Freigeben über

Active Directory-Replikationsereignis-ID 2087: DNS-Lookupfehler führte zu einem Fehler bei der Replikation

  • Artikel

Dieser Artikel bietet eine Lösung für die Active Directory-Replikationsereignis-ID 2087, die auftritt, wenn ein Dns-Lookupfehler (Domain Name System) zu einem Fehler bei der Replikation führt.

Gilt für: Unterstützte Versionen von Windows Server
Ursprüngliche KB-Nummer: 4469661

Problembeschreibung

Dieses Problem tritt in der Regel auf, wenn ein Dns-Lookupfehler (Domain Name System) zu einem Fehler bei der Replikation führt. Wenn ein Zieldomänencontroller die Ereignis-ID 2087 im Ereignisprotokoll des Verzeichnisdiensts empfängt, sind alle Versuche fehlgeschlagen, den global eindeutigen Bezeichner (GUID) im Ressourcendatensatz des Alias (CNAME), den vollqualifizierten Domänennamen (FQDN) und den NetBIOS-Namen in die IP-Adresse des Quelldomänencontrollers aufzulösen. Wenn der Quellreplikationspartner nicht gefunden wird, wird die Replikation mit dieser Quelle verhindert, bis das Problem behoben ist.

Es folgt ein Beispiel für den Ereignistext:

Protokollname: Verzeichnis
Dienstquelle: Microsoft-Windows-ActiveDirectory_DomainService
Datum: 09.03.2008 11:00:21 Uhr
Ereignis-ID: 2087
Aufgabenkategorie: DS RPC-Client
Ebene: Fehler
Schlüsselwörter: Klassisch
Benutzer: ANONYME ANMELDUNG
Computer: DC3.contoso.com
Beschreibung: Active Directory konnte den folgenden DNS-Hostnamen des Quelldomänencontrollers nicht in eine IP-Adresse auflösen. Dieser Fehler verhindert, dass Ergänzungen, Löschungen und Änderungen in Active Directory Domain Services zwischen einem oder mehreren Domänencontrollern in der Gesamtstruktur repliziert werden. Sicherheitsgruppen, Gruppenrichtlinien, Benutzer und Computer und deren Kennwörter sind zwischen Domänencontrollern inkonsistent, bis dieser Fehler behoben ist, was sich möglicherweise auf die Anmeldeauthentifizierung und den Zugriff auf Netzwerkressourcen auswirkt.

Quelldomänencontroller: DC2
Fehlerhafter DNS-Hostname:
b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.contoso.com
HINWEIS: Standardmäßig werden nur bis zu 10 DNS-Fehler für einen bestimmten Zeitraum von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler auftreten. Um alle einzelnen Fehlerereignisse zu protokollieren, legen Sie den folgenden Diagnose Registrierungswert auf 1 fest:

Registrierungspfad: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Benutzeraktion:

  1. Wenn der Quelldomänencontroller nicht mehr funktioniert oder sein Betriebssystem mit einem anderen Computernamen oder einer anderen NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten des Quelldomänencontrollers mit ntdsutil.exe. Befolgen Sie dazu die schritte im MSKB-Artikel 216498.

  2. Vergewissern Sie sich, dass der Quelldomänencontroller Active Directory Domain Services ausgeführt wird und im Netzwerk zugänglich ist, indem Sie "net view \\<source DC name>" oder "ping <source DC name>" eingeben.

  3. Vergewissern Sie sich, dass der Quelldomänencontroller einen gültigen DNS-Server für DNS-Dienste verwendet und der Hostdatensatz und der CNAME-Eintrag des Quelldomänencontrollers ordnungsgemäß registriert sind. Verwenden Sie dazu die erweiterte DNS-Version von DCDIAG.EXE, die unter verfügbar ist. http://www.microsoft.com/dns
    dcdiag /test:dns

  4. Vergewissern Sie sich, dass dieser Zieldomänencontroller einen gültigen DNS-Server für DNS-Dienste verwendet, indem Sie den Befehl DNS Enhanced version of DCDIAG.EXE auf der Konsole des Zieldomänencontrollers wie folgt ausführen:
    dcdiag /test:dns

  5. Weitere Analysen von DNS-Fehlerfehlern finden Sie unter KB-824449: http://support.microsoft.com/?kbid=824449

Zusätzliche Daten
Fehlerwert: 11004
Der angeforderte Name ist gültig, aber es wurden keine Daten des angeforderten Typs gefunden.

