Идентификатор события репликации Active Directory 2087: сбой подстановки DNS привел к сбою репликации

В этой статье представлено решение для идентификатора события репликации Active Directory 2087, возникающего при сбое подстановки системы доменных имен (DNS), что приводит к сбою репликации.

Область применения: поддерживаемые версии Windows Server
Исходный номер базы знаний: 4469661

Симптомы

Эта проблема обычно возникает, когда сбой подстановки системы доменных имен (DNS) приводит к сбою репликации. Когда контроллер домена назначения получает идентификатор события 2087 в журнале событий службы каталогов, пытается разрешить глобальный уникальный идентификатор (GUID) в записи ресурса псевдонима (CNAME), полное доменное имя (FQDN) и имя NetBIOS для IP-адреса исходного контроллера домена завершилось сбоем. Не удалось найти исходного партнера репликации, чтобы предотвратить репликацию с этим источником, пока не будет устранена проблема.

Ниже приведен пример текста события.

Имя журнала: каталог
Источник службы: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 3.9.2008 11:00:21
Идентификатор события: 2087
Категория задач: клиент RPC DS
Уровень: ошибка
Ключевые слова: классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: DC3.contoso.com
Описание. Active Directory не удалось разрешить следующее DNS-имя узла исходного контроллера домена IP-адресу. Эта ошибка предотвращает добавление, удаление и изменения в службах домен Active Directory от репликации между одним или несколькими контроллерами домена в лесу. Группы безопасности, групповая политика, пользователи и компьютеры и пароли будут несогласованы между контроллерами домена до устранения этой ошибки, что может повлиять на проверку подлинности входа и доступ к сетевым ресурсам.

Исходный контроллер домена: DC2
Сбой имени узла DNS:
b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.contoso.com
ПРИМЕЧАНИЕ. По умолчанию отображаются только до 10 сбоев DNS для любого заданного 12-часового периода, даже если происходит более 10 сбоев. Чтобы регистрировать все отдельные события сбоя, задайте для следующего значения реестра значение 1 диагностика:

Путь к реестру: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Действие пользователя:

1. Если исходный контроллер домена больше не работает, или операционная система была переустановлена с другим именем компьютера или GUID объекта NTDSDSA, удалите метаданные исходного контроллера домена с ntdsutil.exe, выполнив действия, описанные в статье MSKB 216498.

2. Убедитесь, что исходный контроллер домена работает домен Active Directory Services и доступен в сети, введя "net view \\<source DC name>" или "ping <source DC name>".

3. Убедитесь, что исходный контроллер домена использует допустимый DNS-сервер для служб DNS, и правильно ли зарегистрирована запись узла исходного контроллера домена и запись CNAME с использованием расширенной версии DNS DCDIAG.EXE доступной в http://www.microsoft.com/dns
   dcdiag /test:dns

4. Убедитесь, что этот целевой контроллер домена использует допустимый DNS-сервер для служб DNS, выполнив расширенную версию DNS DCDIAG.EXE на консоли целевого контроллера домена, как показано ниже.
   dcdiag /test:dns

5. Дополнительные сведения об ошибках DNS см. в 824449 базы знаний: http://support.microsoft.com/?kbid=824449

Дополнительные данные
Значение ошибки: 11004
Запрошенное имя допустимо, но данные запрошенного типа не найдены.

Diagnosis

Сбой разрешения текущей записи ресурсов псевдонима (CNAME) исходного контроллера домена на IP-адрес может иметь следующие причины:

• Исходный контроллер домена отключен, находится в автономном режиме или находится в изолированной сети, а данные Active Directory и DNS для автономного контроллера домена не удалены, чтобы указать, что контроллер домена недоступен.

• Существует одно из следующих условий:

  • Исходный контроллер домена не зарегистрировал свои записи ресурсов в DNS.
  • Контроллер домена назначения настроен для использования недопустимого DNS-сервера.
  • Исходный контроллер домена настроен на использование недопустимого DNS-сервера.
  • DNS-сервер, который использует исходный контроллер домена, не размещает правильные зоны, или зоны не настроены для принятия динамических обновлений.
  • Прямые DNS-серверы, запрашиваемые контроллером домена назначения, не могут разрешать IP-адрес исходного контроллера домена в результате несуществующих или недопустимых пересылки или делегирований.

