Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

Replikering fel 8524 The DSA-åtgärden kan inte fortsätta på grund av att en DNS-sökning

Bill Mathers|Senast uppdaterad: 2017-03-10
|
1 Medverkande

Gäller för: Windows Server 2016 måste Windows Server 2012 R2 eller Windows Server 2012 ''

Det här avsnittet beskrivs symptom, orsaker och hur du löser Active Directory-replikering fel 8524 The DSA-åtgärden kan inte fortsätta på grund av att en DNS-sökning.< / para > < listan class = "beställt" > < listItem > < para > < länka xlink:href = "83f03f7a-2818-4805-8af2-e397f0be4aa1 #BKMK_Symptoms" > Symptom< / länka > < / para > < / listItem > < listItem > < para > < länka xlink:href = "83f03f7a-2818-4805-8af2-e397f0be4aa1 #BKMK_Causes" >orsakar< / länka > < / para > < / listItem > < listItem > < para > < länka xlink:href = "83f03f7a-2818-4805-8af2-e397f0be4aa1 #BKMK_Resolutions" >upplösningar
Symptom<ph id="t4">< / title > < innehåll > < listan klass = "beställt" > < listItem > < para ></ph>DCDIAG rapporterar att Active Directory-replikeringar testet misslyckades med status 8524:<ph id="t5">< / para > < kod > testning server: & lt; platsnamn & gt; & lt; måldomänkontrollanten & gt; Starta testet: replikeringar [replikeringar Kontrollera & lt; måldomänkontrollanten & gt;] En nyligen replikering misslyckades: från & lt; source DC & gt; till & lt; målet dc & gt; Namngivningskontext: CN = & lt; DN sökväg för att inte katalogpartition & gt; DC = Contoso, DC = Com < codeFeaturedElement > replikeringen genereras ett fel (8524): < / codeFeaturedElement > < codeFeaturedElement > The DSA-åtgärden kan inte fortsätta på grund av en DNS-sökning fel.< / codeFeaturedElement > < / kod > < / listItem > < listItem > < para ></ph>REPADMIN rapporter som en replikering misslyckades med status 8524.<ph id="t6">< / para > < para ></ph> REPADMIN kommandon som ofta åberopa 8524 status inkludera, men inte begränsat till:<ph id="t7">< / para > < listan klass = "punkt" > < listItem > < para ></ph>REPADMIN /REPLSUM<ph id="t8">< / para > < / listItem > < listItem > < para ></ph>REPADMIN/showreps<ph id="t9">< / para > < / listItem > < listItem > < para ></ph>REPADMIN/showrepl<ph id="t10">< / para > < / listItem > < / list > < para ></ph>exempel 8524 felen från REPADMIN /SHOWREPS visas nedan:<ph id="t11">< / para > < kod > standard första-plats-NameCONTOSO-DC1 DSA alternativ: IS_GC alternativ: (ingen) DSA-objektets GUID: e15fc9a1-82f8-4a99-97f2-8e715f06e747 DSA invocationID: e15fc9a1-82f8-4a99-97f2-8e715f06e747 === INKOMMANDE GRANNAR === DC = contoso, DC = com standard-första-plats-Name\CONTOSO-DC2 via RPC DSA-objektets GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 senast försök @ YYYY-MM-DD: mm: ss misslyckades, resultatet 8524 (0x214c): < codeFeaturedElement > The DSA-åtgärden kan inte fortsätta på grund av en DNS-sökning fel. < / codeFeaturedElement > 1 på varandra följande fel. Senaste lyckade @ YYYY-MM-DD HH:MM:SS. & lt; Resten av /showrepl utdata trunkeras & gt; < / Kod > < / listItem > < listItem > < para ></ph>NTDS KCC NTDS allmänna eller Microsoft-Windows-ActiveDirectory_DomainService med statusen 8524 loggas i katalogtjänstens händelselogg.<ph id="t12">< / para > < para ></ph> Active Directory-händelser som ofta åberopa 8524 status omfatta, men är inte begränsade till: <table _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><thead><tr><td><para>Händelsen</para></td><td><para>Källa</para></td><td><para>Händelse-sträng</para></td></tr></thead><tbody><tr><td><para>2023</para></td><td><para>Microsoft-Windows-ActiveDirectory_DomainService</para></td><td><para>Den här katalogservern kunde inte replikera ändringar till följande fjärrkatalog server för följande katalogpartition.</para></td></tr><tr><td><para>1655</para></td><td><para>NTDS Allmänt</para></td><td><para>Active Directory försökte kommunicera med följande global katalog och försöken genomfördes inte.</para></td></tr><tr><td><para>1308</para></td><td><para>NTDS KCC</para></td><td><para>Knowledge Consistency Checker (KCC) har upptäckt att efterföljande försök att replikera med katalogtjänsten följande konsekvent misslyckades.</para></td></tr><tr><td><para>1865</para></td><td><para>NTDS KCC</para></td><td><para>Det gick inte att bilda en fullständig disklänkning trädet nätverkstopologi Knowledge Consistency Checker (KCC). Detta innebär kan följande lista över webbplatser inte nås från den lokala platsen.</para></td></tr><tr><td><para>1925</para></td><td><para>NTDS KCC</para></td><td><para>Det gick inte att upprätta en replikeringslänk till den skrivbara katalogpartitionen.</para></td></tr><tr><td><para>1926</para></td><td><para>NTDS KCC</para></td><td><para>Försök att upprätta en replikeringslänk till en skrivskyddad katalogpartition med följande parametrar misslyckades.</para></td></tr></tbody></table><listitem><para>Domänkontrollanter logga NTDS replikering händelsen 2087 och/eller NTDS replikering händelsen 2088 i deras Directory Service-händelseloggen.