Freigeben über

Active Directory-Replikationsereignis-ID 2087: DNS-Nachschlagefehler verursachte replikationsfehler

  • Artikel

Dieser Artikel enthält eine Lösung für die Active Directory-Replikationsereignis-ID 2087, die auftritt, wenn ein DNS-Nachschlagefehler (Domain Name System) zu einem Replikationsfehler führt.

Gilt für: Unterstützte Versionen von Windows Server
Ursprüngliche KB-Nummer: 4469661

Problembeschreibung

Dieses Problem tritt in der Regel auf, wenn ein DNS-Nachschlagefehler (Domain Name System) zu einem Fehler bei der Replikation führt. Wenn ein Zieldomänencontroller ereignis-ID 2087 im Verzeichnisdienst-Ereignisprotokoll empfängt, versuchen Sie, den GUID (Globally Unique Identifier) im Aliasressourceneintrag (CNAME), den vollqualifizierten Domänennamen (FQDN) und den NetBIOS-Namen an die IP-Adresse des Quelldomänencontrollers aufzulösen, sind alle fehlgeschlagen. Fehler beim Auffinden des Quellreplikationspartners verhindert die Replikation mit dieser Quelle, bis das Problem behoben ist.

Im Folgenden finden Sie ein Beispiel für den Ereignistext:

Protokollname: Verzeichnis
Dienstquelle: Microsoft-Windows-ActiveDirectory_DomainService
Datum: 09.03.2008 11:00:21 Uhr
Ereignis-ID: 2087
Aufgabenkategorie: DS RPC-Client
Ebene: Fehler
Schlüsselwörter: Klassisch
Benutzer: ANONYME ANMELDUNG
Computer: DC3.contoso.com
Beschreibung: Active Directory konnte den folgenden DNS-Hostnamen des Quelldomänencontrollers nicht in eine IP-Adresse auflösen. Dieser Fehler verhindert, dass Ergänzungen, Löschungen und Änderungen in Active Directory-Domäne Services zwischen einem oder mehreren Domänencontrollern in der Gesamtstruktur repliziert werden. Sicherheitsgruppen, Gruppenrichtlinien, Benutzer und Computer und ihre Kennwörter sind zwischen Domänencontrollern inkonsistent, bis dieser Fehler behoben ist, was sich möglicherweise auf die Anmeldeauthentifizierung und den Zugriff auf Netzwerkressourcen auswirkt.

Quelldomänencontroller: DC2
Dns-Hostname wird nicht ausgeführt:
b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.contoso.com
HINWEIS: Standardmäßig werden in einem beliebigen zwölfstündigen Zeitraum nur bis zu 10 DNS-Ausfälle ausgewiesen, auch wenn mehr als 10 Ausfälle auftreten. Um alle einzelnen Ausfallereignisse zu protokollieren, legen Sie den folgenden Diagnoseregistrierungswert auf 1 fest:

Registrierungspfad: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Benutzeraktion:

  1. Wenn der Quelldomänencontroller nicht mehr funktioniert oder sein Betriebssystem mit einem anderen Computernamen oder einer anderen GUID für das Objekt NTDSDSA neu installiert wurde, entfernen Sie die Metadaten des Quelldomänencontrollers mit „ntdsutil.exe“ anhand der im MSKB-Artikel 216498 beschriebenen Schritte.

  2. Vergewissern Sie sich, dass der Quelldomänencontroller Active Directory-Domäne Dienste ausgeführt wird und im Netzwerk zugänglich ist, indem Sie "Net View \\<source DC name>" oder "ping <source DC name>" eingeben.

  3. Vergewissern Sie sich, dass der Quelldomänencontroller einen gültigen DNS-Server für DNS-Dienste verwendet und dass der Host und CNAME-Eintrag des Quelldomänencontrollers ordnungsgemäß registriert sind. Verwenden Sie dazu die DNS Enhanced-Version von DCDIAG.EXE, die verfügbar ist unter http://www.microsoft.com/dns
    dcdiag /test:dns

  4. Vergewissern Sie sich, dass dieser Zieldomänencontroller einen gültigen DNS-Server für DNS-Dienste verwendet, indem Sie die DNS Enhanced-Version des Befehls DCDIAG.EXE in der Konsole des Zieldomänencontrollers wie folgt ausführen:
    dcdiag /test:dns

  5. Weitere Analysen von DNS-Fehlern und -Ausfällen finden Sie unter KB 824449: http://support.microsoft.com/?kbid=824449

Zusätzliche Daten
Fehlerwert: 11004
Der angeforderte Name ist gültig, aber es wurden keine Daten des angeforderten Typs gefunden.

