在基于 Microsoft Windows Server 2003 Service Pack 1 (SP1) 的域控制器上,目录服务事件日志中可能记录以下事件消息。
消息 1
类型: 错误
来源: NTDS Replication
类别: DS RPC 客户端
事件 ID: 2087
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: ComputerName
描述:
Active Directory 无法将以下源域控制器的 DNS 主机名解析为 IP 地址。此错误阻止在目录林中的一个或多个域控制器间复制 Active Directory 中的添加、删除和更改。如果不纠正此错误,域控制器之间的安全组、组策略、用户和计算机及其密码将不一致,这可能会影响登录身份验证和对网络资源的访问。
源域控制器: DomainControllerName
失败的 DNS 主机名: GUID._msdcs.DNSDomainName
注意: 默认情况下,对于任意指定的 12 小时期限,最多可以显示 10 个 DNS 故障,即使发生的故障数超过 10 个。要记录所有单独的故障事件,请将以下诊断注册表值设置为 1:
注册表路径:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
用户操作:
1) 如果源域控制器不再工作或其操作系统已使用不同的计算机名称或 NTDSDSA 对象 GUID 重新安装,请按照 MSKB 文章 216498 中介绍的步骤,使用 ntdsutil.exe 删除源域控制器的元数据。
2) 确认源域控制器正在运行 Active Directory 并且可以在网络上访问,方法是键入“net view \\<源 DC 名称>”或“ping <源 DC 名称>”。
3) 使用 DCDIAG.EXE 的 DNS 增强版本(可从 http://www.microsoft.com/dns 获得)验证源域控制器是否使用有效的 DNS 服务器来提供 DNS 服务,以及是否正确注册了源域控制器的主机记录和 CNAME 记录
dcdiag /test:dns
4) 通过在目标域控制器的控制台上运行 DCDIAG.EXE 命令的 DNS 增强版本,验证该目标域控制器是否使用有效的 DNS 服务器来提供 DNS 服务,方法如下:
dcdiag /test:dns
5) 有关 DNS 错误故障的进一步分析,请参见 KB 824449: http://support.microsoft.com/?kbid=824449
其他数据
错误值:
11004 请求的名称有效,但未找到所请求类型的数据。
消息 2
类型: 警告
来源: NTDS Replication
类别: DS RPC 客户端
事件 ID: 2088
用户: NT AUTHORITY\ANONYMOUS LOGON
计算机: ComputerName
描述:
Active Directory 无法使用 DNS 解析下面列出的源域控制器的 IP 地址。为了维持安全组、组策略、用户和计算机及其密码的一致性,Active Directory 已经使用源域控制器的 NetBIOS 或完全限定计算机名成功地复制。
无效的 DNS 配置可能会影响此 Active Directory 林中的成员计算机、域控制器或应用程序服务器上的基本操作,包括登录身份验证或对网络资源的访问。
您应该立即解决此 DNS 配置错误,以便此域控制器可以使用 DNS 解析源域控制器的 IP 地址。
备用服务器名: AlternateServerName
失败的 DNS 主机名: GUID._msdcs.DNSDomainName
注意: 默认情况下,对于任意指定的 12 小时期限,最多可以显示 10 个 DNS 故障,即使发生的故障数超过 10 个。要记录所有单独的故障事件,请将以下诊断注册表值设置为 1:
注册表路径:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
用户操作:
1) 如果源域控制器不再工作或其操作系统已使用不同的计算机名称或 NTDSDSA 对象 GUID 重新安装,请按照 MSKB 文章 216498 中介绍的步骤,使用 ntdsutil.exe 删除源域控制器的元数据。
2) 确认源域控制器正在运行 Active Directory 并且可以在网络上访问,方法是键入“net view \\<源 DC 名称>”或“ping <源 DC 名称>”。
3) 使用 DCDIAG.EXE 的 DNS 增强版本(可从 http://www.microsoft.com/dns 获得)验证源域控制器是否使用有效的 DNS 服务器来提供 DNS 服务,以及是否正确注册了源域控制器的主机记录和 CNAME 记录
dcdiag /test:dns