• домен Active Directory службы (AD DS) были удалены на исходном контроллере домена, а затем переустановили с тем же IP-адресом, но знание нового GUID параметров NTDS не достигло конечного контроллера домена.

• AD DS был удален на исходном контроллере домена, а затем переустановлен с другим IP-адресом, но текущая запись ресурса узла (A) для IP-адреса исходного контроллера домена либо не зарегистрирована, либо не существует на DNS-серверах, которые контроллер домена назначения запрашивает в результате задержки репликации или ошибки репликации.

• Операционная система исходного контроллера домена была переустановлена с другим именем компьютера, но ее метаданные либо не удалены или удалены, но еще не реплицированы контроллером целевого домена.

Решение

Сначала определите, работает ли контроллер домена. Если исходный контроллер домена не работает, удалите оставшиеся метаданные из AD DS.

Если исходный контроллер домена работает, продолжайте выполнять процедуры для диагностики и решения проблемы DNS по мере необходимости:

• Используйте Dcdiag для диагностики проблем DNS.
• Регистрация записей ресурсов службы DNS (SRV) и записей узлов.
• Синхронизация репликации между контроллерами исходного и целевого домена.
• Проверьте согласованность GUID параметров NTDS.

Определение того, работает ли контроллер домена

Чтобы определить, работает ли исходный контроллер домена, используйте следующий тест.

Требования:

• Членство в группе "Пользователи домена" в домене контроллера домена или эквивалента является минимальным требованием для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

• Инструмент: net view

Чтобы убедиться, что контроллер домена работает с AD DS и доступен в сети, в командной строке введите следующую команду и нажмите клавишу ВВОД:

net view \\<SourceDomainControllerName>

Где <SourceDomainControllerName> — это имя NetBIOS контроллера домена.

Эта команда отображает общие папки Netlogon и SYSVOL, указывающие, что сервер работает в качестве контроллера домена. Если этот тест показывает, что контроллер домена не работает в сети, определите характер отключения и можно ли восстановить контроллер домена или удалить метаданные из AD DS вручную. Если контроллер домена не работает и не может быть восстановлен, используйте процедуру в следующем разделе, чтобы очистить метаданные контроллера домена, чтобы удалить данные, связанные с этим сервером из AD DS.

Очистка метаданных контроллера домена

Если тесты показывают, что контроллер домена больше не работает, но вы по-прежнему видите объекты, представляющие контроллер домена в оснастке "Сайты и службы Active Directory", репликация будет продолжать пытаться, и необходимо удалить эти объекты из AD DS вручную. Для очистки (удаления) метаданных для контроллера домена необходимо использовать оснастку Пользователи и компьютеры Active Directory или средство Ntdsutil.

Если контроллер домена является последним контроллером домена в домене, необходимо также удалить метаданные для домена. Предоставьте достаточно времени для всех серверов глобального каталога в лесу для входящего репликации удаления домена, прежде чем продвигать новый домен с одинаковым именем.

Процесс очистки метаданных улучшается в версии Ntdsutil, включенной в любую поддерживаемую версию Windows Server. Инструкции по очистке метаданных с помощью Ntdsutil приведены в следующей процедуре.

Требования:

• Членство в корпоративных администраторах или эквивалентном условии является минимальным требованием для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
• Инструмент: Ntdsutil (программа командной строки System32)

Действия по очистке метаданных сервера

Удобный способ очистки метаданных контроллера домена — использование оснастки Пользователи и компьютеры Active Directory. Дополнительные сведения см. в разделе:

• Пошаговые инструкции. Удаление сервера контроллера домена вручную
• Очистка метаданных сервера контроллера домен Active Directory

Кроме того, можно использовать Ntdsutil:

1. Откройте командную строку с повышенными привилегиями.

2. В командной строке введите ntdsutil команду и нажмите клавишу ВВОД.

3. В командной строке ntdsutil введите metadata cleanup команду и нажмите клавишу ВВОД.

4. Выполните очистку метаданных следующим образом:

   Примечание.

   Если вы удаляете метаданные домена, а также метаданные сервера, пропустите следующую процедуру и используйте процедуру, которая начинается на шаге 1.