Diagnose

Wenn der aktuelle Aliasressourcendatensatz (CNAME) des Quelldomänencontrollers nicht in eine IP-Adresse aufgelöst werden kann, kann dies die folgenden Ursachen haben:

  • Der Quelldomänencontroller wird ausgeschaltet, ist offline oder befindet sich in einem isolierten Netzwerk, und Active Directory- und DNS-Daten für den Offlinedomänencontroller wurden nicht gelöscht, um anzugeben, dass auf den Domänencontroller nicht zugegriffen werden kann.

  • Eine der folgenden Bedingungen ist vorhanden:

    • Der Quelldomänencontroller hat seine Ressourceneinträge nicht im DNS registriert.
    • Der Zieldomänencontroller ist für die Verwendung eines ungültigen DNS-Servers konfiguriert.
    • Der Quelldomänencontroller ist für die Verwendung eines ungültigen DNS-Servers konfiguriert.
    • Der DNS-Server, den der Quelldomänencontroller verwendet, hostt nicht die richtigen Zonen, oder die Zonen sind nicht so konfiguriert, dass sie dynamische Updates akzeptieren.
    • Die direkten DNS-Server, die der Zieldomänencontroller abfragt, können die IP-Adresse des Quelldomänencontrollers aufgrund nicht vorhandener oder ungültiger Weiterleitungen oder Delegierungen nicht auflösen.

  • Active Directory Domain Services (AD DS) wurde auf dem Quelldomänencontroller entfernt und dann mit derselben IP-Adresse neu installiert, aber die Kenntnis der neuen GUID für NTDS-Einstellungen hat den Zieldomänencontroller nicht erreicht.

  • AD DS wurde auf dem Quelldomänencontroller entfernt und dann mit einer anderen IP-Adresse neu installiert, aber der aktuelle Hostadresse (A)-Ressourceneintrag für die IP-Adresse des Quelldomänencontrollers ist entweder nicht registriert oder ist auf den DNS-Servern, die der Zieldomänencontroller als Folge der Replikationslatenz oder eines Replikationsfehlers abgefragt hat, nicht vorhanden.

  • Das Betriebssystem des Quelldomänencontrollers wurde mit einem anderen Computernamen neu installiert, aber seine Metadaten wurden entweder nicht entfernt oder entfernt und noch nicht vom Zieldomänencontroller inbound-repliziert.

Lösung

Ermitteln Sie zunächst, ob ein Domänencontroller funktioniert. Wenn der Quelldomänencontroller nicht funktioniert, entfernen Sie die verbleibenden Metadaten aus AD DS.

Wenn der Quelldomänencontroller funktioniert, fahren Sie bei Bedarf mit den Verfahren zur Diagnose und Behebung des DNS-Problems fort:

Ermitteln, ob ein Domänencontroller funktioniert

Verwenden Sie den folgenden Test, um zu ermitteln, ob der Quelldomänencontroller funktioniert.

Voraussetzungen:

  • Die Mitgliedschaft in der Gruppe Domänenbenutzer in der Domäne des Domänencontrollers oder einer gleichwertigen Gruppe ist die Mindestanforderung, um dieses Verfahren abzuschließen. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Gruppen.

  • Tool: Netzansicht

Um zu bestätigen, dass auf dem Domänencontroller AD DS ausgeführt wird und im Netzwerk darauf zugegriffen werden kann, geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

net view \\<SourceDomainControllerName>

Dabei <ist SourceDomainControllerName> der NetBIOS-Name des Domänencontrollers.

Dieser Befehl zeigt die Netlogon- und SYSVOL-Freigaben an, um anzugeben, dass der Server als Domänencontroller funktioniert. Wenn dieser Test zeigt, dass der Domänencontroller im Netzwerk nicht funktioniert, bestimmen Sie die Art der Trennung und ob der Domänencontroller wiederhergestellt werden kann oder ob seine Metadaten manuell aus AD DS entfernt werden müssen. Wenn der Domänencontroller nicht funktioniert und nicht wiederhergestellt werden kann, verwenden Sie das Verfahren im folgenden Abschnitt Bereinigen der Domänencontrollermetadaten, um die Daten, die diesem Server zugeordnet sind, aus AD DS zu löschen.

