Active Directory-Replikationsfehler 8524: Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.

In diesem Artikel werden Symptome, Ursachen und Lösungsschritte für AD-Vorgänge beschrieben, die mit Win32-Fehler 8524 fehlschlagen:

Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2021446

Private Benutzer: Dieser Artikel richtet sich nur an Technische Supportmitarbeiter und IT-Experten. Wenn Sie Hilfe bei einem Problem benötigen, wenden Sie sich an die Microsoft Community.

Symptome

1. DCDIAG meldet, dass der Active Directory-Replikationstest mit status 8524 fehlgeschlagen ist:

   Testserver: <Standortname><Ziel-DC>
   Test wird gestartet: Replikationen
   [Replikationsprüfung,Ziel-DC<>] Fehler beim letzten Replikationsversuch: Vom <Quell-Domänencontroller> zum <Zieldomänencontroller>
   Benennungskontext:
   CN=<DN-Pfad für fehlerhafte Verzeichnispartition,DC>=Contoso,DC=Com
   Die Replikation hat einen Fehler (8524) generiert:
   Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.

2. REPADMIN meldet, dass ein Replikationsversuch mit status 8524 fehlgeschlagen ist.

   REPADMIN-Befehle, die häufig die 8524-status enthalten, sind jedoch nicht auf Folgendes beschränkt:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPS
   • REPADMIN /SHOWREPL

   Ein Beispiel für 8524-Fehler von REPADMIN /SHOWREPL ist unten dargestellt:

   Default-First-Site-Name\CONTOSO-DC1
   DSA-Optionen: IS_GC
   Websiteoptionen: (keine)
   DSA-Objekt-GUID: DSA-Aufruf-ID:
   DC=contoso,DC=com
   Default-First-Site-Name\CONTOSO-DC2 über RPC
   DSA-Objekt-GUID:
   Letzter Versuch @ JJJJ-MM-TT HH:MM:SS fehlgeschlagen, Ergebnis 8524 (0x214c):
   Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
   1 aufeinanderfolgende Fehler.
   Letzter Erfolg @ JJJJ-MM-TT HH:MM:SS.

   Rest der /showrepl-Ausgabe abgeschnitten

3. Eines der folgenden Ereignisse mit dem status 8524 wird im Verzeichnisdienstereignisprotokoll protokolliert:

   • NTDS Knowledge Consistency Checker (KCC)
   • NTDS Allgemein
   • Microsoft-Windows-ActiveDirectory_DomainService

   Active Directory-Ereignisse, die häufig die 8524-status enthalten, sind jedoch nicht beschränkt auf:

   Ereignis	Quelle	Ereigniszeichenfolge
   Microsoft-Windows-ActiveDirectory_DomainService	2023	Dieser Verzeichnisserver konnte keine Änderungen an dem folgenden Remoteverzeichnisserver für die folgende Verzeichnispartition replizieren:
   NTDS Allgemein	1655	Active Directory hat versucht, mit dem folgenden globalen Katalog zu kommunizieren, und die Versuche waren nicht erfolgreich.
   NTDS KCC	1308	Der KCC hat festgestellt, dass aufeinanderfolgende Replikationsversuche mit dem folgenden Verzeichnisdienst konsistent fehlgeschlagen sind.
   NTDS KCC	1865	Der KCC konnte keine vollständige Netzwerktopologie für die gesamte Struktur bilden. Daher kann die folgende Liste der Websites nicht vom lokalen Standort aus erreicht werden
   NTDS KCC	1925	Fehler beim Versuch, einen Replikationslink für die folgende beschreibbare Verzeichnispartition einzurichten.
   NTDS KCC	1926	Fehler beim Versuch, eine Replikationsverknüpfung mit einer schreibgeschützten Verzeichnispartition mit den folgenden Parametern herzustellen

4. Domänencontroller protokollieren das NTDS-Replikationsereignis 2087 und das NTDS-Replikationsereignis 2088 in ihrem Verzeichnisdienstereignisprotokoll:

   Protokollname: Verzeichnisdienst
   Quelle: Microsoft-Windows-ActiveDirectory_DomainService
   Datum: <Datum><Uhrzeit>
   Ereignis-ID: 2087
   Aufgabenkategorie: DS RPC-Client
   Ebene: Fehler
   Schlüsselwörter: Klassisch
   Benutzer: ANONYME ANMELDUNG
   Computer: <DC-Name>.<Domänennamen>
   Beschreibung:

   Active Directory Domain Services konnte den folgenden DNS-Hostnamen des Quelldomänencontrollers nicht in eine IP-Adresse auflösen. Dieser Fehler verhindert, dass Ergänzungen, Löschungen und Änderungen in Active Directory Domain Services zwischen einem oder mehreren Domänencontrollern in der Gesamtstruktur repliziert werden. Sicherheitsgruppen, Gruppenrichtlinien, Benutzer und Computer sowie deren Kennwörter sind zwischen Domänencontrollern inkonsistent, bis dieser Fehler behoben ist. Dies wirkt sich möglicherweise auf die Anmeldeauthentifizierung und den Zugriff auf Netzwerkressourcen aus.

   Protokollname: Verzeichnisdienst
   Quelle: Microsoft-Windows-ActiveDirectory_DomainService
   Datum: <Datum><Uhrzeit>
   Ereignis-ID: 2088
   Aufgabenkategorie: DS RPC-Client
   Stufe: Warnung
   Schlüsselwörter: Klassisch
   Benutzer: ANONYME ANMELDUNG
   Computer: <DC-Name>.<Domänennamen>
   Beschreibung:
   Active Directory Domain Services konnte DNS nicht verwenden, um die IP-Adresse des unten aufgeführten Quelldomänencontrollers aufzulösen. Um die Konsistenz von Sicherheitsgruppen, Gruppenrichtlinien, Benutzern und Computern und deren Kennwörtern zu gewährleisten, Active Directory Domain Services erfolgreich mithilfe des NetBIOS- oder vollqualifizierten Computernamens des Quelldomänencontrollers repliziert.

   Eine ungültige DNS-Konfiguration kann sich auf andere wichtige Vorgänge auf Mitgliedscomputern, Domänencontrollern oder Anwendungsservern in dieser Active Directory Domain Services Gesamtstruktur auswirken, einschließlich Anmeldeauthentifizierung oder Zugriff auf Netzwerkressourcen.

   Sie sollten diesen DNS-Konfigurationsfehler sofort beheben, damit dieser Domänencontroller die IP-Adresse des Quelldomänencontrollers mithilfe von DNS auflösen kann.

Ursache

Fehlerstatus 8524 wird der folgenden Fehlerzeichenfolge zugeordnet:

Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.

Dies ist ein Abfangfehler für alle möglichen DNS-Fehler, die Active Directory auf Windows Server 2003 SP1-Domänencontrollern betreffen.

Microsoft-Windows-ActiveDirectory_DomainServiceEreignis 2087 ist ein Partnerereignis für andere Active Directory-Ereignisse, die den 8524-status zitieren, wenn ein Active Directory-Domänencontroller einen Remotedomänencontroller nicht durch seinen vollqualifizierten CNAME-Eintrag auflösen kann (<Objekt-GUID für das NTDS-Einstellungsobjekt> der Quell-DCs._msdcs.<Stammdomäne> der Gesamtstruktur), die DNS verwendet.

Microsoft-Windows-ActiveDirectory_DomainService Ereignis 2088 wird protokolliert, wenn ein Quelldomänencontroller erfolgreich durch seinen NetBIOS-Namen aufgelöst wird, ein solches Fallback für die Namensauflösung jedoch nur auftritt, wenn die DNS-Namensauflösung fehlschlägt.

Das Vorhandensein der Ereignisse 8524 status und Microsoft-Windows-ActiveDirectory_DomainService Ereignis 2088 oder 2087 deuten alle darauf hin, dass die DNS-Namensauflösung Active Directory fehlschlägt.

Zusammenfassend wird die 8524-Replikations-status protokolliert, wenn ein Zieldomänencontroller den Quelldomänencontroller nicht durch seine CNAME- und Host "A"- oder Host "AAA"-Einträge mithilfe von DNS auflösen kann. Zu den spezifischen Grundursachen gehören:

1. Der Quelldomänencontroller ist offline oder nicht mehr vorhanden, aber sein NTDS-Einstellungsobjekt ist weiterhin in der Kopie von Active Directory des Zieldomänencontrollers vorhanden.