<ph id="t13">< / para > < para ></ph> Loggnamn: Katalogtjänsten<ph id="t14">< / para > < para ></ph>källa: Microsoft-Windows-ActiveDirectory_DomainService<ph id="t15">< / para > < para ></ph>datum: <datum><tid<ph id="t16">& gt; < / para > < para ></ph>aktivitets-ID: 2087<ph id="t17">< / para > < para ></ph>aktivitetskategori: DS RPC-klienten<ph id="t18">< / para > < para ></ph>nivå: fel<ph id="t19">< / para > < para ></ph>nyckelord: Klassisk<ph id="t20">< / para > < para ></ph>användaren : ANONYM INLOGGNING<ph id="t21">< / para > < para ></ph>dator: <dc namn>. <domännamnet<ph id="t22">& gt; < / para > < para ></ph>beskrivning:<ph id="t23">< / para > < para ></ph>Active Directory Domain Services gick inte att matcha det följande DNS-värdnamnet för källdomänkontrollanten en IP-adress. Det här felet förhindrar att tillägg, borttagningar och ändringar i Active Directory Domain Services replikering mellan en eller flera domänkontrollanter i skogen. Säkerhetsgrupper, Grupprincip, användare och datorer och deras lösenord kommer att inkonsekvent mellan domänkontrollanter tills problemet har åtgärdats, potentiellt som påverkar inloggning autentisering och åtkomst till nätverksresurser.<ph id="t24">< / para > < para > & lt;</ph> Resten av händelsen trunkeras, se MSKB <externallink><linktext>824449</linktext><linkuri><a href="http://support.microsoft.com/?kbid=824449">http://support.microsoft.com/?kbid=824449</a></linkuri></externallink> efter fullständig text<ph id="t25">& gt; < / para > < para ></ph>loggfilens: katalogtjänsten</para><para>källa: Microsoft-Windows-ActiveDirectory_DomainService</para><para>datum: <datum><tid></para><para>aktivitets-ID: 2088</para><para>aktivitetskategori: DS RPC-klienten</para><para>nivå: varning</para><para>nyckelord: klassiska</para><para>användaren: ANONYM INLOGGNING</para><para>dator: <dc namn>. <domännamnet></para><para>beskrivning:</para><para>Active Directory Domain Services kan inte använda DNS för att matcha IP-adress källdomänkontrollanten som anges nedan. Enhetliga av säkerhetsgrupper, Grupprincip, användare och datorer och sina lösenord, replikeras Active Directory Domain Services korrekt med hjälp av NetBIOS- eller fullständiga datornamnet på källdomänkontrollanten. </para><para>Ogiltigt DNS-konfiguration kan påverka andra grundläggande åtgärder på datorer, domänkontrollanter eller programservrar i Active Directory Domain Services skogen, inklusive inloggningsautentisering eller åtkomst till nätverksresurser. </para><para>Bör du omedelbart lösa felet DNS-konfigurationen så att den här domänkontrollanten kan matcha IP-adress med hjälp av DNS källdomänkontrollanten. </para><para><Resten av händelsen trunkeras, se MSKB <externallink><linktext>824449</linktext><linkuri><a href="http://support.microsoft.com/?kbid=824449">http://support.microsoft.com/?kbid=824449</a></linkuri></externallink> för all text></para></listitem>
Gör<ph id="t26">< / title > < innehåll > < para ></ph>fel Status 8524 mappas till felet strängen "DSA-åtgärden kan inte fortsätta på grund av att en DNS-sökning." -en allomfattande fel för alla möjliga DNS-fel som påverkar Active Directory på Skicka domänkontrollanter med Windows Server 2003 SP1.<ph id="t1">< / para > < para ></ph> Microsoft-Windows-ActiveDirectory_DomainService händelse 2087 är en partner händelse till andra Active Directory-händelser som åberopa 8524 status om en Active Directory-domänkontrollant kan inte lösa en Fjärrdomänkontrollant genom att den är helt kvalificerade CNAME-post (<guid för källobjektet domänkontrollanterna NTDS Settings-objekt>._msdcs.< skogens rotdomän>) med hjälp av DNS.<ph id="t2">< / para > < para ></ph> Microsoft-Windows-ActiveDirectory_DomainService händelse 2088 loggas när en källdomänkontrollant kunde matchas utifrån dess NetBIOS-namn men namnmatchningen fallback bara uppstår när DNS-namnmatchningen misslyckas.<ph id="t3">< / para > < para ></ph> Förekomsten av 8524 status och Microsoft-Windows-ActiveDirectory_DomainService händelse 2088 eller 2087 händelser alla anger att DNS-namnmatchning misslyckas Active Directory.<ph id="t4">< / para > < para ></ph> Sammanfattningsvis loggas 8524 replikeringsstatus när en måldomänkontrollanten kan inte lösa källdomänkontrollanten genom dess CNAME och Host "A" eller en värddator "AAAA"-poster med DNS. Inkludera specifika rotorsaker:<ph id="t5">< / para > < listan klass = "beställt" > < listItem > < para ></ph>källan domänkontrollanten är offline eller finns inte längre, men dess NTDS Settings-objektet finns kvar i målet domänkontrollanterna kopia av Active Directory.<ph id="t6">< / para > < / listItem > < listItem > < para ></ph> Källan Domänkontrollant kunde inte registreras CNAME- eller poster i en eller flera DNS-servrar antingen eftersom registreringen försök misslyckades eller DNS-klientinställningar på källan pekar inte på DNS-servrar som värd, vidarebefordras eller delegera dess _msdcs. <skog rotzonen för domänen och / eller primära DNS-suffixet domän zoner. <listitem><para>DNS-klientinställningar på måldomänkontrollanten pekar inte på DNS-servrar som värdar, vidarebefordra eller delegera DNS-zoner som innehåller CNAME- eller posterna för källdomänkontrollanten.