4) 通过在目标域控制器的控制台上运行 DCDIAG.EXE 命令的 DNS 增强版本,验证该目标域控制器是否使用有效的 DNS 服务器来提供 DNS 服务,方法如下:
dcdiag /test:dns
5) 有关 DNS 错误故障的进一步分析,请参见 KB 824449: http://support.microsoft.com/?kbid=824449
其他数据
错误值:
11004 请求的名称有效,但未找到所请求类型的数据。
当 Active Directory 复制因 DNS 或 NetBIOS 查找失败而失败时,将发生事件 ID 2087。特别是,记录事件 ID 2087 的域控制器无法使用以下项目之一来解析复制伙伴的 IP 地址:
CNAME 资源记录
DNS 中完全限定的计算机名称
NetBIOS 计算机名称
由于记录该事件的域控制器无法执行入站复制,因此域控制器间的 Active Directory 数据可能不一致。例如,用户和计算机组信息可能不一致。
当满足以下条件时,将发生事件 ID 2088:
Active Directory 复制无法使用 DNS 将复制伙伴的 CNAME 资源记录解析为 IP 地址。
Active Directory 可以使用 DNS 中伙伴的完全限定计算机名称或使用 WINS 或 NetBIOS 广播中伙伴的 NetBIOS 计算机名称来解析复制伙伴的 IP 地址。
注意:即使 NetBIOS 名解析成功,也必须研究和解决所有 DNS 名解析故障,因为 DNS 配置错误可导致 Active Directory 功能失败。
解决方案
情形 1
要删除域控制器留下的不再使用的 Active Directory 和 DNS 数据,请按照以下 Microsoft 知识库文章中介绍的步骤操作:
216498 域控制器降级失败后如何删除 Active Directory 中的数据
如果域控制器必须处于联机状态,请先解决有妨碍的问题,然后将域控制器设置回联机状态。重新启动域控制器后,将自动在目标域控制器中注册 Active Directory 复制所需的 Active Directory 和 DNS 数据。
如果不想重新启动域控制器,但需要重新注册其 DNS 记录,请转到步骤 7“注册 DNS 中的资源记录”。
情形 2
如果因目标域控制器无法解析复制伙伴的 DNS 名而不能进行复制,必须诊断 DNS 和网络连接问题,以确定失败的根源。
要诊断并修复 Active Directory 复制的 DNS 支持,请按照下列步骤操作:
收集信息。
您必须获取下列信息才能诊断并修复 Active Directory 复制的 DNS 支持以及依赖于 DNS 的其他操作:
源域控制器的完全限定域名 (FQDN) 和 IP 地址。
承载 Active Directory 域名 DNS 区域的 DNS 服务器的 FQDN 和 IP 地址。
注意:如果域控制器还运行承载 Active Directory 域名 DNS 区域的 DNS 服务器服务,则域控制器和 DNS 服务器信息可能相同。
验证网络连接设置。
在报告错误的域控制器上,单击“控制面板”中的“网络连接”。
右键单击要配置的网络连接,然后单击“属性”。
在“常规”选项卡上(对于本地连接),或在“网络”选项卡上(对于所有其他连接),单击“Internet 协议 (TCP/IP)”,然后单击“属性”。
在“使用下面的 DNS 服务器地址”中,验证首选 DNS 服务器或备用 DNS 服务器是否具有正确的 IP 地址,该地址是承载 Active Directory 域名 DNS 区域的 DNS 服务器的地址。
注意:我们建议将域控制器的首选 DNS 服务器置于本地或有效连接的集线器网站中。如果使用此类集线器网站,可以减少复制延迟。
如果 IP 地址正确,请转到步骤 3。如果 IP 地址不正确,请输入正确的地址,然后转到步骤 7。
验证连接性。
要验证连接性,请在目标域控制器上使用“ping”命令查找源域控制器和 DNS 服务器的 IP 地址。
在目标域控制器上的命令提示符处,键入以下命令,并在键入每个命令后按 Enter:
ping IP_Address_of_source_domain_controller
ping IP_Address_DNS_server
如果两个命令中的任何一个不成功,则表明可能存在网络连接错误。请与网络管理员联系,以诊断和修复此错误。如果两个命令都成功,则表明错误存在于 DNS 中。
验证 DNS 服务器服务是否正在运行。
如果将目标域控制器配置为使用本地 DNS 服务器,则应验证 DNS 服务器服务是否正在运行。为此,请在命令提示符处键入 net start “DNS Server”,然后按 Enter。
如果 DNS 服务器服务正在运行,则会显示一条消息,指示该服务正在运行。如果已安装 DNS 服务器服务但该服务尚未运行,则该命令将启动 DNS 服务器服务。