Diagnosis

Fehler beim Auflösen des aktuellen Alias-Ressourceneintrags (CNAME) des Quelldomänencontrollers in eine IP-Adresse können die folgenden Ursachen haben:

  • Der Quelldomänencontroller wird ausgeschaltet, ist offline oder befindet sich in einem isolierten Netzwerk, und Active Directory- und DNS-Daten für den Offlinedomänencontroller wurden nicht gelöscht, um anzugeben, dass auf den Domänencontroller nicht zugegriffen werden kann.

  • Eine der folgenden Bedingungen ist vorhanden:

    • Der Quelldomänencontroller hat seine Ressourceneinträge nicht in DNS registriert.
    • Der Zieldomänencontroller ist für die Verwendung eines ungültigen DNS-Servers konfiguriert.
    • Der Quelldomänencontroller ist für die Verwendung eines ungültigen DNS-Servers konfiguriert.
    • Der vom Quelldomänencontroller verwendete DNS-Server hostt nicht die richtigen Zonen, oder die Zonen sind nicht für die Annahme dynamischer Updates konfiguriert.
    • Die direkten DNS-Server, die der Zieldomänencontroller abfragen, können die IP-Adresse des Quelldomänencontrollers nicht auflösen, da nicht vorhandene oder ungültige Weiterleitungen oder Delegierungen vorhanden sind.

  • Active Directory-Domäne Services (AD DS) wurde auf dem Quelldomänencontroller entfernt und dann mit derselben IP-Adresse neu installiert, aber das Wissen über die neue GUID der NTDS-Einstellungen hat den Zieldomänencontroller nicht erreicht.

  • AD DS wurde auf dem Quelldomänencontroller entfernt und dann mit einer anderen IP-Adresse neu installiert, aber der aktuelle Hostadressen-Ressourceneintrag (A) für die IP-Adresse des Quelldomänencontrollers ist entweder nicht registriert oder ist nicht auf den DNS-Servern vorhanden, die der Zieldomänencontroller als Ergebnis von Replikationslatenz oder Replikationsfehlern abfragt.

  • Das Betriebssystem des Quelldomänencontrollers wurde mit einem anderen Computernamen neu installiert, aber seine Metadaten wurden entweder nicht entfernt oder wurden entfernt und noch nicht vom Zieldomänencontroller repliziert.

Lösung

Ermitteln Sie zunächst, ob ein Domänencontroller funktioniert. Wenn der Quelldomänencontroller nicht funktioniert, entfernen Sie die verbleibenden Metadaten aus AD DS.

Wenn der Quelldomänencontroller funktioniert, fahren Sie mit den Verfahren fort, um das DNS-Problem nach Bedarf zu diagnostizieren und zu lösen:

Ermitteln, ob ein Domänencontroller funktioniert

Um festzustellen, ob der Quelldomänencontroller funktioniert, verwenden Sie den folgenden Test.

Anforderungen:

  • Die Mitgliedschaft in der Gruppe " Domänenbenutzer " in der Domäne des Domänencontrollers oder gleichwertig ist die Mindestanforderung, um dieses Verfahren abzuschließen. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).

  • Tool: Net view

Um zu bestätigen, dass der Domänencontroller AD DS ausführt und auf das Netzwerk zugreifen kann, geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

net view \\<SourceDomainControllerName>

Dabei <ist SourceDomainControllerName> der NetBIOS-Name des Domänencontrollers.

Dieser Befehl zeigt die Netlogon- und SYSVOL-Freigaben an, die angeben, dass der Server als Domänencontroller funktioniert. Wenn dieser Test zeigt, dass der Domänencontroller nicht im Netzwerk funktioniert, bestimmen Sie die Art der Verbindung und ob der Domänencontroller wiederhergestellt werden kann oder ob seine Metadaten manuell aus AD DS entfernt werden müssen. Wenn der Domänencontroller nicht funktioniert und nicht wiederhergestellt werden kann, verwenden Sie das Verfahren im folgenden Abschnitt, Bereinigen von Domänencontrollermetadaten, um die Mit diesem Server verbundenen Daten aus AD DS zu löschen.