Bereinigen von Domänencontrollermetadaten

Wenn Tests zeigen, dass der Domänencontroller nicht mehr funktioniert, Sie aber weiterhin Objekte sehen, die den Domänencontroller im Snap-In Active Directory-Standorte und -Dienste darstellen, wird weiterhin versucht, die Replikation durchzuführen, und Sie müssen diese Objekte manuell aus AD DS entfernen. Sie müssen das Active Directory-Benutzer und -Computer-Snap-In oder das Ntdsutil-Tool verwenden, um die Metadaten für den nicht mehr verwendeten Domänencontroller zu sauber (löschen).

Wenn der veraltete Domänencontroller der letzte Domänencontroller in der Domäne ist, sollten Sie auch die Metadaten für die Domäne entfernen. Lassen Sie ausreichend Zeit für alle globalen Katalogserver in der Gesamtstruktur ein, um die Domänenlöschung eingehend zu replizieren, bevor Sie eine neue Domäne mit demselben Namen heraufstufen.

Der Prozess zum Bereinigen von Metadaten wurde in der Version von Ntdsutil verbessert, die in jeder unterstützten Version von Windows Server enthalten ist. Anweisungen zum Bereinigen von Metadaten mit Ntdsutil finden Sie im folgenden Verfahren.

Voraussetzungen:

  • Die Mitgliedschaft in Unternehmensadministratoren oder einer gleichwertigen Version ist die Mindestanforderung, um dieses Verfahren abzuschließen. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Gruppen.
  • Tool: Ntdsutil (System32-Befehlszeilentool)

Schritte zum sauber servermetadaten

Eine praktische Methode zum sauber der Metadaten des Domänencontrollers ist die Verwendung des Active Directory-Benutzer und -Computer-Snap-Ins. Weitere Informationen finden Sie unter:

Alternativ können Sie Ntdsutil verwenden:

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.

  2. Geben Sie an der Eingabeaufforderung den Befehl ein ntdsutil , und drücken Sie dann die EINGABETASTE.

  3. Geben Sie an der Ntdsutil-Eingabeaufforderung den metadata cleanup Befehl ein, und drücken Sie dann die EINGABETASTE.

  4. Führen Sie die Metadatenbereinigung wie folgt aus:

    Hinweis

    Wenn Sie Domänenmetadaten sowie Servermetadaten entfernen, überspringen Sie das folgende Verfahren, und verwenden Sie die Prozedur, die bei Schritt 1 beginnt.

    • Wenn Sie nur die Servermetadatenbereinigung durchführen und die Version von Ntdsutil.exe verwenden, die in einer unterstützten Version von Windows Server enthalten ist, geben Sie an der metadata cleanup: Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      remove selected server <ServerName>

      Oder

      remove selected server <ServerName1> on <ServerName2>
      Parameter Beschreibung
      <ServerName>, <ServerName1> Der Distinguished Name des Domänencontrollers, dessen Metadaten Sie entfernen möchten, im Format cn=<ServerName,cn>=Servers,cn=<SiteName>, cn=Sites,cn=Configuration,dc=<ForestRootDomain>
      <ServerName2> Der DNS-Name des Domänencontrollers, mit dem Sie eine Verbindung herstellen möchten und von dem Sie Servermetadaten entfernen möchten.

    • Wenn Sie die Metadatenbereinigung mit der Version von Ntdsutil.exe durchführen oder wenn Sie sowohl die Domänenmetadatenbereinigung als auch die Servermetadatenbereinigung durchführen, führen Sie die Metadatenbereinigung wie folgt aus:

      1. Geben Sie an der metadata cleanup: Eingabeaufforderung den connection Befehl ein, und drücken Sie dann die EINGABETASTE.
      2. Geben Sie an der server connections: Eingabeaufforderung den connect to server <Server> Befehl ein, und drücken Sie dann die EINGABETASTE.
      3. Geben Sie an der connection: Eingabeaufforderung den quit Befehl ein, und drücken Sie dann die EINGABETASTE.
      4. Geben Sie an der metadata cleanup: Eingabeaufforderung den select operation target Befehl ein, und drücken Sie dann die EINGABETASTE.
      5. Geben Sie an der select operation target: Eingabeaufforderung den list sites Befehl ein, und drücken Sie dann die EINGABETASTE.
      6. Eine nummerierte Liste von Websites wird angezeigt. Geben Sie den select site <SiteNumber> Befehl ein, und drücken Sie dann die EINGABETASTE.
      7. Geben Sie an der select operation target: Eingabeaufforderung den list domains in site Befehl ein, und drücken Sie dann die EINGABETASTE.
      8. Eine nummerierte Liste der Domänen auf der ausgewählten Website wird angezeigt. Geben Sie den select domain <DomainNumber> Befehl ein, und drücken Sie dann die EINGABETASTE.
      9. Geben Sie an der select operation target: Eingabeaufforderung den list servers in site Befehl ein, und drücken Sie dann die EINGABETASTE.
      10. Eine nummerierte Liste von Servern in einer Domäne und einem Standort wird angezeigt. Geben Sie den select server <ServerNumber> Befehl ein, und drücken Sie dann die EINGABETASTE.
      11. Geben Sie an der select operation target: Eingabeaufforderung den quit Befehl ein, und drücken Sie dann die EINGABETASTE.
      12. Geben Sie an der metadata cleanup: Eingabeaufforderung den remove selected server Befehl ein, und drücken Sie dann die EINGABETASTE.
      13. Wenn der Server, dessen Metadaten Sie entfernt haben, der letzte Domänencontroller in der Domäne ist und Sie die Domänenmetadaten entfernen möchten, geben Sie an der metadata cleanup: Eingabeaufforderung den remove selected domain Befehl ein, und drücken Sie dann die EINGABETASTE. Metadaten für die Domäne, die Sie in Schritt h ausgewählt haben, werden entfernt.
      14. Geben Sie an den metadata cleanup: Eingabeaufforderungen und ntdsutil: ein quit, und drücken Sie dann die EINGABETASTE.
      Parameter Beschreibung
      <Server> Der DNS-Name eines Domänencontrollers, mit dem Sie eine Verbindung herstellen möchten.
      <SiteNumber> Die Nummer, die dem Standort des Servers zugeordnet ist, den Sie sauber möchten, die in der Liste angezeigt wird.
      <DomainNumber> Die Nummer, die der Domäne des Servers zugeordnet ist, den Sie sauber möchten, die in der Liste angezeigt wird.
      <ServerNummer> Die Nummer, die dem Server zugeordnet ist, den Sie sauber möchten, die in der Liste angezeigt wird.

Verwenden von Dcdiag zum Diagnostizieren von DNS-Problemen

Wenn der Domänencontroller online funktioniert, fahren Sie mit dem Dcdiag-Tool fort, um DNS-Probleme zu diagnostizieren und zu beheben, die möglicherweise die Active Directory-Replikation beeinträchtigen.

Führen Sie die folgenden Verfahren aus, um diesen Prozess abzuschließen:

Bevor Sie mit diesen Verfahren beginnen, sammeln Sie die folgenden Informationen, die im Meldungstext ereignis-ID 2087 enthalten sind:

  • Der FQDN des Quelldomänencontrollers und des Zieldomänencontrollers
  • Die IP-Adresse des Quelldomänencontrollers

Die aktualisierte Version von Dcdiag, die in jeder unterstützten Version von Windows Server enthalten ist, enthält Tests, die ein konsolidiertes und verbessertes Testen grundlegender und erweiterter DNS-Features ermöglichen. Sie können dieses Tool verwenden, um grundlegende DNS-Funktionen und dynamische Updates zu diagnostizieren.

Wenn Sie Dcdiag für DNS-Tests verwenden, gelten bestimmte Anforderungen, die nicht für alle Dcdiag-Tests gelten.