<ph id="t7">< / para > < / listItem > < listItem > < para ></ph> CNAME- och poster som registreras av källdomänkontrollanten finns inte på DNS-servrar frågas av måldomänkontrollanten beror på enkla Replikeringens svarstid, replikering fel eller en Misslyckade zonöverföringar.<ph id="t8">< / para > < / listItem > < listItem > < para ></ph> Ogiltig vidarebefordrare eller delegering förhindrar måldomänkontrollanten åtgärda CNAME- eller resursposter för domänkontrollanter i andra domäner i skogen.<ph id="t9">< / para > < / listItem > < listItem > < para ></ph> DNS-servrar som används av måldomänkontrollanten källa DC- eller mellanliggande DNS-servrarna fungerar inte korrekt.</para></listitem>
Upplösningar<ph id="t10">< / title > < innehåll > < listan klass = "beställt" > < listItem > < para ></ph>kontrollerar om 8524 beror på en offline-domänkontrollanten eller inaktuella DC-metadata.<ph id="t11">< / para > < para ></ph> Om felet 8524 / händelsen refererar till en Domänkontrollant som är offline men ändå en giltig Domänkontrollant i skogen, att den ska kunna användas.<ph id="t12">< / para > < para ></ph> Om felet 8524 / händelse avser en inaktiv DC – installera en Domänkontrollant som inte längre finns i nätverket men vars NTDS Settings-objektet finns fortfarande kvar i målet domänkontrollanter kopia av Active Directory – ta bort inaktuella metadata för den domänkontrollanten från målet domänkontrollanter kopia av Active Directory.<ph id="t13">< / para > < para ></ph> Microsoft CSS söker regelbundet efter inaktuella metadata för obefintliga domänkontrollanter eller inaktuella metadata från tidigare annonser för en Domänkontrollant med samma namn som inte har tagits bort från Active Directory.<ph id="t14">< / para > < / listItem > < listItem > < para ></ph> Ta bort inaktuella DC-metadata om de finns.<ph id="t15">< / para > < procedur > < title ></ph> Rensning av Metadata GUI med hjälp av Active Directory – platser och tjänster (DSSITE.MSC)<ph id="t16">< / title > < steg class = "beställt" > < steg > < innehåll > < para ></ph>startar Windows 2008 eller Windows Server 2008 R2 eller W2K8 R2 Active Directory – platser och tjänster snapin-modulen (DSSITE.MSC). <ph id="t17">< / para > < para ></ph> Detta kan även göras genom att starta Active Directory – platser och tjänster på en dator med Windows Vista eller Windows 7 som har installerats som en del av paketet verktyg för fjärrserveradministration (RSAT). <ph id="t18">< / para > < / innehåll > < / steg > < steg > < innehåll > < para ></ph> Fokusera på DSSITE.MSC på de <placeholder>destination</placeholder> domänkontrollanterna exemplar av Active Directory.<ph id="t19">< / para > < para ></ph> Efter att ha startat DSSITE.MSC, högerklicka på den <ui>Active Directory-platser och tjänster <DC namn></ui>. <ph id="t20">< / para > < para ></ph> Välj måldomänkontrollanten som loggar felet 8524 / händelse från listan över domänkontrollanter i den <ui>Ändra domänkontrollant... </ui>lista.<ph id="t21">< / para > < / innehåll > < / steg > < steg > < innehåll > < para ></ph> Ta bort källa domänkontrollanterna NTDS Settings-objektet som refereras i 8524 fel och händelser. Active Directory Users and Computers (DSA.MSC) och ta bort antingen källan domänkontrollanterna NTDS Settings-objektet.<ph id="t22">< / para > < para ></ph> Domänkontrollanter NTDS Settings-objekt visas under webbplatser, platsnamn, behållare för servrar och % server namn % behållare och över inkommande anslutningsobjektet i i den högra rutan på Active Directory-platser och tjänster.<ph id="t23">< / para > < para ></ph> Högerklicka på den inaktuella NTDS Settings-objekt som du vill ta bort och klicka sedan på <ui>bort</ui>. <ph id="t24">< / para > < / innehåll > < / steg > < / steg > < / procedur > < para ></ph> Rensning av metadata kan också utföras från Windows Server 2008 eller Windows Server 2008 R2-versionen av Active Directory – användare och datorer snapin-modulen som beskrivs i <externallink><linktext>ren konfigurerar du serverns Metadata</linktext><linkuri><a href="http://technet.microsoft.com/library/cc816907">http://technet.microsoft.com/library/cc816907</a> %28WS.10 %29.aspx</linkuri></externallink>. <para>Eller</para><procedure><title>kommandoraden rensning av Metadata med hjälp av NTDSUTILmetoden äldre version eller en kommandorad för ta bort inaktuella NTDS Settings-objekt med hjälp av kommandot NTDSUTIL metadata cleanup dokumenteras i MSKB 216498http://support.microsoft.com/default.aspx?scid=kb;EN-US;216498. < / para >< / innehåll >< / steg >< / steg >< / procedur > < / listItem > < listItem > < para > Kör DCDIAG//TEST: DNS på källdomänkontrollanten + måldomänkontrollanten< / para > < para >DCDIAG//TEST: DNS utför 7 olika tester för att snabbt granska DNS-tillståndet för en domänkontrollant. Det här testet körs INTE som en del av DCDIAG standard körs. Logga in på konsolen målet domänkontrollanter logga 8524 händelser med företagsadministratör autentiseringsuppgifter.