Bereinigen von Domänencontrollermetadaten

Wenn Tests zeigen, dass der Domänencontroller nicht mehr funktioniert, aber weiterhin Objekte angezeigt werden, die den Domänencontroller im Active Directory-Snap-In "Standorte und Dienste" darstellen, wird die Replikation weiterhin versucht, und Sie müssen diese Objekte manuell aus AD DS entfernen. Sie müssen das Active Directory-Benutzer und -Computer Snap-In oder das Ntdsutil-Tool verwenden, um die Metadaten für den verzögerten Domänencontroller zu bereinigen (löschen).

Wenn der verzögerte Domänencontroller der letzte Domänencontroller in der Domäne ist, sollten Sie auch die Metadaten für die Domäne entfernen. Lassen Sie ausreichend Zeit für alle globalen Katalogserver in der Gesamtstruktur zu, um die Domänenlöschung eingehend zu replizieren, bevor Sie eine neue Domäne mit demselben Namen höher stufen.

Der Prozess zum Bereinigen von Metadaten wird in der Version von Ntdsutil verbessert, die in jeder unterstützten Version von Windows Server enthalten ist. Anweisungen zum Bereinigen von Metadaten mit Ntdsutil finden Sie im folgenden Verfahren.

Anforderungen:

  • Die Mitgliedschaft in Enterprise-Administratoren oder gleichwertig ist die Mindestanforderung, um dieses Verfahren abzuschließen. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).
  • Tool: Ntdsutil (System32-Befehlszeilentool)

Schritte zum Bereinigen von Servermetadaten

Eine bequeme Methode zum Bereinigen der Metadaten des Domänencontrollers verwendet das Active Directory-Benutzer und -Computer Snap-In. Weitere Informationen finden Sie unter:

Alternativ können Sie Ntdsutil verwenden:

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.

  2. Geben Sie an der Eingabeaufforderung den ntdsutil Befehl ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie an der Eingabeaufforderung ntdsutil den metadata cleanup Befehl ein, und drücken Sie dann die EINGABETASTE.

  4. Führen Sie die Metadatenbereinigung wie folgt aus:

    Notiz

    Wenn Sie Domänenmetadaten sowie Servermetadaten entfernen, überspringen Sie das folgende Verfahren, und verwenden Sie das Verfahren, das mit Schritt 1 beginnt.

    • Wenn Sie nur Servermetadaten bereinigen und die Version von Ntdsutil.exe verwenden, die in einer unterstützten Version von Windows Server enthalten ist, geben Sie an der metadata cleanup: Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      remove selected server <ServerName>

      Oder

      remove selected server <ServerName1> on <ServerName2>
      Parameter Beschreibung
      <ServerName, <ServerName1>> Der distinguished Name des Domänencontrollers, dessen Metadaten Sie entfernen möchten, im Format cn=<ServerName,cn>=Servers,cn=<SiteName>, cn=Sites,cn=Configuration,dc=<ForestRootDomain>
      <ServerName2> Der DNS-Name des Domänencontrollers, mit dem Sie eine Verbindung herstellen möchten und von dem Sie Servermetadaten entfernen möchten.

    • Wenn Sie die Metadatenbereinigung mithilfe der Version von Ntdsutil.exe durchführen oder sowohl die Bereinigung von Domänenmetadaten als auch die Servermetadatenbereinigung durchführen, führen Sie die Metadatenbereinigung wie folgt aus:

      1. Geben Sie an der metadata cleanup: Eingabeaufforderung den connection Befehl ein, und drücken Sie dann die EINGABETASTE.
      2. Geben Sie an der server connections: Eingabeaufforderung den connect to server <Server> Befehl ein, und drücken Sie dann die EINGABETASTE.
      3. Geben Sie an der connection: Eingabeaufforderung den quit Befehl ein, und drücken Sie dann die EINGABETASTE.
      4. Geben Sie an der metadata cleanup: Eingabeaufforderung den select operation target Befehl ein, und drücken Sie dann die EINGABETASTE.
      5. Geben Sie an der select operation target: Eingabeaufforderung den list sites Befehl ein, und drücken Sie dann die EINGABETASTE.
      6. Es wird eine nummerierte Liste von Websites angezeigt. Geben Sie den Befehl ein select site <SiteNumber> , und drücken Sie dann die EINGABETASTE.
      7. Geben Sie an der select operation target: Eingabeaufforderung den list domains in site Befehl ein, und drücken Sie dann die EINGABETASTE.
      8. Es wird eine nummerierte Liste der Domänen auf der ausgewählten Website angezeigt. Geben Sie den Befehl ein select domain <DomainNumber> , und drücken Sie dann die EINGABETASTE.
      9. Geben Sie an der select operation target: Eingabeaufforderung den list servers in site Befehl ein, und drücken Sie dann die EINGABETASTE.
      10. Es wird eine nummerierte Liste von Servern in einer Domäne und einem Standort angezeigt. Geben Sie den Befehl ein select server <ServerNumber> , und drücken Sie dann die EINGABETASTE.
      11. Geben Sie an der select operation target: Eingabeaufforderung den quit Befehl ein, und drücken Sie dann die EINGABETASTE.
      12. Geben Sie an der metadata cleanup: Eingabeaufforderung den remove selected server Befehl ein, und drücken Sie dann die EINGABETASTE.
      13. Wenn der Server, dessen Metadaten Sie entfernt haben, der letzte Domänencontroller in der Domäne ist und Sie die Domänenmetadaten entfernen möchten, geben Sie an der metadata cleanup: Eingabeaufforderung den remove selected domain Befehl ein, und drücken Sie dann die EINGABETASTE. Metadaten für die Domäne, die Sie in Schritt h ausgewählt haben, werden entfernt.
      14. Geben Sie an den Eingabeaufforderungen metadata cleanup: und ntdsutil: jeweils quit ein, und drücken Sie die EINGABETASTE.
      Parameter BESCHREIBUNG
      <Server> Der DNS-Name eines Domänencontrollers, mit dem Sie eine Verbindung herstellen möchten.
      <SiteNumber> Die Nummer, die der Website des Servers zugeordnet ist, den Sie bereinigen möchten, die in der Liste angezeigt wird.
      <DomainNumber> Die Nummer, die der Domäne des Servers zugeordnet ist, den Sie bereinigen möchten, die in der Liste angezeigt wird.
      <ServerNumber> Die Nummer, die dem Server zugeordnet ist, den Sie bereinigen möchten, die in der Liste angezeigt wird.

Verwenden von Dcdiag zum Diagnostizieren von DNS-Problemen

Wenn der Domänencontroller online funktioniert, verwenden Sie das Dcdiag-Tool, um DNS-Probleme zu diagnostizieren und zu beheben, die möglicherweise die Active Directory-Replikation beeinträchtigen.

Gehen Sie wie folgt vor, um diesen Vorgang abzuschließen:

Bevor Sie mit diesen Prozeduren beginnen, sammeln Sie die folgenden Informationen, die im Nachrichtentext der Ereignis-ID 2087 enthalten sind:

  • Der FQDN des Quelldomänencontrollers und des Zieldomänencontrollers
  • Die IP-Adresse des Quelldomänencontrollers

Die aktualisierte Version von Dcdiag, die in jeder unterstützten Version von Windows Server enthalten ist, enthält Tests, die konsolidierte und verbesserte Tests grundlegender und erweiterter DNS-Features bieten. Mit diesem Tool können Sie grundlegende DNS-Funktionen und dynamische Updates diagnostizieren.

Wenn Sie Dcdiag für DNS-Tests verwenden, gelten bestimmte Anforderungen, die nicht für alle Dcdiag-Tests gelten.

Anforderungen:

  • Die Mitgliedschaft in Enterprise-Administratoren oder gleichwertig ist die Mindestanforderung, um die DNS-Tests abzuschließen. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).
  • Tool: Dcdiag.exe
  • Betriebssystem: alle unterstützten Versionen von Windows Server oder Client mit RemoteServer-Verwaltungstools (RSAT)

Notiz

Sie können den /f: Schalter in Dcdiag-Befehlen verwenden, um die Ausgabe in einer Textdatei zu speichern. Wird /f: FileName verwendet, um die Datei an dem Speicherort zu generieren, der in FileName angegeben ist, /f:c:\Test\DnsTest.txtz. B. .