   • Если выполняется очистка метаданных сервера и используется версия Ntdsutil.exe, включенная в поддерживаемую версию Windows Server, в metadata cleanup: командной строке введите следующую команду и нажмите клавишу ВВОД:

     remove selected server <ServerName>
     

     Or

     remove selected server <ServerName1> on <ServerName2>
     

     Параметр	Описание
     <ServerName>, <ServerName1>	Различающееся имя контроллера домена, метаданные которого необходимо удалить, в форме cn=<ServerName,cn=Servers,cn=<SiteName>>, cn=Sites,cn=Configuration,dc=<ForestRootDomain>
     <ServerName2>	DNS-имя контроллера домена, к которому требуется подключиться, и из которого требуется удалить метаданные сервера.

   • Если выполняется очистка метаданных с помощью версии Ntdsutil.exe или если выполняется очистка метаданных домена и очистка метаданных сервера, выполните очистку метаданных следующим образом:

     1. В командной строке metadata cleanup: введите команду и нажмите клавишу ВВОД.connection
     2. В командной строке server connections: введите команду и нажмите клавишу ВВОД.connect to server <Server>
     3. В командной строке connection: введите команду и нажмите клавишу ВВОД.quit
     4. В командной строке metadata cleanup: введите команду и нажмите клавишу ВВОД.select operation target
     5. В командной строке select operation target: введите команду и нажмите клавишу ВВОД.list sites
     6. Появится нумерованный список сайтов. select site <SiteNumber> Введите команду и нажмите клавишу ВВОД.
     7. В командной строке select operation target: введите команду и нажмите клавишу ВВОД.list domains in site
     8. Появится нумерованный список доменов на выбранном сайте. select domain <DomainNumber> Введите команду и нажмите клавишу ВВОД.
     9. В командной строке select operation target: введите команду и нажмите клавишу ВВОД.list servers in site
     10. Отображается нумерованный список серверов в домене и сайте. select server <ServerNumber> Введите команду и нажмите клавишу ВВОД.
     11. В командной строке select operation target: введите команду и нажмите клавишу ВВОД.quit
     12. В командной строке metadata cleanup: введите команду и нажмите клавишу ВВОД.remove selected server
     13. Если сервер, метаданные которого удалены, является последним контроллером домена в домене, и вы хотите удалить метаданные домена в командной строке, metadata cleanup: введите remove selected domain команду и нажмите клавишу ВВОД. Метаданные для домена, выбранного на шаге h, удаляются.
     14. metadata cleanup: Введите quitи ntdsutil: нажмите клавишу ВВОД.

     Параметр	Описание
     <Сервер>	DNS-имя контроллера домена, к которому требуется подключиться.
     <SiteNumber>	Номер, связанный с сайтом сервера, который требуется очистить, который отображается в списке.
     <DomainNumber>	Номер, связанный с доменом сервера, который требуется очистить, который отображается в списке.
     <ServerNumber>	Номер, связанный с сервером, который требуется очистить, который отображается в списке.

Диагностика проблем DNS с помощью Dcdiag

Если контроллер домена работает в Сети, продолжайте использовать средство Dcdiag для диагностики и устранения проблем DNS, которые могут препятствовать репликации Active Directory.

Для выполнения этого процесса используйте следующие процедуры:

• Проверьте подключение и основные функции DNS.
• Проверьте регистрацию записи ресурсов псевдонима (CNAME) в DNS.
• Проверьте динамические обновления и включите безопасные динамические обновления.

Прежде чем начать эти процедуры, соберите следующие сведения, содержащиеся в тексте сообщения Event ID 2087:

• Полное доменное имя исходного контроллера домена и целевого контроллера домена
• IP-адрес исходного контроллера домена

Обновленная версия Dcdiag, включенная в любую поддерживаемую версию Windows Server, содержит тесты, обеспечивающие консолидированное и улучшенное тестирование основных и расширенных функций DNS. Это средство можно использовать для диагностики основных функций DNS и динамических обновлений.

При использовании Dcdiag для тестирования DNS существуют определенные требования, которые не применяются ко всем тестам Dcdiag.

Требования:

• Членство в корпоративных администраторах или эквивалентном является минимальным требованием для выполнения тестов DNS. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
• Инструмент: Dcdiag.exe
• Операционная система: любые поддерживаемые версии Windows Server или клиента с помощью средств удаленного администрирования сервера (RSAT)

Примечание.