Voraussetzungen:

  • Die Mitgliedschaft in Unternehmensadministratoren oder einer gleichwertigen Version ist die Mindestanforderung, um die DNS-Tests abzuschließen. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Gruppen.
  • Tool: Dcdiag.exe
  • Betriebssystem: alle unterstützten Versionen von Windows Server oder Client mit Remoteserver-Verwaltungstools (RSAT)

Hinweis

Sie können den /f: Schalter in Dcdiag-Befehlen verwenden, um die Ausgabe in einer Textdatei zu speichern. Verwenden Sie /f: FileName , um die Datei an dem Speicherort zu generieren, der in FileName angegeben ist, z. B /f:c:\Test\DnsTest.txt. .

Überprüfen der grundlegenden DNS-Funktionalität

Um die Einstellungen zu überprüfen, die die Active Directory-Replikation beeinträchtigen könnten, können Sie zunächst den grundlegenden DNS-Test ausführen, der sicherstellt, dass DNS auf dem Domänencontroller ordnungsgemäß funktioniert.

Der grundlegende DNS-Test überprüft Folgendes:

  • Konnektivität: Der Test bestimmt, ob Domänencontroller in DNS registriert sind, von PING kontaktiert werden können und über LDAP/RPC-Konnektivität (Lightweight Directory Access Protocol/Remote Procedure Call) verfügen. Wenn der Konnektivitätstest auf einem Domänencontroller fehlschlägt, werden keine weiteren Tests für diesen Domänencontroller ausgeführt. Der Konnektivitätstest wird automatisch ausgeführt, bevor ein anderer DNS-Test ausgeführt wird.

  • Wichtige Dienste: Der Test bestätigt, dass die folgenden Dienste ausgeführt werden und auf dem getesteten Domänencontroller verfügbar sind:

    • DNS-Clientdienst
    • Net-Anmeldedienst
    • KDC-Dienst (Key Distribution Center)
    • DNS-Serverdienst (wenn DNS auf dem Domänencontroller installiert ist)

  • DNS-Clientkonfiguration: Der Test bestätigt, dass DNS-Server auf allen Adaptern erreichbar sind.

  • Ressourceneintragsregistrierungen: Der Test bestätigt, dass der Host (A)-Ressourceneintrag jedes Domänencontrollers auf mindestens einem der DNS-Server registriert ist, der auf dem Client konfiguriert ist.

  • Zone und Start der Autorität (SOA): Wenn der Domänencontroller den DNS-Serverdienst ausführt, bestätigt der Test, dass die Active Directory-Domänenzone und der SoA-Ressourceneintrag (Start of Authority) für die Active Directory-Domänenzone vorhanden sind.

  • Stammzone: Überprüft, ob die Stammzone (.) vorhanden ist.

Schritte zum Überprüfen der grundlegenden DNS-Funktionalität

  1. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    dcdiag /test:dns /s:<SourceDomainControllerName> /DnsBasic

    Dabei <ist SourceDomainControllerName> der Distinguished Name, NetBIOS-Name oder DNS-Name des Domänencontrollers.

    Alternativ können Sie alle Domänencontroller in der Gesamtstruktur testen, indem Sie anstelle von /s:eingeben/e:.

  2. Kopieren Sie den Bericht in editor oder einen entsprechenden Text-Editor.

  3. Scrollen Sie zur Tabelle Zusammenfassung am unteren Rand der Dcdiag-Protokolldatei.

  4. Notieren Sie sich die Namen aller Domänencontroller, die "Warn" oder "Fail" status in der Zusammenfassungstabelle melden.

  5. Suchen Sie nach der Zeichenfolge "DC: <DomainControllerName>" nach dem detaillierten Breakout-Abschnitt für den Problemdomänencontroller.

  6. Nehmen Sie die erforderlichen Konfigurationsänderungen auf DNS-Clients und DNS-Servern vor.

  7. Führen Sie zum Überprüfen der Konfigurationsänderungen erneut Dcdiag /test:DNS mit dem /e: Schalter oder /s: aus.

Wenn der grundlegende DNS-Test keine Fehler anzeigt, überprüfen Sie, ob Ressourceneinträge, die zum Auffinden von Domänencontrollern verwendet werden, im DNS registriert sind.

Überprüfen der Ressourcendatensatzregistrierung

Der Zieldomänencontroller verwendet den Ressourceneintrag dns alias (CNAME), um den Replikationspartner des Quelldomänencontrollers zu suchen. Domänencontroller können zwar Quellreplikationspartner mithilfe von FQDNs (oder, falls dies fehlschlägt, NetBIOS-Namen) finden, das Vorhandensein des Aliasressourceneintrags (CNAME) ist jedoch zu erwarten und sollte für die ordnungsgemäße DNS-Funktion überprüft werden.