2. Der Quelldomänencontroller konnte die CNAME- oder Hosteinträge aus folgenden Gründen nicht auf einem oder mehreren DNS-Servern registrieren:

   • Fehler bei den Registrierungsversuchen.
   • DNS-Clienteinstellungen in der Quelle verweisen nicht auf DNS-Server, die die _msdcs hosten, weiterleiten oder delegieren.<Gesamtstruktur-Stammdomänenzone und (oder) primäre DNS-Suffix-Domänenzonen>.

3. DNS-Clienteinstellungen auf dem Zieldomänencontroller verweisen nicht auf DNS-Server, die die DNS-Zonen hosten, weiterleiten oder delegieren, die den CNAME oder Hosteinträge für den Quelldomänencontroller enthalten.

4. CNAME- und Hosteinträge, die vom Quelldomänencontroller registriert sind, sind auf DNS-Servern, die vom Zieldomänencontroller abgefragt werden, aus folgenden Gründen nicht vorhanden:

   • Einfache Replikationslatenz
   • Replikationsfehler
   • Fehler bei der Zonenübertragung

5. Ungültige Weiterleitungen oder Delegierungen. Sie verhindern, dass der Zieldomänencontroller CNAME- oder Hostdatensätze für DOmänencontroller in anderen Domänen in der Gesamtstruktur auflöst.

6. DNS-Server, die von Ziel-Domänencontrollern, Quelldomänencontrollern oder DNS-Zwischenservern verwendet werden, funktionieren nicht ordnungsgemäß.

Lösung

Überprüfen Sie, ob die 8524 durch einen Offline-DC oder veralteten DC-Metadaten verursacht wird.

Wenn sich der Fehler/Das Ereignis 8524 auf einen Domänencontroller bezieht, der derzeit offline ist, aber in der Gesamtstruktur noch gültig ist, machen Sie ihn betriebsbereit.

Wenn sich der Fehler 8524 auf einen inaktiven Domänencontroller bezieht, entfernen Sie die veralteten Metadaten für diesen Domänencontroller aus der Kopie des Zieldomänencontrollers von Active Directory. Ein inaktiver Domänencontroller ist eine DC-Installation, die nicht mehr im Netzwerk vorhanden ist, aber sein NTDS-Einstellungsobjekt ist weiterhin in der Kopie des Zieldomänencontrollers von Active Directory vorhanden:

Der Microsoft-Support findet regelmäßig veraltete Metadaten für nicht vorhandene DOmänencontroller oder veraltete Metadaten aus früheren Höherstufungen eines Domänencontrollers mit demselben Computernamen, der nicht aus Active Directory entfernt wurde.

Entfernen veralteter DC-Metadaten (falls vorhanden)

GUI-Metadatenbereinigung mithilfe von Active Directory-Standorten und -Diensten (DSSITE. MSC)

1. Starten Sie das Snap-In "Windows Server 2008" oder "Windows Server 2008 R2 Active Directory-Standorte und -Dienste" (DSSITE. MSC).

   Dies kann auch durch Starten der Active Directory-Standorte und -Dienste auf einem Windows Vista- oder Windows 7-Computer erfolgen, der als Teil des RSAT-Pakets (Remote Server Administration Tools) installiert wurde.

2. Konzentrieren Sie sich auf die DSSITE. MSC-Snap-In auf der Kopie des Zieldomänencontrollers von Active Directory.

   Nach dem Starten von DSSITE. MSC, klicken Sie mit der rechten Maustaste auf "Active Directory-Standorte und -Dienste [<DC-Name>]

   Wählen Sie den Zieldomänencontroller aus, der den Fehler/das Ereignis 8524 protokolliert, aus der Liste der Domänencontroller, die unter "Domänencontroller ändern..." angezeigt werden. Liste

3. Löschen Sie das NTDS-Einstellungsobjekt der Quell-DCs, auf das in den 8524-Fehlern und -Ereignissen verwiesen wird. Active Directory-Benutzer und -Computer (DSA. MSC) Snap-In, und löschen Sie entweder das NTDS-Einstellungsobjekt der Quell-DCs.