Вы можете использовать переключатель /f: в командах Dcdiag для сохранения выходных данных в текстовый файл. Используется /f: FileName для создания файла в расположении, указанном в fileName, например /f:c:\Test\DnsTest.txt.

Проверка основных функций DNS

Чтобы проверить параметры, которые могут повлиять на репликацию Active Directory, можно начать, выполнив базовый тест DNS, который гарантирует правильность работы DNS на контроллере домена.

Базовый тест DNS проверяет следующее:

• Подключение. Тест определяет, зарегистрированы ли контроллеры домена в DNS, могут быть связаны с PING и иметь подключение к протоколу доступа к упрощенному каталогу или удаленному вызову процедуры (LDAP/RPC). Если проверка подключения завершается сбоем на контроллере домена, другие тесты не выполняются с этим контроллером домена. Тест подключения выполняется автоматически перед выполнением любого другого теста DNS.

• Основные службы: тест подтверждает, что на тестовом контроллере домена выполняются и доступны следующие службы:

  • Служба DNS-клиента
  • Служба входа в сеть
  • Служба Центра распространения ключей (KDC)
  • Служба DNS-сервера (если DNS установлен на контроллере домена)

• Конфигурация DNS-клиента: тест подтверждает, что DNS-серверы на всех адаптерах доступны.

• Регистрация записей ресурсов. Тест подтверждает, что запись ресурсов узла (A) каждого контроллера домена зарегистрирована по крайней мере на одном из DNS-серверов, настроенных на клиенте.

• Зона и начало центра (SOA): если контроллер домена выполняет службу DNS-сервера, тест подтверждает наличие зоны домена Active Directory и записи ресурсов центра (SOA) для зоны домена Active Directory.

• Корневая зона: проверяет наличие корневой зоны (.).

Действия по проверке основных функций DNS

1. Введите в командной строке нижеуказанную команду и нажмите клавишу ВВОД.

   dcdiag /test:dns /s:<SourceDomainControllerName> /DnsBasic
   

   Где <SourceDomainControllerName> — это различающееся имя, имя NetBIOS или DNS-имя контроллера домена.

   В качестве альтернативы можно протестировать все контроллеры домена в лесу, введя /e: вместо /s:него.

2. Скопируйте отчет в Блокнот или эквивалентный текстовый редактор.

3. Прокрутите страницу до сводной таблицы в нижней части файла журнала Dcdiag.

4. Обратите внимание на имена всех контроллеров домена, сообщающих о состоянии "Предупреждение" или "Сбой" в сводной таблице.

5. Найдите подробный раздел разбиения для контроллера домена, выполнив поиск строки "DC: <DomainControllerName>".

6. Внесите необходимые изменения конфигурации на DNS-клиентах и DNS-серверах.

7. Чтобы проверить изменения конфигурации, выполните повторное выполнение Dcdiag /test:DNS с помощью /e: или /s: переключения.

Если базовый тест DNS не отображает ошибок, проверьте, зарегистрированы ли записи ресурсов, используемые для поиска контроллеров домена, в DNS.

Проверка регистрации записей ресурсов

Контроллер домена назначения использует запись ресурса DNS-псевдонима (CNAME) для поиска партнера по репликации исходного контроллера домена. Хотя контроллеры домена могут находить партнеров по репликации источников с помощью полных доменных имен (или, если это не удается, имена NetBIOS), ожидается наличие записи ресурсов псевдонима (CNAME) и должно быть проверено для правильной работы DNS.

С помощью Dcdiag можно проверить регистрацию всех записей ресурсов, необходимых для расположения контроллера домена, с помощью dcdiag /test:dns /DnsRecordRegistration теста. Этот тест проверяет регистрацию следующих записей ресурсов в DNS:

• Псевдоним (CNAME) (запись ресурса на основе GUID, которая находит партнера репликации)
• Узел (A) (запись ресурса узла, содержащая IP-адрес контроллера домена)
• Записи ресурсов LDAP SRV (SRV), на которые находятся серверы LDAP)
• Записи ресурсов GC SRV (SRV), на которые находятся серверы глобального каталога)
• Записи ресурсов PDC SRV (SRV), на которые находятся мастера операций эмулятора основного контроллера домена (PDC)

В качестве альтернативы можно использовать следующую процедуру, чтобы проверить наличие только записи ресурсов псевдонима (CNAME).