Überprüfen der grundlegenden DNS-Funktionalität

Um die Einstellungen zu überprüfen, die die Active Directory-Replikation beeinträchtigen könnten, können Sie zunächst den grundlegenden DNS-Test ausführen, der sicherstellt, dass DNS auf dem Domänencontroller ordnungsgemäß funktioniert.

Der grundlegende DNS-Test überprüft Folgendes:

  • Konnektivität: Der Test bestimmt, ob Domänencontroller im DNS registriert sind, von PING kontaktiert werden können und über einen Lightweight Directory Access Protocol/Remote Procedure Call (LDAP/RPC)-Konnektivität verfügen. Wenn der Konnektivitätstest auf einem Domänencontroller fehlschlägt, werden keine anderen Tests für diesen Domänencontroller ausgeführt. Der Konnektivitätstest wird automatisch ausgeführt, bevor andere DNS-Tests ausgeführt werden.

  • Wesentliche Dienste: Der Test bestätigt, dass die folgenden Dienste ausgeführt und auf dem getesteten Domänencontroller verfügbar sind:

    • DNS-Clientdienst
    • Net-Anmeldedienst
    • Key Distribution Center (KDC)-Dienst
    • DNS-Serverdienst (wenn DNS auf dem Domänencontroller installiert ist)

  • DNS-Clientkonfiguration: Der Test bestätigt, dass DNS-Server auf allen Adaptern erreichbar sind.

  • Registrierungen von Ressourceneintragen: Der Test bestätigt, dass der Hostressourceneintrag (A) jedes Domänencontrollers auf mindestens einem der DNS-Server registriert ist, die auf dem Client konfiguriert sind.

  • Zone und Ursprung der Autorität (SOA): Wenn der DNS-Serverdienst auf dem Domänencontroller ausgeführt wird, wird durch den Test bestätigt, dass die Active Directory-Domänenzone und der Ressourceneintrag des Autoritätsursprungs (SOA) für die Active Directory-Domänenzone vorhanden sind.

  • Stammzone: Überprüft, ob die Stammzone (.) vorhanden ist.

Schritte zum Überprüfen grundlegender DNS-Funktionen

  1. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    dcdiag /test:dns /s:<SourceDomainControllerName> /DnsBasic

    Dabei <ist SourceDomainControllerName> der distinguished Name, NetBIOS Name oder DNS-Name des Domänencontrollers.

    Alternativ können Sie alle Domänencontroller in der Gesamtstruktur testen, indem /e: Sie anstelle von /s:.

  2. Kopieren Sie den Bericht in Editor oder einen entsprechenden Texteditor.

  3. Scrollen Sie in der Tabelle "Zusammenfassung" am unteren Rand der Dcdiag-Protokolldatei.

  4. Notieren Sie sich die Namen aller Domänencontroller, die den Status "Warn" oder "Fail" in der Zusammenfassungstabelle melden.

  5. Suchen Sie den detaillierten Abschnitt "Breakout" für den Problemdomänencontroller, indem Sie nach der Zeichenfolge "DC: <DomainControllerName>" suchen.

  6. Nehmen Sie die erforderlichen Konfigurationsänderungen auf DNS-Clients und DNS-Servern vor.

  7. Um die Konfigurationsänderungen zu überprüfen, führen Sie dies mit dem /e: oder /s: dem Switch erneut ausDcdiag /test:DNS.

Wenn der grundlegende DNS-Test keine Fehler anzeigt, überprüfen Sie weiterhin, ob Ressourceneinträge, die zum Auffinden von Domänencontrollern verwendet werden, in DNS registriert sind.

Überprüfen der Registrierung von Ressourcendatensatz

Der Zieldomänencontroller verwendet als Ressourceneintrag den DNS-Alias (CNAME), um den Replikationspartner des Quelldomänencontrollers zu suchen. Obwohl Domänencontroller Quellreplikationspartner mithilfe von FQDNs (oder, wenn dies fehlschlägt, NetBIOS-Namen) finden können, wird das Vorhandensein des Aliasressourceneintrags (CNAME) erwartet und sollte für die ordnungsgemäße DNS-Funktion überprüft werden.