< / para > < / listItem > < listItem > < para > Öppna en administrativa privilegier CMD prompt och kör "DCDIAG//TEST: DNS-/F på DC loggning 8424 status OCH källdomänkontrollanten som måldomänkontrollanten replikerar från.< / para > < para > Kör DCDIAG mot alla domänkontrollanter i en skog genom att skriva "DCDIAG//TEST: DNS-/V /E /F:<filen name.txt& gt; < / para > < para >köra DCDIAG TEST: DNS mot en viss typ av Domänkontrollant" DCDIAG//TEST: DNS-/V /S:<DC NAMN> /F:<filen name.txt& gt; < / para > < / listItem > < listItem > < para >hitta tabellen Sammanfattning i slutet av DCDIAG//TEST: DNS-utdata. Identifiera och stämma varnings- eller fel villkoren för grupprinciperna på relevanta domänkontrollanterna i rapporten.< / para > < / listItem > < listItem > < para > Om DCDIAG inte kan identifiera orsaken ta "långt runt" genom att följa instruktionerna nedan.< / para > < / listItem > < / list > < / listItem > < listItem > < para > Kontrollera att Active Directory-namnmatchning med hjälp av PING< / para > < para >Destination domänkontrollanter matchar source domänkontrollanter i DNS genom deras fullständiga CNAME-poster som härleds från objektets GUID av remote domänkontrollanter NTDS Settings-objektet (det överordnade objektet anslutningsobjekt som visas i snapin-modulen Active Directory – platser och tjänster). Du kan testa en viss domänkontrollanterna förmåga att lösa en källa DC fullständigt kvalificerade CNAME-post med hjälp av PING-kommandot.< / para > < listan klass = "beställt" > < listItem > < para > Leta upp objectGUID av källa domänkontrollanterna NTDS Settings-objektet i källan domänkontrollanterna exemplar av Active Directory.< / para > < para > Från konsolen källdomänkontrollanten loggar felet 8524 / händelsen, typ:< / para > < kod > c:\ & gt; repadmin /showreps & lt; fullständigt kvalificerat värdnamn < platshållare > < / platshållare > DC i 8524 felet / händelse & gt; < / kod > < para >om domänkontrollanten refererar till 8524 fel-händelse är exempelvis contoso-DC2 i typen domän contoso.com :< / para > < kod > c:\ & gt; repadmin /showreps contoso-dc2.contoso.com < / kod > < para >fältet "DSA-objekt-GUID" i huvudet på den /SHOWREPS innehåller kommandot objectGUID källa domänkontrollanterna aktuella NTDS settings-objekt. Använda källan domänkontrollanterna vy av dess NTDS Settings-objekt om replikering är långsamt eller inte alls. Huvudet på repadmin utdata ser ut ungefär så:< / para > < kod > standard första-plats-Name\CONTOSO-DC1 DSA alternativ: IS_GC alternativ: (ingen) DSA-objekt GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 < / kod > < para >Högerklicka och kopiera detta GUID och klistra in den i PING-kommandot i steg d i den här listan.< / para > < / listItem > < listItem > < para > Leta upp ObjectGUID av källdomänkontrollanten i den destination domänkontrollanterna kopia av Active Directory.< / para > < para > Från konsolen måldomänkontrollanten loggar felet 8524 / händelsen, typ:< / para > < kod > c:\ & gt; repadmin /showreps & lt; fullständigt kvalificerat värdnamn < platshållare > mål < / platshållare > DC & gt; & gt; < / Kod > < para >exempelvis om domänkontrollanten loggning 8524 fel / händelsen är contoso-DC1 i contoso.com Domäntyp:< / para > < kod > c:\ & gt; repadmin /showreps contoso-dc1.contoso.com < / kod > < para >REPADMIN /SHOWREPS utdata visas nedan. Fältet "DSA-objekt-GUID" visas för varje källdomänkontrollanten måldomänkontrollanten inkommande replikeras från.< / para > < kod > c:\ & gt; repadmin /showreps contoso-dc1.contoso.com standard första-plats-Name\CONTOSO-DC1 DSA alternativ: IS_GC alternativ: (ingen) DSA-objekt GUID: e15fc9a1-82f8-4a99-97f2-8e715f06e747 DSA invocationID: e15fc9a1-82f8-4a99-97f2-8e715f06e747 === INKOMMANDE GRANNAR === DC = contoso, DC = com standard-första-plats-Name\CONTOSO-DC2 via RPC DSA-objekt GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 & lt;-objekt-GUID för källdomänkontrollanten härleds från senast försök @ 2010-03-24 15:45:15 misslyckades resultatet 8524 (0x214c) : \ målet domänkontrollanterna kopia av Active Directory The DSA-åtgärden kan inte fortsätta på grund av att en DNS-sökning. 23 på varandra följande fel. Senast lyckade @ YYYY-MM-DD HH:MM:SS. < / kod > < / listItem > < listItem > < para >jämför objektets GUID från steg ett och steg b.< / para > < para >om objektet GUID är desamma och sedan källdomänkontrollanten och måldomänkontrollanten känna källdomänkontrollanten samma instansieringen (samma kampanjen). Om de är olika sedan bild som vilken skapades senare. NTDS-objekt med tidigare skapa datum för inställningen är sannolikt föråldrade och bör tas bort.< / para > < / listItem > < listItem > < para > PING källdomänkontrollanten som den har fullständigt kvalificerade CNAME.