Sie können Dcdiag verwenden, um die Registrierung aller Ressourcendatensätze zu überprüfen, die für den Domänencontrollerstandort wichtig sind, indem Sie den dcdiag /test:dns /DnsRecordRegistration Test verwenden. Dieser Test überprüft die Registrierung der folgenden Ressourceneinträge im DNS:

  • Der Alias (CNAME) (der GUID-basierte Ressourcendatensatz, der einen Replikationspartner sucht)
  • Der Host (A) (der Hostressourceneintrag, der die IP-Adresse des Domänencontrollers enthält)
  • LDAP SRV (die Ressourceneinträge des Diensts (SRV), die LDAP-Server suchen)
  • GC SRV (die Dienstressourceneinträge (SRV), die globale Katalogserver suchen)
  • PDC SRV (Die Dienstressourceneinträge (SRV), die pdc-Emulatorvorgänge (Primary Domain Controller, PDC) finden)

Alternativ können Sie das folgende Verfahren verwenden, um nur nach dem Aliasressourcendatensatz (CNAME) zu suchen.

Schritte zum Überprüfen der Alias-Ressourceneintragsregistrierung (CNAME)

  1. Suchen Sie im DNS-Snap-In einen beliebigen Domänencontroller, auf dem der DNS-Serverdienst ausgeführt wird, auf dem der Server die DNS-Zone mit demselben Namen wie die Active Directory-Domäne des Domänencontrollers hostet.

  2. Klicken Sie in der Konsolenstruktur auf die Zone mit dem Namen _msdcs. Dns_Domain_Name.

    Hinweis

    In Windows 2000 Server DNS _msdcs. Dns_Domain_Name ist eine Unterdomäne der DNS-Zone für den Active Directory-Domänennamen. In Windows Server 2003 DNS _msdcs. Dns_Domain_Name ist eine separate Zone.

  3. Vergewissern Sie sich im Detailbereich, dass die folgenden Ressourcendatensätze vorhanden sind:

    • Ein Aliasressourcendatensatz (CNAME), der Dsa_Guid._msdcs heißt. Dns_Domain_Name
    • Ein entsprechender Hostressourceneintrag (A) für den Namen des DNS-Servers

Wenn der Aliasressourceneintrag (CNAME) nicht registriert ist, überprüfen Sie, ob dynamische Updates ordnungsgemäß funktionieren. Verwenden Sie den Test im folgenden Abschnitt.

Überprüfen dynamischer Updates

Wenn der grundlegende DNS-Test zeigt, dass Ressourceneinträge im DNS nicht vorhanden sind, verwenden Sie den dynamischen Updatetest, um zu diagnostizieren, warum der Net Logon-Dienst die Ressourceneinträge nicht automatisch registriert hat. Gehen Sie wie folgt vor, um zu überprüfen, ob die Active Directory-Domänenzone so konfiguriert ist, dass sie sichere dynamische Updates akzeptiert und die Registrierung eines Testdatensatzes (_dcdiag_test_record) durchführt. Der Testdatensatz wird nach dem Test automatisch gelöscht.

Geben Sie zum Überprüfen dynamischer Updates an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

dcdiag /test:dns /s:<SourceDomainControllerName> /DnsDynamicUpdate

Dabei <ist SourceDomainControllerName> der Distinguished Name, NetBIOS-Name oder DNS-Name des Domänencontrollers.

Alternativ können Sie alle Domänencontroller testen, indem Sie den /e: Switch anstelle des /s: Switches verwenden.

Wenn das sichere dynamische Update nicht konfiguriert ist, gehen Sie wie folgt vor, um es zu konfigurieren.

Aktivieren sicherer dynamischer Updates

  1. Öffnen Sie das DNS-Snap-In.
  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die entsprechende Zone, und klicken Sie dann auf Eigenschaften.
  3. Überprüfen Sie auf der Registerkarte Allgemein , ob der Zonentyp Active Directory-integriert ist.
  4. Klicken Sie unter Dynamische Updates auf Nur Sicher.