Mithilfe von Dcdiag können Sie die Registrierung aller Ressourceneinträge überprüfen, die für den Domänencontrollerstandort unerlässlich sind, indem Sie den dcdiag /test:dns /DnsRecordRegistration Test verwenden. Dieser Test überprüft die Registrierung der folgenden Ressourceneinträge in DNS:

  • Der Alias (CNAME) (der GUID-basierte Ressourceneintrag, der einen Replikationspartner findet)
  • Der Host (A) (der Hostressourceneintrag, der die IP-Adresse des Domänencontrollers enthält)
  • LDAP SRV (srV)-Ressourceneinträge, die LDAP-Server suchen
  • GC SRV (die SRV)-Ressourceneinträge, die globale Katalogserver suchen)
  • PDC SRV(srV)-Ressourceneinträge, die primäre Domänencontroller(PDC)-Emulatoroperationsmaster suchen)

Alternativ können Sie das folgende Verfahren verwenden, um nur nach dem Aliasressourceneintrag (CNAME) zu suchen.

Schritte zum Überprüfen der Registrierung von Aliasressourcendatensatz (CNAME)

  1. Suchen Sie im DNS-Snap-In einen beliebigen Domänencontroller, der den DNS-Serverdienst ausführt, in dem der Server die DNS-Zone mit demselben Namen wie die Active Directory-Domäne des Domänencontrollers hostet.

  2. Klicken Sie in der Konsolenstruktur auf die Zone mit dem Namen _msdcs. Dns_Domain_Name.

    Notiz

    In Windows 2000 Server DNS _msdcs. Dns_Domain_Name ist eine Unterdomäne der DNS-Zone für den Active Directory-Domänennamen. In Windows Server 2003 DNS _msdcs. Dns_Domain_Name ist eine separate Zone.

  3. Überprüfen Sie im Detailbereich, ob die folgenden Ressourceneinträge vorhanden sind:

    • Ein CNAME-Ressourceneintrag (Alias), der Dsa_Guid._msdcs heißt . Dns_Domain_Name
    • Ein entsprechender Hostressourceneintrag (A) für den Namen des DNS-Servers

Wenn der CNAME-Ressourceneintrag (Alias) nicht registriert ist, überprüfen Sie, ob dynamische Updates ordnungsgemäß funktionieren. Verwenden Sie den Test im folgenden Abschnitt.

Überprüfen dynamischer Updates

Wenn der grundlegende DNS-Test zeigt, dass Ressourceneinträge nicht in DNS vorhanden sind, verwenden Sie den dynamischen Updatetest, um zu diagnostizieren, warum der Net Logon-Dienst die Ressourceneinträge nicht automatisch registriert hat. Gehen Sie wie folgt vor, um zu überprüfen, ob die Active Directory-Domänenzone so konfiguriert ist, dass sie sichere dynamische Updates akzeptiert und eine Registrierung eines Testdatensatzes (_dcdiag_test_record) durchführt. Der Testdatensatz wird nach dem Test automatisch gelöscht.

Um dynamische Updates zu überprüfen, geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

dcdiag /test:dns /s:<SourceDomainControllerName> /DnsDynamicUpdate

Dabei <ist SourceDomainControllerName> der distinguished Name, NetBIOS Name oder DNS-Name des Domänencontrollers.

Alternativ können Sie alle Domänencontroller testen, indem Sie den /e: Switch anstelle der /s: Option verwenden.

Wenn das sichere dynamische Update nicht konfiguriert ist, verwenden Sie das folgende Verfahren, um es zu konfigurieren.

Aktivieren sicherer dynamischer Updates

  1. Öffnen Sie das DNS-Snap-In.
  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die entsprechende Zone, und klicken Sie dann auf Eigenschaften.
  3. Überprüfen Sie auf der Registerkarte "Allgemein ", ob der Zonentyp active Directory integriert ist.
  4. Klicken Sie in dynamischen Updates nur auf "Sichern".