< / para > < para > Testa från konsolen måldomänkontrollanten Active Directory-namnmatchning med en PING till källa domänkontrollanterna fullständiga CNAME-post:< / para > < kod > c:\ & gt; ping & lt; ObjectGUID från källan domänkontrollanterna NTDS Settings object._msdcs. & lt; DNS-namnet för Active Directory-skogens rotdomän & gt; < / Kod > < para >i vårt exempel av 8a7baee5-cd81-4c8c-9c0f-b10030574016 objectGUID från repadmin /showreps utdata från contoso dc1 domänkontrollanten i domänen contoso.com ovanför PING syntaxen skulle vara:< / para > < kod > c:\ & gt; ping 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs. contoso.com < / kod > < para >om PING fungerar försök misslyckas i Active Directory. Om ping-KOMMANDOT misslyckas fortsätter du "matchar 8524 DNS-sökningen misslyckades", men nya försök görs pingtestet efter varje steg tills värdet.< / para > < / listItem > < / list > < / listItem > < listItem > < para > Matcha 8524 DNS-sökningen misslyckades: "Långt runt"< / para > < para >om felet 8524 / händelser inte orsakas av inaktuella DC metadata och CNAME PING-testet misslyckas, granska DNS-hälsotillstånd källdomänkontrollanten måldomänkontrollanten och de DNS-servrar som används av domänkontrollanterna källan och målet. Sammanfattningsvis kontrollerar du att:< / para > < listan klass = "punkt" > < listItem > < para >källdomänkontrollanten har registrerat CNAME- och host-poster med ett giltigt DNS.< / para > < / listItem > < listItem > < para > Måldomänkontrollanten pekar på giltiga DNS-servrar.< / para > < / listItem > < listItem > < para > Att posterna intressanta registreras av domänkontrollanterna källa inte matchas av målet domänkontrollanterna.< / para > < / listItem > < / list > < para >meddelande felinformation DS RPC-klienten omständigheter 2087 dokument en användaråtgärd för att lösa 8524 fel. En mer detaljerad åtgärdsplanen följer:< / para > < Visa klass = "beställt" > < listItem > < para >Kontrollera att källdomänkontrollanten pekar på giltiga DNS-servrar< / para > < para >på källdomänkontrollanten, kontrollerar du inställningarna för punkten DNS-klienten uteslutande till fungerande DNS-servern som är värd för, vidarebefordra eller delegera den:< / para > < para >_msdcs. <skogens rotdomän> zonen (dvs. alla domänkontrollanter i contoso.com skog register CNAME-poster i zonen _msdcs. contoso.com)< / para > < para >AND< / para > < para >DNS-zonen för Active Directory-domänen (t.ex. en dator i domänen contoso.com skulle registrerar du värdposter i i zonen contoso.com)< / para > < para >OCH< / para > < para >datorer primära DNS-suffixet domänen skiljer sig från Active Directory domännamn (se osammanhängande namnområdethttp://technet.microsoft.com/library/cc731125(WS.10).aspx). < / para > < para > Alternativ för att verifiera att en DNS-Server vidarebefordrar värd eller delegerar (dvs "kan åtgärda") innehåller sådana zoner:< / para > < listan klass = "beställt" > < listItem > < para >startar DNS-hanteringsverktyg för DNS- och kontrollera att DNS-servrarna som källdomänkontrollanten pekar mot för namnmatchning värd för zonerna i fråga.< / para > < / listItem > < / list > < para > ELLER< / para > < listan klass = "beställt" > < listItem > < para >använda NSLOOKUP för att kontrollera att alla DNS-servrar som källdomänkontrollanten leder till kan matcha frågor för DNS-zoner i fråga.< / para > < para > Köra IPCONFIG//ALL på konsolen källdomänkontrollanten< / para > < kod > c:\ & gt; ipconfig/all DNS-servrar...........: 192.0.2.99 & lt;-primära DNS-servern med IP- & gt; 192.0.2.101 & lt;-sekundära DNS-servern med IP- & gt; < / Kod > < para >köra följande NSLOOKUP frågor:< / para > < kod > c:\ & gt; nslookup-typ = soa & lt; Ursprunglig DC DNS-domännamnet & gt; & lt; source domänkontrollanter primära DNS-Server-IP- & gt; c:\ & gt; nslookup-typ = soa & lt; Ursprunglig DC DNS-domännamnet & gt; & lt; source domänkontrollanter sekundära DNS-serverns IP- & gt; c:\ & gt; nslookup-typ = soa & lt; _msdcs. & lt; skogens rotdomän för DNS- & gt; & lt; source domänkontrollanter primära DNS-Server-IP- & gt; c:\ & gt; nslookup-typ = soa & lt; _msdcs. & lt; skogens rotdomän för DNS- & gt; & lt; source domänkontrollanter sekundära DNS-serverns IP- & gt; < / kod > < para >till exempel en Domänkontrollant i domänen i skogen contoso.com CHILD.CONTOSO.COM är konfigurerad med de primära och sekundära DNS-servern IPs "192.0.2.99" och "192.0.2.101", NSLOOKUP syntaxen skulle vara< / para > < kod > c:\ & gt; nslookup-typ = soa child.contoso.com 192.0.2.99 c:\ & gt; nslookup-typ = soa child.contoso.com 192.0.2.101 c:\ & gt; nslookup-typ = soa _msdcs. contoso.com 192.0.2.99 c:\ & gt; nslookup-typ = soa _msdcs. contoso.com 192.0.2.101 < / kod > < / listItem > < / list > < Varna class = "note" >< listan klass = "punkt" >< listItem >< para >på SOA-frågan för zonen _mscs. contoso.com matchar korrekt om riktade DNS har ett bra vidarebefordrare eller delegering för _msdcs. <skog rotzonen>. Den här frågan matchar inte korrekt om _msdcs. <skog rotzonen> på DNS-servern som anropas är en icke delegerats underordnad domän för <skog rotzonen> som relationen zonen skapas med Windows 2000-domäner. CNAME-poster registreras alltid i _msdcs. <skog rotzonen>, även för domänkontrollanter i domäner-rot. Konfigurera DNS-klienten på en Domänkontrollant eller medlemsserver dator som pekar till en Internet-DNS-Server för namnmatchning är inte giltig om Internet-Leverantören har överenskommits (betalas) och är för närvarande värd, vidarebefordra eller delegera DNS-frågor för Active Directory-skog. Internet-DNS-servrar vanligtvis inte accepterar dynamisk DNS-uppdateringar så kanske CNAME, värddator och SRV-poster registreras manuellt.