Registrieren von DNS-Ressourceneinträgen

Wenn DNS-Ressourceneinträge nicht im DNS für den Quelldomänencontroller angezeigt werden, Sie dynamische Updates überprüft haben und DNS-Ressourceneinträge sofort registrieren möchten, können Sie die Registrierung mithilfe des folgenden Verfahrens manuell erzwingen. Der Net Logon-Dienst auf einem Domänencontroller registriert die DNS-Ressourceneinträge, die erforderlich sind, damit sich der Domänencontroller im Netzwerk befindet. Der DNS-Clientdienst registriert den Host (A)-Ressourceneintrag, auf den der Aliaseintrag (CNAME) verweist.

Voraussetzungen:

  • Die Mitgliedschaft in der Gruppe "Domänenadministratoren" in der Stammdomäne der Gesamtstruktur oder der Gruppe "Unternehmensadministratoren" oder einer gleichwertigen Gruppe ist die Mindestanforderung, um dieses Verfahren abzuschließen.
  • Tools: net stop/net start, ipconfig

Manuelles Registrieren von DNS-Ressourceneinträgen

Um die Registrierung von Domänencontrollerlocatorressourceneinträgen manuell auf dem Quelldomänencontroller zu initiieren, geben Sie an einer Eingabeaufforderung die folgenden Befehle ein, und drücken Sie dann nach jedem Befehl die EINGABETASTE :

net stop net logon
net start net logon

Um die Registrierung des Host-A-Ressourceneintrags manuell zu initiieren, geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

ipconfig /flushdns
ipconfig /registerdns

Warten Sie 15 Minuten, und überprüfen Sie dann ereignisse in Ereignisanzeige, um eine ordnungsgemäße Registrierung der Ressourcendatensätze sicherzustellen.

Wiederholen Sie das Verfahren im Abschnitt Überprüfen der Ressourcendatensatzregistrierung weiter oben in diesem Abschnitt, um zu überprüfen, ob die Ressourceneinträge im DNS angezeigt werden.

Synchronisieren der Replikation zwischen den Quell- und Zieldomänencontrollern

Nachdem Sie die DNS-Tests abgeschlossen haben, führen Sie das folgende Verfahren aus, um die Replikation für die eingehende Verbindung vom Quelldomänencontroller mit dem Zieldomänencontroller zu synchronisieren.

Voraussetzungen:

  • Die Mitgliedschaft in der Gruppe "Domänenadministratoren" in der Domäne des Zieldomänencontrollers oder einer entsprechenden Gruppe ist die Mindestanforderung, um dieses Verfahren abzuschließen. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Gruppen.
  • Tool: Active Directory-Standorte und -Dienste

Schritte zum Synchronisieren der Replikation von einem Quelldomänencontroller

  1. Öffnen Sie „Active Directory-Standorte und -Dienste“.
  2. Doppelklicken Sie in der Konsolenstruktur auf den Container Standorte , doppelklicken Sie auf den Standort des Domänencontrollers, mit dem Sie die Replikation synchronisieren möchten, doppelklicken Sie auf den Container Server , doppelklicken Sie auf das Serverobjekt des Domänencontrollers, und klicken Sie dann auf NTDS-Einstellungen.
  3. Suchen Sie im Detailbereich in der Spalte Von Server nach dem Verbindungsobjekt, das den Namen des Quelldomänencontrollers anzeigt.
  4. Klicken Sie mit der rechten Maustaste auf das entsprechende Verbindungsobjekt, und klicken Sie dann auf Jetzt replizieren.
  5. Klicken Sie auf OK.

Wenn die Replikation nicht erfolgreich ist, verwenden Sie das Verfahren im folgenden Abschnitt, um die Konsistenz der GUID für NTDS-Einstellungen zu überprüfen.

Überprüfen der Konsistenz der GUID für NTDS-Einstellungen

Wenn Sie alle DNS-Tests und andere Tests durchgeführt haben und die Replikation nicht erfolgreich ist, verwenden Sie das folgende Verfahren, um zu überprüfen, ob die GUID des NTDS-Einstellungsobjekts, das der Zieldomänencontroller verwendet, um seinen Replikationspartner zu suchen, der GUID entspricht, die derzeit auf dem Quelldomänencontroller selbst wirksam ist. Um diesen Test durchzuführen, zeigen Sie die Objekt-GUID so an, wie sie in den lokalen Verzeichnissen jedes Domänencontrollers angezeigt wird.