Registrieren von DNS-Ressourceneinträgen

Wenn DNS-Ressourceneinträge nicht im DNS für den Quelldomänencontroller angezeigt werden, haben Sie dynamische Aktualisierungen überprüft, und Sie dns-Ressourceneinträge sofort registrieren möchten, können Sie die Registrierung mithilfe des folgenden Verfahrens manuell erzwingen. Der Net Logon-Dienst auf einem Domänencontroller registriert die DNS-Ressourceneinträge, die erforderlich sind, damit der Domänencontroller im Netzwerk gefunden wird. Der DNS-Clientdienst registriert den Hostressourceneintrag (A), auf den der Aliaseintrag (CNAME) verweist.

Anforderungen:

  • Die Mitgliedschaft in der Gruppe "Domänenadministratoren" in der Stammdomäne der Gesamtstruktur oder der Gruppe "Unternehmensadministratoren" oder gleichwertig ist die Mindestanforderung, um dieses Verfahren abzuschließen.
  • Tools: net stop/net start, ipconfig

Manuelles Registrieren von DNS-Ressourceneinträgen

Um die Registrierung von Domänencontroller-Locator-Ressourceneinträgen manuell auf dem Quelldomänencontroller zu initiieren, geben Sie an einer Eingabeaufforderung die folgenden Befehle ein, und drücken Sie dann nach jedem Befehl die EINGABETASTE :

net stop net logon
net start net logon

Um die Registrierung des Host-A-Ressourcendatensatzes manuell zu initiieren, geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

ipconfig /flushdns
ipconfig /registerdns

Warten Sie 15 Minuten, und überprüfen Sie dann Ereignisse in Ereignisanzeige, um die ordnungsgemäße Registrierung der Ressourceneinträge sicherzustellen.

Wiederholen Sie die Prozedur im Abschnitt "Registrierung von Ressourceneinträgen überprüfen" weiter oben in diesem Abschnitt, um zu überprüfen, ob die Ressourceneinträge in DNS angezeigt werden.

Synchronisieren der Replikation zwischen den Quell- und Zieldomänencontrollern

Nachdem Sie DNS-Tests abgeschlossen haben, verwenden Sie das folgende Verfahren, um die Replikation für die eingehende Verbindung vom Quelldomänencontroller mit dem Zieldomänencontroller zu synchronisieren.

Anforderungen:

  • Die Mitgliedschaft in der Gruppe "Domänenadministratoren" in der Domäne des Zieldomänencontrollers oder gleichwertig ist die Mindestanforderung, um dieses Verfahren abzuschließen. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).
  • Tool: Active Directory-Standorte und -Dienste

Schritte zum Synchronisieren der Replikation von einem Quelldomänencontroller

  1. Öffnen Sie Active Directory-Standorte und -Dienste.
  2. Doppelklicken Sie in der Konsolenstruktur auf den Container "Websites ", doppelklicken Sie auf den Standort des Domänencontrollers, mit dem Sie die Replikation synchronisieren möchten, doppelklicken Sie auf den Servercontainer , doppelklicken Sie auf das Serverobjekt des Domänencontrollers, und klicken Sie dann auf NTDS-Einstellungen.
  3. Suchen Sie im Detailbereich in der Spalte "Von Server " das Verbindungsobjekt, das den Namen des Quelldomänencontrollers anzeigt.
  4. Klicken Sie mit der rechten Maustaste auf das entsprechende Verbindungsobjekt, und klicken Sie dann auf "Jetzt replizieren".
  5. Klicken Sie auf OK.

Wenn die Replikation nicht erfolgreich ist, verwenden Sie das Verfahren im folgenden Abschnitt, um die Konsistenz der NTDS-Einstellungs-GUID zu überprüfen.

Überprüfen der Konsistenz der GUID der NTDS-Einstellungen

Wenn Sie alle DNS-Tests und andere Tests ausgeführt haben und die Replikation nicht erfolgreich ist, verwenden Sie das folgende Verfahren, um zu überprüfen, ob die GUID des NTDS-Einstellungsobjekts, das der Zieldomänencontroller verwendet, um seinen Replikationspartner zu finden, der guiD entspricht, die aktuell auf dem Quelldomänencontroller selbst wirksam ist. Um diesen Test durchzuführen, zeigen Sie die Objekt-GUID so an, wie sie in den lokalen Verzeichnissen der einzelnen Domänencontroller angezeigt wird.