< / para >< / listItem >< / list >< / varning >< / listItem > < listItem > < para > Kontrollera att källdomänkontrollanten har registrerat sin CNAME-post< / para > < para >Använd steg 1 från "Kontrollera Active Directory namnmatchning med hjälp av PING" att hitta aktuella CNAME för källdomänkontrollanten.< / para > < para > Kör ipconfig/all källdomänkontrollanten pekar på konsolen källdomänkontrollanten att fastställa vilka servrar för DNS-namnmatchning.< / para > < kod > c:\ & gt; ipconfig/all DNS-servrar...........: 192.0.2.99 & lt;-primära DNS-servern med IP- & gt; 192.0.2.101 & lt;-sekundära DNS-servern med IP- & gt; < / Kod > < para >använda NSLOOKUP fråga den aktuella DNS-servrarna för källa domänkontrollanterna CNAME-posten (hittas med hjälp av åtgärderna i "Kontrollera Active Directory namnmatchning med hjälp av PING"). < / para > < kod > c:\ & gt; nslookup-typ = cname & lt; fullständiga cname för källdomänkontrollanten & gt; & lt; källa domänkontrollanterna primära DNS-Server-IP & gt; c:\ & gt; nslookup-typ = cname & lt; fullständiga cname för källdomänkontrollanten & gt; & lt; source domänkontrollanter sekundära DNS-serverns IP- & gt; < / Kod > < para >fortsätter exempel där NTDS Settings-objekt-GUID för contoso-dc2 i domänen contoso.com är 8a7baee5-cd81-4c8c-9c0f-b10030574016 och pekar på "192.0.2.99" som primär för DNS-namnmatchning NSLOOKUP syntaxen skulle vara:< / para > < kod > c:\ & gt; nslookup-typ = cname-8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs. contoso.com 192.0.2.99 c:\ & gt; nslookup-typ = cname-8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs. contoso.com 192.0.2.101 < / kod > < para >om källdomänkontrollanten har inte registrerat sin CNAME-post DNS-servrarna pekar för namnmatchning, kör du följande kommando i Kommandotolken på källdomänkontrollanten sedan kontrollera registreringen av CNAME-post:< / para > < kod > c:\ & gt; net stop netlogon och net start netlogon < / kod > < Varna klassen = "note" > < listan klass = "punkt" > < listItem > < para >CNAME-poster registreras alltid i _msdcs. <skog rotzonen>, även för Domänkontrollant i den icke rotdomäner.< / para > < / listItem > < listItem > < para > CNAME-poster registreras av tjänsten Net Logon vid systemstart Net Logon-tjänsten startades och därefter återkommande intervall.< / para > < / listItem > < listItem > < para > Varje befordran av en Domänkontrollant med samma namn kan du skapa ett nytt NTDS Settings-objekt med en annan objectGUID som registrerar därför en annan CNAME-post. Verifiera registrering av CNAME-posten baserat källdomänkontrollanten kontra objectGUID för NTDS Settings-objektet på måldomänkontrollanten sista främja om källan har uppgraderats till mer än en gång.< / para > < / listItem > < listItem > < para > Timing problem under starten av Operativsystemet kan fördröja lyckas dynamisk DNS-registrering.< / para > < / listItem > < listItem > < para > Om en domänkontrollanterna CNAME-post har registrerats men senare försvinner, söka efter den zonöverföring ta bort bughttp://support.microsoft.com/default.aspx?scid=kb;EN-US;953317, duplicera DNS-zoner i olika replikeringsscope eller alltför aggressiv rensning för DNS-servern.< / para > < / listItem > < listItem > < para > Om CNAME-resursposten misslyckas på DNS-servrar som källdomänkontrollanten pekar du granskar NETLOGN händelser i SYSTEMETS händelselogg för DNS-registreringsfel för namnmatchning.< / para > < / listItem > < / list > < / varning > < / listItem > < listItem > < para > Kontrollera att källdomänkontrollanten har registrerats dess värdposter< / para > < para >från konsolen källdomänkontrollanten köra ipconfig/all att avgöra vilka DNS-servrar källdomänkontrollanten pekar mot namnmatchning:< / para > < kod > c:\ & gt; ipconfig/all DNS-servrar...........: 192.0.2.99 & lt;-primära DNS-servern med IP- & gt; 192.0.2.101 & lt;-sekundära DNS-servern med IP- & gt; < / Kod > < para >använda NSLOOKUP fråga den aktuella DNS-servrarna för värdpost:< / para > < kod > c:\ & gt; nslookup-typ = A + AAAA & lt; fullständigt kvalificerat värdnamn källdomänkontrollanten & gt; & lt; källa domänkontrollanterna primära DNS-Server-IP & gt; c:\ & gt; nslookup-typ = A + AAAA & lt; fullständigt kvalificerat värdnamn källdomänkontrollanten & gt; & lt; source domänkontrollanter sekundära DNS-serverns IP- & gt; < / Kod > < para >fortsätter exemplet för värdnamnet för contoso-dc2 i domänen contoso.com är 8a7baee5-cd81-4c8c-9c0f-b10030574016 och pekar på självutvärdering (127.0.0.1) som primär för DNS-namnmatchning NSLOOKUP syntaxen skulle vara:< / para > < kod > c:\ & gt; nslookup-typ = A + AAAA contoso-dc1.contoso.com 192.0.2.99 c:\ & gt; nslookup-typ = A + AAAA contoso-dc1.contoso.com 192.0.2.101 < / kod > < para >upprepa kommandot NSLOOKUP mot källan domänkontrollanter sekundära DNS-serverns IP-adress.