   Ein DCs NTDS-Einstellungsobjekt wird angezeigt.

   • Unter den Containern Standorte, Standortname, Servercontainer und %Servername%
   • Über dem Objekt für eingehende Verbindungen, das im rechten Bereich von Active Directory-Standorte und -Dienste angezeigt wird.

   Die rote Hervorhebung im folgenden Screenshot zeigt das NTDS-Einstellungsobjekt für CONTOSO-DC2 unterhalb der Website Default-First-Site-Name.

   

   Klicken Sie mit der rechten Maustaste auf das veraltete NTDS-Einstellungsobjekt, das Sie entfernen möchten, und wählen Sie dann "Löschen" aus.

   Die Metadatenbereinigung kann auch über das W2K8/W2K8 R2 Active Directory-Benutzer und -Computer Snap-In erfolgen, wie in TECHNET dokumentiert.

Bereinigung von Befehlszeilenmetadaten mithilfe von NTDSUTIL

Die Legacy- oder Befehlszeilenmethode zum Löschen veralteter NTDS-Einstellungsobjekte mithilfe des Befehls NTDSUTIL metadata cleanup ist in MSKB 216498 dokumentiert.

Ausführen DCDIAG /TEST:DNS auf dem Quell-DC + Zieldomänencontroller

DCDIAG /TEST:DNS führt sieben verschiedene Tests durch, um schnell die DNS-Integrität eines Domänencontrollers zu überprüfen. Dieser Test wird nicht als Teil der Standardausführung von DCDIAG ausgeführt.

1. Melden Sie sich mit Enterprise Admin Anmeldeinformationen bei der Konsole der Zieldomänencontroller an, die die 8524-Ereignisse protokollieren.

2. Öffnen Sie eine administratorrechtliche CMD-Eingabeaufforderung, und führen Sie dann auf dem Domänencontroller aus, und protokollieren DCDIAG /TEST:DNS /F Sie die 8424-status und den Quelldomänencontroller, von dem der Zieldomänencontroller repliziert wird.

   Um DCDIAG für alle DCs in einer Gesamtstruktur auszuführen, geben Sie ein DCDIAG /TEST:DNS /V /E /F:<File name.txt>.

   Um DCDIAG TEST:DNS für einen bestimmten Domänencontroller auszuführen, geben Sie ein DCDIAG /TEST:DNS /V /S:<DC NAME> /F:<File name.txt>.

3. Suchen Sie die Zusammenfassungstabelle am Ende der DCDIAG /TEST:DNS Ausgabe. Identifizieren und Abstimmen von Warnungs- oder Fehlerbedingungen auf den relevanten DOMÄNENCONTROLLER des Berichts.

4. Wenn DCDIAG die Grundursache nicht identifiziert, führen Sie die folgenden Schritte aus.

Überprüfen der Active Directory-Namensauflösung mithilfe von PING

Ziel-DCs lösen Quell-DCs im DNS durch ihre vollqualifizierten CNAME-Einträge auf, die von der Objekt-GUID des NTDS-Einstellungsobjekts des Remote-DCs abgeleitet werden (das übergeordnete Objekt für Verbindungsobjekte, die im Snap-In Active Directory-Standorte und -Dienste sichtbar sind). Sie können die Fähigkeit eines bestimmten DOmänencontrollers testen, einen vollqualifizierten CNAME-Eintrag eines Quelldomänencontrollers aufzulösen, indem Sie den PING-Befehl verwenden.

1. Suchen Sie die objectGUID des NTDS-Einstellungsobjekts der Quell-DCs in der Kopie von Active Directory der Quell-DCs.

   Geben Sie in der Konsole des Quelldomänencontrollers, der den Fehler/das Ereignis 8524 protokolliert, Folgendes ein:

   repadmin /showrepl <fully qualified hostname of source DC cited in the 8524 error (event)>

   Wenn der DC, auf den im Fehler/Ereignis 8524 verwiesen wird, beispielsweise contoso-DC2 in der contoso.com Domäne ist, geben Sie Folgendes ein:

   repadmin /showrepl contoso-dc2.contoso.com

   Das Feld "DSA Object GUID" im Header des repadmin /SHOWREPl Befehls enthält die objectGUID des aktuellen NTDS-Einstellungsobjekts der Quell-DCs. Verwenden Sie die Ansicht der Quell-DCs ihres NTDS-Einstellungsobjekts für den Fall, dass die Replikation langsam ist oder fehlschlägt. Der Header der repadmin Ausgabe sieht in etwa wie folgt aus:

   Default-First-Site-Name\CONTOSO-DC1
   DSA-Optionen: IS_GC
   Websiteoptionen: (keine)
   DSA-Objekt-GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 <– Klicken Sie mit der rechten Maustaste, und kopieren Sie diese Zeichenfolge in windows
   <– Zwischenablage & den PING-Befehl in die Zwischenablage einfügen
   <- Schritt 4

2. Suchen Sie die ObjectGUID des Quelldomänencontrollers in der Active Directory-Kopie des Zieldomänencontrollers.

   Geben Sie in der Konsole des Zieldomänencontrollers, der den Fehler/das Ereignis 8524 protokolliert, Folgendes ein:

   repadmin /showrepl <fully qualified hostname of destination DC>

   Wenn der Dc-Protokollierungsfehler 8524 beispielsweise contoso-DC1 in der contoso.com Domäne lautet, geben Sie Folgendes ein:

   repadmin /showrepl contoso-dc1.contoso.com

   REPADMIN /SHOWREPL Die Ausgabe ist unten dargestellt. Das Feld "DSA Object GUID" (DSA-Objekt-GUID) wird für jeden Quelldomänencontroller aufgelistet, von dem der Zieldomänencontroller in eingehender Richtung repliziert wird.

    c:\>repadmin /showreps `contoso-dc1.contoso.com`  
    Default-First-Site-Name\CONTOSO-DC1  
    DSA Options: IS_GC  
    Site Options: (none)  
    DSA object GUID:  
    DSA invocationID:  
     DC=contoso,DC=com  
        Default-First-Site-Name\CONTOSO-DC2 via RPC  
            DSA object GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016      <- Object GUID for source DC derived from  
            Last attempt @ 2010-03-24 15:45:15 failed, result 8524 (0x214c):        \ destination DCs copy of Active Directory  
                The DSA operation is unable to proceed because of a DNS lookup failure.
            23 consecutive failure(s).  
            Last success @ YYYY-MM-DD HH:MM:SS.
   

3. Vergleichen Sie die Objekt-GUID aus #2 und #3.

   Wenn die Objekt-GUIDS identisch sind, wissen der Quell-Domänencontroller und der Zieldomänencontroller die gleiche Instanziierung (die gleiche Heraufstufung) des Quelldomänencontrollers. Wenn sie unterschiedlich sind, stellen Sie dar, welche später erstellt wurde. Das NTDS-Einstellungsobjekt mit dem früheren Erstellungsdatum ist wahrscheinlich veraltet und sollte entfernt werden.

4. PINGen Sie den Quell-DC durch seinen vollqualifizierten CNAME.

   Testen Sie in der Konsole des Zieldomänencontrollers die Namensauflösung von Active Directory mit einem PING des vollqualifizierten CNAME-Eintrags der Quell-DCs:

   c:\>ping <ObjectGUID> from source DCs NTDS Settings object._msdcs.<DNS name for Active Directory forest root domain>

   In unserem Beispiel für die ObjectGUID 8a7baee5... aus der repadmin /showreps obigen Ausgabe des DC contoso-dc1 in der contoso.com Domäne würde die PING-Syntax wie folgt lauten:

   c:\>ping 8a7baee5-cd81-4c8c-9c0f-b10030574016. _msdcs.contoso.com

   Wenn Ping funktioniert, wiederholen Sie den fehlerhaften Vorgang in Active Directory. Wenn PING fehlschlägt, fahren Sie mit "Beheben des DNS-Lookupfehlers 8524" fort, aber wiederholen Sie den PING-Test nach jedem Schritt, bis er aufgelöst wird.

