ldap SRV _ldap._tcp.<DnsDomainName> LdapAtSite SRV _ldap._tcp.<SiteName>._sites.<DnsDomainName> Pdc SRV _ldap._tcp.pdc._msdcs.<DnsDomainName> Gc SRV _ldap._tcp.gc._msdcs.<DnsForestName> GcAtSite SRV _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName> DcByGuid SRV _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName> GcIpAddress A gc._msdcs.<DnsForestName> DsaCname CNAME <DsaGuid>._msdcs.<DnsForestName> Kdc SRV _kerberos._tcp.dc._msdcs.<DnsDomainName> KdcAtSite SRV _kerberos._tcp.dc._msdcs.<SiteName>._sites.<DnsDomainName> Dc SRV _ldap._tcp.dc._msdcs.<DnsDomainName> DcAtSite SRV _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName> Rfc1510Kdc SRV _kerberos._tcp.<DnsDomainName> Rfc1510KdcAtSite SRV _kerberos._tcp.<SiteName>._sites.<DnsDomainName> GenericGc SRV _gc._tcp.<DnsForestName> GenericGcAtSite SRV _gc._tcp.<SiteName>._sites.<DnsForestName> Rfc1510UdpKdc SRV _kerberos._udp.<DnsDomainName> Rfc1510Kpwd SRV _kpasswd._tcp.<DnsDomainName> Rfc1510UdpKpwd SRV _kpasswd._udp.<DnsDomainName> 附註: Windows 2000 不會加入登錄中,這個值並不需要重新啟動 Netlogon 服務。如果建立或修改停止 Netlogon 服務時,或是在前 15 分鐘後啟動 Netlogon DnsAvoidRegisterRecords 的登錄值,適當的 DNS 更新發生的短暫的延遲 (不過,延遲是不可以超過 15 分鐘之後 Netlogon 從開始)。

由 Netlogon 記錄的 DNS 登錄可能會也使用 RegisterDnsARecords 的登錄值來修改。
如需如何執行這項操作,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文:

如何啟用或停用在 Windows 2000 和 Windows Server 2003 中的 DNS 更新
 請注意,DnsAvoidRegisterRecords 登錄值的設定值優先於 RegisterDnsARecords 登錄值的設定值,對於不在註冊主機 (A) 記錄:

  • DnsAvoidRegisterRecords 包含 LdapIpAddress GcIpAddress

    RegisterDnsARecords = 0x1

    在此情況下,兩者都未登錄。

  • DnsAvoidRegisterRecords 包含 GcIpAddress

    RegisterDnsARecords = 0x1
    在此情況下,已經註冊 LdapIpAddress,並 GcIpAddress 未註冊。

  • DnsAvoidRegisterRecords 包含 LdapIpAddress

    RegisterDnsARecords = 0x1
    在此情況下,LdapIpAddress 不在登錄中,並 GcIpAddress 已登錄。

  • 沒有 LdapIpAddress GcIpAddress DnsAvoidRegisterRecords。

    RegisterDnsARecords = 0x1
    在此情況下,兩者會登錄。

  • DnsAvoidRegisterRecords 包含 LdapIpAddress GcIpAddress

    RegisterDnsARecords = 0x0

    在此情況下,兩者都未登錄。

  • DnsAvoidRegisterRecords 包含 GcIpAddress

    RegisterDnsARecords = 0x0

    在此情況下,兩者都未登錄。

  • DnsAvoidRegisterRecords 包含 LdapIpAddress

    RegisterDnsARecords = 0x0

    在此情況下,兩者都未登錄。

  • 沒有 LdapIpAddress GcIpAddress DnsAvoidRegisterRecords。

    RegisterDnsARecords = 0x0
    在此情況下,兩者都未登錄。

若要避免在其中一組網域控制站及/或通用類別目錄 (GC) 伺服器位於中央的位置和大量的網域控制站及/或 GC 的環境中發生本文稍早所述的問題,伺服器都位於分公司系統管理員可以停用的某些 Netlogon 在 Dc/gc 必須在分支辦公室的 DNS 記錄登錄。在此情況下,不應該註冊的助憶鍵的清單包含了: DC-specific records: Mnemonic Type DNS Record --------------------------------------------------------------------------- LdapIpAddress A <DnsDomainName> Ldap SRV _ldap._tcp.<DnsDomainName> DcByGuid SRV _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName> Kdc SRV _kerberos._tcp.dc._msdcs.<DnsDomainName> Dc SRV _ldap._tcp.dc._msdcs.<DnsDomainName> Rfc1510Kdc SRV _kerberos._tcp.<DnsDomainName> Rfc1510UdpKdc SRV _kerberos._udp.<DnsDomainName> Rfc1510Kpwd SRV _kpasswd._tcp.<DnsDomainName> Rfc1510UdpKpwd SRV _kpasswd._udp.<DnsDomainName> GC-specific records: Mnemonic Type DNS Record --------------------------------------------------------------------------- Gc SRV _ldap._tcp.gc._msdcs.<DnsForestName> GcIpAddress A gc._msdcs.<DnsForestName> GenericGc SRV _gc._tcp.<DnsForestName> 請注意,這些清單不會包含特定站台的記錄。因此,網域控制站,而在分支辦公室中的 GC 伺服器位於由特定站台通常由 DC 定位程式的記錄。如果程式會利用本文稍早所列的清單中的泛用的 (非站台特定的) 記錄,例如的任何錄製搜尋 DC/GC,它會在中央位置找到 DC/GC。

系統管理員也可以選擇限制 DC 定位程式記錄,例如 SRV 數目和 A 記錄由 Netlogon 登錄相同的泛型 DNS 名稱 (_ldap._tcp.dc._msdcs.網域名稱)、 甚至在案例中有超過 800 Dc 在相同網域中,以減少這類的資料錄的查詢的 DNS 回應大小。

狀態

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×