< / para > < para > För att dynamiskt registrera värdresursposter "A", skriver du följande i konsolen på datorn:< / para > < kod > c:\ & gt; ipconfig/registerdns < / kod > < Varna class = "note" > < listan klassen = "punkt" > < listItem > < para >Windows 2000 till Windows Server 2008 R2 datorer alla registrera IPv4-värdposter "A". < / para > < / listItem > < listItem > < para > Alla Windows Server 2008 och Windows Server 2008 R2 datorer registrera IPv6-värdposter "AAAA". < / para > < / listItem > < listItem > < para > Värd "A" och "AAAA"-poster registreras i datorer primära DNS-suffixet zonen.< / para > < / listItem > < listItem > < para > Inaktivera nätverkskort som inte har kopplat nätverkskablar.< / para > < / listItem > < listItem > < para > Inaktivera registrering av värden på vilka nätverkskort som är inte tillgängliga domänkontrollanter och datorer i nätverket.< / para > < / listItem > < listItem > < para > Det finns inte stöd för att inaktivera IPv6-protokollet genom att avmarkera kryssrutan för IPv6 i nätverk på Kontrollpanelen.< / para > < / listItem > < / list > < / varning > < / listItem > < listItem > < para > Kontrollera att måldomänkontrollanten pekar på giltiga DNS-servrar< / para > < para >på måldomänkontrollanten, kontrollerar du inställningarna för punkten DNS-klienten uteslutande till fungerande DNS-servern som är värd för, vidarebefordra eller delegera den:< / para > < para >_msdcs. <skogens rotdomän> zonen (dvs. alla domänkontrollanter i contoso.com skog register CNAME-poster i zonen _msdcs. contoso.com)< / para > < para >AND< / para > < para >DNS-zonen för Active Directory-domänen (t.ex. en dator i domänen contoso.com skulle registrerar du värdposter i i zonen contoso.com)< / para > < para >OCH< / para > < para >datorer primära DNS-suffixet domänen skiljer sig från Active Directory domännamn (se osammanhängande namnområdethttp://technet.microsoft.com/library/cc731125(WS.10).aspx). < / para > < para > Alternativ för att verifiera att en DNS-Server vidarebefordrar värd eller delegerar (dvs "kan åtgärda") innehåller sådana zoner:< / para > < listan klass = "beställt" > < listItem > < para >starta verktyget DNS-hantering för din DNS-SERVER och kontrollera att DNS-servrarna som källdomänkontrollanten pekar mot för namnmatchning värd för zonerna i fråga.< / para > < / listItem > < / list > < para > ELLER< / para > < listan klass = "beställt" > < listItem > < para >använda NSLOOKUP för att verifiera att alla DNS-servrar som källdomänkontrollanten leder till kan matcha frågor för DNS-zoner i fråga.< / para > < para > Köra IPCONFIG//ALL på konsolen källdomänkontrollanten< / para > < kod > c:\ & gt; ipconfig/all DNS-servrar...........: 192.0.2.99 & lt;-primära DNS-servern med IP- & gt; 192.0.2.101 & lt;-sekundära DNS-servern med IP- & gt; < / Kod > < para >köra följande NSLOOKUP frågor:< / para > < kod > c:\ & gt; nslookup-typ = soa & lt; Ursprunglig DC DNS-domännamnet & gt; & lt; source domänkontrollanter primära DNS-Server-IP- & gt; c:\ & gt; nslookup-typ = soa & lt; Ursprunglig DC DNS-domännamnet & gt; & lt; source domänkontrollanter sekundära DNS-serverns IP- & gt; c:\ & gt; nslookup-typ = soa & lt; _msdcs. & lt; skogens rotdomän för DNS- & gt; & lt; source domänkontrollanter primära DNS-Server-IP- & gt; c:\ & gt; nslookup-typ = soa & lt; _msdcs. & lt; skogens rotdomän för DNS- & gt; & lt; source domänkontrollanter sekundära DNS-serverns IP- & gt; < / kod > < para >exempelvis en Domänkontrollant i domänen i skogen contoso.com CHILD.CONTOSO.COM är konfigurerad med de primära och sekundära DNS-servern IPs "192.0.2.99" och "192.0.2.101", NSLOOKUP syntaxen skulle vara< / para > < kod > c:\ & gt; nslookup-typ = soa child.contoso.com 192.0.2.99 c:\ & gt; nslookup-typ = soa child.contoso.com 192.0.2.101 c:\ & gt; nslookup-typ = soa _msdcs. contoso.com 192.0.2.99 c:\ & gt; nslookup-typ = soa _msdcs. contoso.com 192.0.2.101 < / kod > < / listItem > < / list > < Varna class = "note" >< listan klass = "punkt" >< listItem >< para >i SOA-fråga för zonen _mscs. contoso.com matchar korrekt om riktade DNS har ett bra vidarebefordrare eller delegering eller för _msdcs. <skog rotzonen>. Den här frågan matchar inte korrekt om _msdcs. <skog rotzonen> på DNS-servern som anropas är en icke delegerats underordnad domän för <skog rotzonen> som relationen zonen skapas med Windows 2000-domäner. CNAME-poster registreras alltid i _msdcs. <skog rotzonen>, även för domänkontrollanter i domäner-rot. Konfigurera DNS-klienten på en Domänkontrollant eller medlemsserver dator som pekar till en Internet-DNS-Server för namnmatchning är inte giltig om Internet-Leverantören har överenskommits (betalas) och är för närvarande värd, vidarebefordra eller delegera DNS-frågor för Active Directory-skog. Internet-DNS-servrar vanligtvis inte accepterar dynamisk DNS-uppdateringar så kanske CNAME, värddator och SRV-poster registreras manuellt. DNS-matcharens på Windows-datorer är avsiktlig "fast" om hur du använder DNS-servrar som svarar på frågor, oavsett om sådana DNS-servrar som värdar, vidarebefordra eller delegera zoner som krävs. Räknas om, DNS-resolvern inte växling vid fel och fråga en annan DNS-server så länge som aktiva DNS-servern inte svarar, även om svaret från DNS-servern anger att den inte värd för posten som efterfrågade värddator även en kopia av zonen för den posten. Konfigurera DNS-klienten på en Domänkontrollant eller medlemsserver dator som pekar till en Internet-DNS-Server för namnmatchning är inte giltig om Internet-Leverantören har överenskommits (betalas) till värddatorn, vidarebefordra eller delegera DNS-frågor för Active Directory-skog.