Voraussetzungen:

  • Die Mitgliedschaft in der Gruppe "Domänenadministratoren" in der Domäne des Zieldomänencontrollers oder einer entsprechenden Gruppe ist die Mindestanforderung, um dieses Verfahren abzuschließen.
  • Tool: Ldp.exe (Windows-Supporttools)

Schritte zum Überprüfen der Konsistenz der GUID für NTDS-Einstellungen

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Ldp ein, und klicken Sie dann auf OK.
  2. Klicken Sie im Menü Verbindung auf Verbinden.
  3. Lassen Sie im Dialogfeld Verbinden das Feld Server leer.
  4. Geben Sie unter Portden Wert 389 ein, und klicken Sie dann auf OK.
  5. Klicken Sie im Menü Verbindung auf Binden.
  6. Geben Sie im Dialogfeld Binden die Anmeldeinformationen für Unternehmensadministratoren an. Wenn sie noch nicht ausgewählt ist, klicken Sie auf Domäne.
  7. Geben Sie unter Domäne den Namen der Stammdomäne der Gesamtstruktur ein, und klicken Sie dann auf OK.
  8. Klicken Sie im Menü Ansicht auf Struktur.
  9. Geben Sie im Dialogfeld StrukturansichtCN=Configuration,DC=Forest_Root_Domain ein, und klicken Sie dann auf OK.
  10. Navigieren Sie zum Objekt CN=NTDS Settings,CN=SourceServerName,CN=Servers,CN=SiteName, CN=Sites,CN=configuration,DC=ForestRootDomain.
  11. Doppelklicken Sie auf das Objekt NTDS-Einstellungen . Zeigen Sie im Detailbereich den Wert für das Attribut objectGUID an. Klicken Sie mit der rechten Maustaste auf diesen Wert, und kopieren Sie ihn dann in Editor.
  12. Klicken Sie im Menü Verbindung auf Trennen.
  13. Wiederholen Sie die Schritte 2 bis 11, geben Sie in Schritt 3 jedoch den Namen des Quelldomänencontrollers ein, z. B. DC03.
  14. Vergleichen Sie im Editor die Werte der beiden GUIDs.
  15. Wenn die Werte nicht übereinstimmen, muss der Zieldomänencontroller die Replikation der gültigen GUID empfangen. Überprüfen Sie den GUID-Wert auf anderen Domänencontrollern, und versuchen Sie die Replikation auf dem Zieldomänencontroller mit einem anderen Domänencontroller, der über die richtige GUID verfügt.
  16. Wenn die Werte übereinstimmen, überprüfen Sie, ob die GUID mit der GUID im Dsa_Guid._msdcs übereinstimmt. Dns_Domain_Nameresource Datensatz für den Quelldomänencontroller wie folgt aus:
    1. Beachten Sie die primären DNS-Server, die jeder Domänencontroller in den TCP/IP-Eigenschaften in seinen Netzwerkeinstellungen identifiziert. Alle DNS-Server, die in den jeweiligen TCP/IP-Eigenschaften aufgeführt sind, sollten in der Lage sein, diesen Aliasressourceneintrag (CNAME) indirekt oder direkt aufzulösen.
    2. Identifizieren Sie auf den aufgeführten Servern den bzw. die maßgeblichen Namenserver für diese Domänenzone, indem Sie sich die Servernamen ansehen, die für die Namenserverressourceneinträge (NS) im Stamm der Zone aufgeführt sind. (Wählen Sie im DNS-Snap-In die Forward-Lookupzone für die Stammdomäne aus, und zeigen Sie dann die Namenservereinträge (NS) im Detailbereich an.)
    3. Öffnen Sie auf dem bzw. den in Schritt b abgerufenen Namenservern das DNS-Snap-In, und doppelklicken Sie auf die Forward-Lookupzone für den Stammdomänennamen der Gesamtstruktur. Doppelklicken Sie auf den Ordner _msdcs, und notieren Sie sich die Aliasressourceneinträge (CNAME), die für Ihren Servernamen vorhanden sind.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.