Действия по проверке регистрации записей ресурсов псевдонима (CNAME)

1. В оснастке DNS найдите любой контроллер домена, на котором выполняется служба DNS-сервера, где сервер размещает зону DNS с тем же именем, что и домен Active Directory контроллера домена.

2. В дереве консоли щелкните зону, которая называется _msdcs. Dns_Domain_Name.

   Примечание.

   В DNS-сервере Windows 2000 _msdcs. Dns_Domain_Name — это поддомен зоны DNS для доменного имени Active Directory. В WINDOWS Server 2003 DNS _msdcs. Dns_Domain_Name является отдельной зоной.

3. В области сведений убедитесь, что существуют следующие записи ресурсов:

   • Запись ресурса псевдонима (CNAME), которая называется Dsa_Guid._msdcs. Dns_Domain_Name
   • Соответствующая запись ресурса узла (A) для имени DNS-сервера

Если запись ресурса псевдонима (CNAME) не зарегистрирована, убедитесь, что динамические обновления работают правильно. Используйте тест в следующем разделе.

Проверка динамических обновлений

Если базовый тест DNS показывает, что записи ресурсов не существуют в DNS, используйте динамический тест обновления для диагностики того, почему служба входа в сеть не регистрирует записи ресурсов автоматически. Чтобы убедиться, что зона домена Active Directory настроена для принятия безопасных динамических обновлений и для регистрации тестовой записи (_dcdiag_test_record), используйте следующую процедуру. Запись теста удаляется автоматически после теста.

Чтобы проверить динамические обновления, в командной строке введите следующую команду и нажмите клавишу ВВОД:

dcdiag /test:dns /s:<SourceDomainControllerName> /DnsDynamicUpdate

Где <SourceDomainControllerName> — это различающееся имя, имя NetBIOS или DNS-имя контроллера домена.

В качестве альтернативы можно протестировать все контроллеры домена с помощью /e: коммутатора, а не коммутатора /s: .

Если безопасное динамическое обновление не настроено, используйте следующую процедуру, чтобы настроить ее.

Включение безопасных динамических обновлений

1. Откройте оснастку DNS.
2. В дереве консоли щелкните правой кнопкой мыши соответствующую зону и выберите пункт "Свойства".
3. На вкладке "Общие " убедитесь, что тип зоны интегрирован с Active Directory.
4. В динамических обновлениях нажмите кнопку "Защитить только".

Регистрация записей ресурсов DNS

Если записи ресурсов DNS не отображаются в DNS для исходного контроллера домена, вы проверили динамические обновления и хотите немедленно зарегистрировать записи ресурсов DNS, вы можете принудительно зарегистрировать регистрацию вручную с помощью следующей процедуры. Служба входа в сеть на контроллере домена регистрирует записи ресурсов DNS, необходимые для расположения контроллера домена в сети. Служба DNS-клиента регистрирует запись ресурса узла (A), на которую указывает запись псевдонима (CNAME).

Требования:

• Членство в группе "Администраторы домена" в корневом домене леса или в группе "Администраторы предприятия" или эквивалентном является минимальным требованием для выполнения этой процедуры.
• Средства: net stop/net start, ipconfig

Регистрация записей ресурсов DNS вручную

Чтобы инициировать регистрацию записей ресурсов контроллера домена вручную на исходном контроллере домена, в командной строке введите следующие команды и нажмите клавишу ВВОД после каждой команды:

net stop net logon
net start net logon

Чтобы инициировать регистрацию записи ресурса узла A вручную, в командной строке введите следующую команду и нажмите клавишу ВВОД:

ipconfig /flushdns
ipconfig /registerdns

Подождите 15 минут, а затем просмотрите события в Просмотр событий, чтобы обеспечить правильную регистрацию записей ресурсов.

Повторите процедуру в разделе "Проверка регистрации записей ресурсов" ранее в этом разделе, чтобы убедиться, что записи ресурсов отображаются в DNS.

Синхронизация репликации между контроллерами исходного и целевого домена

После завершения тестирования DNS используйте следующую процедуру, чтобы синхронизировать репликацию при входном подключении с исходного контроллера домена к целевому контроллеру домена.