Beheben des Dns-Lookupfehlers 8524: Der lange Weg

Wenn der Fehler 8524 nicht durch veraltete DC-Metadaten verursacht wird und der CNAME-PING-Test fehlschlägt, überprüfen Sie die DNS-Integrität von:

• Der Quelldomänencontroller
• Der Zieldomänencontroller
• Die von den Quell- und Zieldomänencontrollern verwendeten DNS-Server

Überprüfen Sie zusammenfassend Folgendes:

• Der Quelldomänencontroller hat die CNAME- und Hosteinträge bei einem gültigen DNS registriert.
• Der Zieldomänencontroller verweist auf gültige DNS-Server.
• Die von Quell-DCs registrierten Datensätze von Interesse können von Ziel-DOmänencontrollern aufgelöst werden.

Der Fehlermeldungstext im DS RPC-Clientereignis 2087 dokumentiert eine Benutzeraktion zum Beheben des Fehlers 8524. Es folgt ein detaillierterer Aktionsplan:

1. Überprüfen Sie, ob der Quelldomänencontroller auf gültige DNS-Server verweist.

   Stellen Sie auf dem Quelldomänencontroller sicher, dass die DNS-Clienteinstellungen ausschließlich auf betriebsbereite DNS-Server verweisen, die the_msdcs hosten, weiterleiten oder delegieren.<Stammdomänenzone> der Gesamtstruktur (d. a. alle DCs in der contoso.com Gesamtstruktur registrieren CNAME-Einträge in the_msdcs.contoso.com Zone)

   UND

   Die DNS-Zone für die Active Directory-Domäne (d. a. ein Computer in der contoso.com Domäne würde Hosteinträge in contoso.com Zone registrieren).

   UND

   Die primäre DNS-Suffixdomäne des Computers, wenn sie sich vom Active Directory-Domänennamen unterscheidet (siehe Technet-Artikel Nicht zusammenhängender Namespace).

   Optionen zum Überprüfen, ob ein DNS-Server solche Zonen hostet, weiterleitet oder delegiert (d. h. "kann aufgelöst werden").

   • Starten Sie das DNS-Verwaltungstool für Ihr DNS, und überprüfen Sie die DNS-Server, auf die der Quelldomänencontroller für die Namensauflösung verweist, die betreffenden Zonen hosten.

   • Verwenden Sie NSLOOKUP, um zu überprüfen, ob alle DNS-Server, auf die der Quelldomänencontroller verweist, Abfragen für die betreffenden DNS-Zonen auflösen können.

     Führen Sie IPCONFIG /ALL auf der Konsole des Quelldomänencontrollers aus.

     c:\>ipconfig /all
     …
     DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                                10.45.42.101<- Secondary DNS Server IP>
     

     Führen Sie die folgenden NSLOOKUP-Abfragen aus:

     c:\>nslookup -type=soa  <Source DC DNS domain name> <source DCs primary DNS Server IP >
     c:\>nslookup -type=soa  < Source DC DNS domain name > <source DCs secondary DNS Server IP >
     c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs primary DNS Server IP >
     c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs secondary DNS Server IP >
     

     Wenn beispielsweise ein Domänencontroller in der CHILD.CONTOSO.COM Domäne der contoso.com Gesamtstruktur mit den IP-Adressen des primären und sekundären DNS-Servers "10.45.42.99" und "10.45.42.101" konfiguriert ist, lautet die NSLOOKUP-Syntax:

     c:\>nslookup -type=soa  child.contoso.com 10.45.42.99
     c:\>nslookup -type=soa  child.contoso.com 10.45.42.101
     c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.99
     c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.101
     

   Hinweise:

   • Die SOA-Abfrage für die Zone _mscs.contoso.com wird ordnungsgemäß aufgelöst, wenn das Ziel-DNS über eine gute Weiterleitung oder Delegierung verfügt, oder für the_msdcs.<Stammzone> der Gesamtstruktur. Es wird nicht ordnungsgemäß aufgelöst, wenn die _msdcs.<Die Stammzone> der Gesamtstruktur auf dem abgefragten DNS-Server ist eine nicht delegierte Unterdomäne der Stammzone> der <Gesamtstruktur, bei der es sich um die Zonenbeziehung handelt, die von Windows 2000-Domänen erstellt wurde.
   • CNAME-Einträge werden immer im _msdcs registriert.<Stammzone> der Gesamtstruktur, auch für DC in Nicht-Stammdomänen.
   • Das Konfigurieren des DNS-Clients eines Domänencontrollers oder Mitgliedscomputers, der auf einen ISP-DNS-Server für die Namensauflösung verweist, ist ungültig. Die einzige Ausnahme ist, dass ISP einen Vertrag abgeschlossen (d. h. kostenpflichtig) wurde und derzeit DNS-Abfragen für Ihre Active Directory-Gesamtstruktur hostet, weiterleitet oder delegiert.
   • ISP-DNS-Server akzeptieren in der Regel keine dynamischen DNS-Updates, sodass CNAME-, Host- und SRV-Einträge möglicherweise manuell registriert werden müssen.