Anforderungen:

  • Die Mitgliedschaft in der Gruppe "Domänenadministratoren" in der Domäne des Zieldomänencontrollers oder gleichwertig ist die Mindestanforderung, um dieses Verfahren abzuschließen.
  • Tool: Ldp.exe (Windows-Supporttools)

Schritte zur Überprüfung der Konsistenz der NTDS-Einstellungs-GUID

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "LDP" ein, und klicken Sie dann auf "OK".
  2. Klicken Sie im Menü Verbindung auf Verbinden.
  3. Lassen Sie im Dialogfeld "Verbinden " das Feld "Server " leer.
  4. Geben Sie in Port 389 ein, und klicken Sie dann auf "OK".
  5. Klicken Sie im Menü "Verbindung " auf "Binden".
  6. Geben Sie im Dialogfeld "Binden " Die Anmeldeinformationen für Unternehmensadministratoren an. Wenn sie noch nicht ausgewählt ist, klicken Sie auf "Domäne".
  7. Geben Sie in "Domäne" den Namen der Stammdomäne der Gesamtstruktur ein, und klicken Sie dann auf "OK".
  8. Klicken Sie im Menü "Ansicht" auf "Struktur".
  9. Geben Sie im Dialogfeld "Strukturansicht" CN=Konfiguration,DC=Forest_Root_Domain ein, und klicken Sie dann auf "OK".
  10. Navigieren Sie zum Objekt CN=NTDS Settings,CN=SourceServerName,CN=Servers,CN=SiteName, CN=Sites,CN=configuration,DC=ForestRootDomain.
  11. Doppelklicken Sie auf das NTDS Settings-Objekt . Zeigen Sie im Detailbereich den Wert für das Attribut objectGUID an. Klicken Sie mit der rechten Maustaste auf diesen Wert, und kopieren Sie ihn dann in Editor.
  12. Klicken Sie im Menü "Verbindung" auf " Trennen".
  13. Wiederholen Sie die Schritte 2 bis 11, aber geben Sie in Schritt 3 den Namen des Quelldomänencontrollers ein, z. B. DC03.
  14. Vergleichen Sie in Editor die Werte der beiden GUIDs.
  15. Wenn die Werte nicht übereinstimmen, muss der Zieldomänencontroller die Replikation der gültigen GUID empfangen. Überprüfen Sie den GUID-Wert auf anderen Domänencontrollern, und versuchen Sie die Replikation auf dem Zieldomänencontroller mit einem anderen Domänencontroller mit der richtigen GUID.
  16. Wenn die Werte übereinstimmen, stellen Sie sicher, dass die GUID der GUID in der Dsa_Guid._msdcs entspricht. Dns_Domain_Nameresource Datensatz für den Quelldomänencontroller wie folgt aus:
    1. Beachten Sie die primären DNS-Server, die jeder Domänencontroller in den TCP/IP-Eigenschaften in seinen Netzwerkeinstellungen identifiziert. Alle DNS-Server, die in den jeweiligen TCP/IP-Eigenschaften aufgeführt sind, sollten indirekt oder direkt diesen Aliasressourceneintrag (CNAME) auflösen können.
    2. Identifizieren Sie von den servern, die aufgelistet sind, den autoritativen Namenserver oder server für diese Domänenzone, indem Sie sich die Servernamen ansehen, die für die Namenserver-Ressourceneinträge (NS) im Stammverzeichnis der Zone aufgeführt sind. (Wählen Sie im DNS-Snap-In die Forward-Lookupzone für die Stammdomäne aus, und zeigen Sie dann die Namensservereinträge (NS) im Detailbereich an.)
    3. Öffnen Sie auf dem in Schritt b abgerufenen Namenserver oder -servern das DNS-Snap-In, und doppelklicken Sie auf die Forward-Lookupzone für den Domänennamen der Gesamtstrukturstammdomäne. Doppelklicken Sie auf den ordner _msdcs, und notieren Sie sich die Aliasressourceneinträge (CNAME), die für den Servernamen vorhanden sind.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.