Требования:

• Членство в группе "Администраторы домена" в домене конечного контроллера домена или эквивалента является минимальным требованием для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
• Инструмент: сайты и службы Active Directory

Шаги по синхронизации репликации с исходного контроллера домена

1. Откройте оснастку "Active Directory - сайты и службы".
2. В дереве консоли дважды щелкните контейнер "Сайты", дважды щелкните сайт контроллера домена, с которым требуется синхронизировать репликацию, дважды щелкните контейнер "Серверы", дважды щелкните объект сервера контроллера домена и выберите пункт "Параметры NTDS".
3. В области сведений в столбце From Server найдите объект подключения, показывающий имя исходного контроллера домена.
4. Щелкните правой кнопкой мыши соответствующий объект подключения и нажмите кнопку " Реплицировать сейчас".
5. Нажмите кнопку ОК.

Если репликация не выполнена, используйте процедуру в следующем разделе, чтобы проверить согласованность GUID параметров NTDS.

Проверка согласованности GUID параметров NTDS

Если вы выполнили все тесты DNS и другие тесты и репликацию не удалось, используйте следующую процедуру, чтобы убедиться, что GUID объекта NTDS Settings, используемый контроллером целевого домена для поиска партнера репликации, соответствует GUID, который в настоящее время действует на самом исходном контроллере домена. Чтобы выполнить этот тест, вы просматриваете GUID объекта, как оно отображается в локальных каталогах каждого контроллера домена.

Требования:

• Членство в группе "Администраторы домена" в домене конечного контроллера домена или эквивалента является минимальным требованием для выполнения этой процедуры.
• Инструмент: Ldp.exe (средства поддержки Windows)

Действия по проверке согласованности GUID параметров NTDS

1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите Ldp и нажмите кнопку "ОК".
2. В меню Подключение выберите команду Подключить.
3. В диалоговом окне "Подключение" оставьте поле сервера пустым.
4. В поле "Порт" введите 389 и нажмите кнопку "ОК".
5. В меню "Подключение" нажмите кнопку "Привязка".
6. В диалоговом окне "Привязка" укажите учетные данные администраторов предприятия. Если он еще не выбран, нажмите кнопку "Домен".
7. В домене введите имя корневого домена леса и нажмите кнопку "ОК".
8. В меню "Вид" щелкните "Дерево".
9. В диалоговом окне "Представление дерева" введите CN=Configuration,DC=Forest_Root_Domain и нажмите кнопку "ОК".
10. Перейдите к объекту CN=NTDS Settings,CN=SourceServerName,CN=Servers,CN=SiteName, CN=Sites,CN=configuration,DC=ForestRootDomain.
11. Дважды щелкните объект NTDS Settings . В области сведений просмотрите значение объекта objectGUID атрибута. Щелкните это значение правой кнопкой мыши и скопируйте его в Блокнот.
12. В меню "Подключение" нажмите кнопку "Отключить".
13. Повторите шаги 2–11, но на шаге 3 введите имя исходного контроллера домена, например DC03.
14. В Блокноте сравнивайте значения двух графических идентификаторов.
15. Если значения не совпадают, контроллер домена назначения должен получить репликацию допустимого GUID. Проверьте значение GUID на других контроллерах домена и попытайтесь выполнить репликацию на целевом контроллере домена с другим контроллером домена, который имеет правильный GUID.
16. Если значения совпадают, убедитесь, что GUID соответствует GUID в Dsa_Guid._msdcs. Dns_Domain_Nameresource запись для исходного контроллера домена следующим образом:
    1. Обратите внимание на основные DNS-серверы, которые каждый контроллер домена идентифицирует в свойствах TCP/IP в параметрах сети. Все DNS-серверы, перечисленные в соответствующих свойствах TCP/IP, должны иметь возможность косвенно или напрямую разрешать эту запись ресурса псевдонима (CNAME).
    2. На серверах, перечисленных, определите доверенный сервер имен или серверы для этой зоны домена, просматривая имена серверов, перечисленные для записей ресурсов сервера имен (NS) в корне зоны. (В оснастке DNS выберите зону подстановки для корневого домена, а затем просмотрите записи сервера имен (NS) в области сведений.)
    3. На сервере имен или серверах, полученных на шаге b, откройте оснастку DNS и дважды щелкните зону поиска вперед для корневого доменного имени леса. Дважды щелкните папку _msdcs и запишите записи ресурсов псевдонима (CNAME), которые существуют для имени сервера.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.