2. Überprüfen Sie, ob der Quelldomänencontroller seinen CNAME-Eintrag registriert hat.

   Verwenden Sie Schritt 1 aus "Überprüfen der Active Directory-Namensauflösung mithilfe von PING", um den aktuellen CNAME des Quelldomänencontrollers zu suchen.

   Führen Sie ipconfig /all auf der Konsole des Quelldomänencontrollers aus, um zu bestimmen, auf welche DNS-Server der Quelldomänencontroller für die Namensauflösung verweist.

   c:\>ipconfig /all
   …
   DNS Servers . . . . . . . . . . . : 10.45.42.99                        <primary DNS Server IP
                                              10.45.41.101                      <secondary DNS Server IP
   

   Verwenden Sie NSLOOKUP, um die aktuellen DNS-Server nach dem CNAME-Eintrag der Quell-DCs abzufragen (gefunden über das Verfahren unter Überprüfen der Active Directory-Namensauflösung mithilfe von PING).

   c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs primary DNS Server IP >
   c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs secondary DNS Server IP>
   

   Im Beispiel lautet das NTDS-EinstellungsobjektGUID für contoso-dc2 in der contoso.com Domäne 8a7baee5-cd81-4c8c-9c0f-b10030574016. Er verweist auf "10.45.42.99" als primärer Wert für die DNS-Namensauflösung. Die NSLOOKUP-Syntax lautet wie folgt:

   c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.99
   c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.101
   

   Wenn der Quelldomänencontroller seinen CNAME-Eintrag nicht auf den DNS-Servern registriert hat, auf die er zur Namensauflösung verweist, führen Sie den folgenden Befehl auf dem Quelldomänencontroller aus. Überprüfen Sie dann erneut die Registrierung des CNAME-Eintrags:

   c:\>net stop netlogon & net start netlogon
   

   Hinweise:

   • CNAME-Einträge werden immer im _msdcs registriert.<Stammzone> der Gesamtstruktur, auch für DC in Nicht-Stammdomänen.
   • CNAME-Einträge werden vom NETLOGON-Dienst während des Betriebssystemstarts, beim Starten des NETLOGON-Diensts und später während wiederkehrender Intervalle registriert.
   • Jede Heraufstufung eines Domänencontrollers mit demselben Namen kann ein neues NTDS-Einstellungsobjekt mit einer anderen objectGUID erstellen, die daher einen anderen CNAME-Eintrag registriert. Überprüfen Sie die Registrierung des CNAME-Eintrags basierend auf der letzten Heraufstufung des Quelldomänencontrollers im Vergleich zur objectGUID für das NTDS-Einstellungsobjekt auf dem Zieldomänencontroller, wenn die Quelle mehr als 1x höher gestuft wurde.
   • Zeitsteuerungsprobleme während des Betriebssystemstarts können eine erfolgreiche dynamische DNS-Registrierung verzögern.
   • Wenn der CNAME-Eintrag eines Domänencontrollers erfolgreich registriert wurde, aber später nicht mehr angezeigt wird, überprüfen Sie KB953317. Doppelte DNS-Zonen in verschiedenen Replikationsbereichen oder übermäßig aggressive DNS-Abgrenzung durch den DNS-Server.
   • Wenn bei der Registrierung des CNAME-Eintrags auf den DNS-Servern, auf die der Quelldomänencontroller für die Namensauflösung verweist, ein Fehler auftritt, überprüfen Sie NETLOGN-Ereignisse im SYSTEM-Ereignisprotokoll auf DNS-Registrierungsfehler.