< / para >< / listItem >< / list >< / varning > < / listItem > < listItem > < para > Kontrollera att DNS-servern som används av måldomänkontrollanten kan matcha källan domänkontrollanterna CNAME- och HOST posterna< / para > < para >kör från konsolen måldomänkontrollanten "ipconfig/all" leder till att fastställa vilka DNS-servrar som måldomänkontrollanten för namnmatchning:< / para > < kod > c:\ & gt; ipconfig/all DNS-servrar........... : 192.0.2.102 & lt;-primära DNS-servern med IP- & gt; 192.0.2.103 & lt;-sekundära DNS-servern med IP- & gt; < / Kod > < para >använda NSLOOKUP fråga DNS-servrar som konfigurerats på måldomänkontrollanten efter källa domänkontrollanterna cname- och poster från konsolen måldomänkontrollanten:< / para > < kod > c:\ & gt; nslookup-typ = cname & lt; fullständiga CNAME av källdomänkontrollanten & gt; & lt; målet domänkontrollanter primära DNS-Server-IP & gt; c:\ & gt; nslookup-typ = cname & lt; fullständiga CNAME för källdomänkontrollanten & gt; & lt; & gt; mål domänkontrollanter sekundära DNS-Server-IP c:\ & gt; nslookup-typ = värd & lt; fullständigt kvalificerat värdnamn källdomänkontrollanten & gt; & lt; & gt; mål domänkontrollanterna primära DNS-Server-IP c:\ & gt; nslookup-typ = värd & lt; fullständigt kvalificerat värdnamn källdomänkontrollanten & gt; & lt; & gt; mål domänkontrollanter sekundära DNS-Server-IP < / Kod > < para >fortsätter exemplet där contoso-dc2 i domänen contoso.com med GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016 i skogsrotdomänen Contoso.com pekar till DNS-servrar "192.0.2.102" och "192.0.2.103" skulle vara NSLOOKUP-syntaxen:< / para > < kod > c:\ & gt; nslookup-typ = cname-8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs. contoso.com 192.0.2.102 c:\ & gt; nslookup-typ = cname-8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs. contoso.com 192.0.2.103 c:\ & gt; nslookup-typ = A + AAAA contoso-dc1.contoso.com 192.0.2.102 c:\ & gt; nslookup-typ = A + AAAA contoso-dc1.contoso.com 192.0.2.102 < / Kod > < / listItem > < listItem > < para >granska relationerna mellan DNS-servrar som används av domänkontrollanterna käll- och< / para > < para >om DNS-servrar som används av källan och målet värden AD-integrerade kopior _msdcs. <skogsrot> och <primära DNS-suffixet> zoner, söka efter:< / para > < listan klass = "punkt" > < listItem > < para >replikeringsfördröjningen mellan DNS-där posten registrerades och DNS-där posten som efterfrågas.< / para > < / listItem > < listItem > < para > Fel replikering mellan DNS-där posten registreras och DNS-efterfrågas.< / para > < / listItem > < listItem > < para > DNS-zonen som värd för posten av intresse finns i olika replikeringsscope och därför olika innehåll, eller är CNF / konflikten fullkvalificeras på två eller flera domänkontrollanter.< / para > < / listItem > < / list > < para >om DNS-zoner som används av källan och måldomänkontrollanten lagras i primära och sekundära kopior av DNS-zoner, söka efter :< / para > < listan klass = "punkt" > < listItem > < para >de tillåta zonöverföringar kryssruta är inte aktiverat på DNS-Servern som är värd för den primära kopian av zonen.< / para > < / listItem > < listItem > < para > Den följande servrar kryssruta aktiveras men de sekundära DNS-IP-adress inte har lagts till i listan över tillåtna på det primära DNS.< / para > < / listItem > < listItem > < para > DNS-zonen på Windows Server 2008 DNS-värd sekundär kopia av zonen är tom på grund av MSKB 953317http://support.microsoft.com/default.aspx?scid=kb;EN-US;953317. < / para > < / listItem > < / list > < para > Om DNS-servrar som används av källan och målet DC har det överordnade / underordnade relationer, söka efter:< / para > < listan klass = "punkt" > < listItem > < para >ogiltiga delegeringar på DNS-Servern som äger den överordnade zonen som delegering för den underordnade zonen.< / para > < / listItem > < listItem > < para > Ogiltig IP-adressen för DNS-servern försöker matcha den överordnade DNS-zonen (exempel: en Domänkontrollant i child.contoso.com försöker matcha värdposter i conto.com zonen som finns på DNS-servrar i skogens rotdomän).
Felsöka Active Directory-åtgärder som avslutas med fel 8524: The DSA-åtgärden kan inte fortsätta på grund av att en DNS-sökning< / linkText > < linkUri >http://support.microsoft.com/kb/2021446
© 2017 Microsoft