如果未安装 DNS 服务器服务,则会显示一条消息,指示服务器名称无效。如果将目标域控制器配置为使用远程 DNS 服务器,则应使用 DNS 控制台启动 DNS 服务器服务。为此,请按照下列步骤操作:
打开 DNS 控制台。
在“操作”菜单上,单击“连接到 DNS 服务器”。
在“连接到 DNS 服务器”中,单击“下列计算机”。
要连接到远程服务器,请指定远程服务器的 DNS 计算机名或其 IP 地址。
单击以选中“立即连接到指定计算机”复选框,然后单击“确定”。
在“操作”菜单上,指向“所有任务”,然后单击“启动”。
验证是否已注册资源记录。
目标域控制器使用 DNS CNAME 资源记录 Dsa_Guid._msdcs.Dns_Domain_Name 定位其源域控制器复制伙伴。要验证此资源记录是否在 Active Directory 域名的 DNS 区域中,请按照下列步骤操作:
在控制台树中打开 DNS 控制台。定位任何正在运行 DNS 服务器服务的域控制器,其中该服务承载与 Active Directory 域名同名的 DNS 区域。
在控制台树中,单击名为 _msdcs.Dns_Domain_Name 的区域。
在 Windows 2000 Server DNS 中,_msdcs.Dns_Domain_Name 是 Active Directory 域名的 DNS 区域的子域。在 Windows Server 2003 中,_msdcs.Dns_Domain_Name 是一个单独的区域。
名为 _msdcs.Dns_Domain_Name 的区域必须包含以下内容:
名为 Dsa_Guid._msdcs.Dns_Domain_Name 的 CNAME 资源记录。
与 CNAME 记录中标识为目标主机的 DNS 服务器的名称相对应的 A 资源记录。
如果资源记录不存在,请转到步骤 6,诊断网络登录服务未自动注册资源记录的原因。
验证承载 Active Directory 域名的区域的 DNS 服务器服务是否配置为接受动态更新。
在 DNS 控制台中,右键单击适当的区域,然后单击“属性”。
在“常规”选项卡上,确认区域类型是否为“Active Directory 集成的区域”。
在“动态更新”中,单击“仅安全”(在 Windows 2000 Server 中,安全动态更新选项名为“仅安全更新”)。
注册 DNS 中的 DNS 资源记录。
域控制器上的网络登录服务注册在网络中定位域控制器所需的 DNS 资源记录。要在源域控制器上手动启动此注册,请在命令提示符处键入以下命令,并在键入每个命令后按 Enter:
net stop "net logon"
net start "net logon"
DNS 客户端服务注册 CNAME 记录指向的主机 (A) 资源记录。要在源域控制器上启动此注册,请在命令提示符处键入 ipconfig /registerdns,然后按 Enter。
验证资源记录注册。
要验证是否已成功注册记录,请转到步骤 5“验证资源记录是否已注册”。
在源和目标域控制器上强制复制。
在目标域控制器上,打开“Active Directory 站点和服务”。
在控制台树中,单击要在其上进行强制复制的域控制器的“NTDS 设置”。
在细节窗格中,右键单击要用于复制目录信息的连接,然后单击“立即复制”。
也可以使用“repadmin”和“replmon”命令行工具。这些工具可在 Windows Server 2003 安装 CD 上获得(“repadmin”命令是 repadmin /syncall /d /e /P source_domain_controller)。
研究其他问题。
如果使用上述步骤无法解决错误,则域控制器可能无法动态注册其 DNS 资源记录,因为该域控制器用于名称解析的 DNS 服务找不到这些资源记录的主要权威区域。对于这种情形,有两个可能的原因:
目标域控制器用于名称解析的首选或备用 DNS 服务器包含错误的根提示。有关更新根提示的信息,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/windowsserver/en/library/7b69b6f9-f25e-4594-a04b-f08f3effa2031033.mspx
http://technet2.microsoft.com/windowsserver/en/library/3e3d2262-518f-4e97-a5cb-737ed52d2cd91033.mspx
DNS 区域中存在不正确的委派。这些委派从根开始并下降到与 Active Directory 域名同名的区域。有关验证区域委派的信息,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/windowsserver/en/library/977fa8ed-ec71-4d39-9f9e-9facd5a613641033.mspx