3. Überprüfen Sie, ob der Quelldomänencontroller seine Hostdatensätze registriert hat.

   Führen Sie in der Konsole des Quelldomänencontrollers aus ipconfig /all , um zu ermitteln, auf welche DNS-Server der Quelldomänencontroller für die Namensauflösung verweist.

   c:\>ipconfig /all
   …
   DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                              10.45.42.101<- Secondary DNS Server IP>
   

   Verwenden Sie NSLOOKUP, um die aktuellen DNS-Server für den Hosteintrag abzufragen.

   c:\>nslookup -type=A+AAAA  <fully qualified hostname of source DC> <source DCs primary DNS Server IP >
   c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs secondary DNS Server IP>
   

   Das Beispiel für den Hostnamen für contoso-dc2 in der contoso.com Domäne lautet 8a7baee5-cd81-4c8c-9c0f-b10030574016 und verweist auf self (127.0.0.1) als primäre Dns-Namensauflösung. Die NSLOOKUP-Syntax lautet wie folgt:

   c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.99
   c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.101
   

   Wiederholen Sie den Befehl NSLOOKUP für die IP-Adresse des sekundären DNS-Servers der Quell-DCs.

   Geben Sie den folgenden Befehl in der Konsole des Computers ein, um host "A"-Einträge dynamisch zu registrieren:

   c:\>ipconfig /registerdns
   

   Hinweise:

   • Windows 2000- bis Windows Server 2008 R2-Computer registrieren alle IPv4-Host "A"-Einträge.
   • Computer mit Windows Server 2008 und Windows Server 2008 R2 registrieren alle AAAA-Einträge des IPv6-Hosts.
   • Die Hosteinträge "A" und "AAAA" werden in der primären DNS-Suffixzone des Computers registriert.
   • Deaktivieren Sie NiCs, an die keine Netzwerkkabel angeschlossen sind.
   • Deaktivieren Sie die Registrierung von Hostdatensätzen auf NICs, auf die DCs und Mitgliedscomputer im Netzwerk nicht zugreifen können.
   • Es wird nicht unterstützt, das IPv6-Protokoll durch Deaktivieren des IPv6-Kontrollkästchens im Netzwerk Karte Eigenschaften zu deaktivieren.

4. Überprüfen Sie, ob der Zieldomänencontroller auf gültige DNS-Server verweist.

   Stellen Sie auf dem Zieldomänencontroller sicher, dass die DNS-Clienteinstellungen ausschließlich auf derzeit online verfügbare DNS-Server verweisen, die die _msdcs hosten, weiterleiten und delegieren.<Stammdomänenzone> der Gesamtstruktur (d. a. alle DCs in der contoso.com Gesamtstruktur registrieren CNAME-Einträge in the_msdcs.contoso.com Zone).

   UND

   Die DNS-Zone für die Active Directory-Domäne (d. a. ein Computer in der contoso.com Domäne würde Hosteinträge in contoso.com Zone registrieren).

   UND

   Die primäre DNS-Suffixdomäne des Computers, wenn sie sich vom Active Directory-Domänennamen unterscheidet (siehe Technet-Artikel Nicht zusammenhängender Namespace).

   Optionen zum Überprüfen, ob ein DNS-Server solche Zonen hostet, weiterleitet oder delegiert (d. a. "kann aufgelöst werden"), umfassen:

   • Starten Sie das DNS-Verwaltungstool für Ihr DNS, und überprüfen Sie die DNS-Server, auf die der Quelldomänencontroller für die Namensauflösung verweist, die betreffenden Zonen hosten.

     ODER

   • Verwenden Sie NSLOOKUP, um zu überprüfen, ob alle DNS-Server, auf die der Quelldomänencontroller verweist, Abfragen für die betreffenden DNS-Zonen auflösen können.

     Führen Sie IPCONFIG /ALL auf der Konsole des Zieldomänencontrollers aus:

     c:\>ipconfig /all
     …
     DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                           10.45.42.103<- Secondary DNS Server IP>
     

     Führen Sie die folgenden NSLOOKUP-Abfragen über die Konsole des Zieldomänencontrollers aus:

     c:\>nslookup -type=soa  <Source DC DNS domain name> <destinatin DCs primary DNS Server IP >
     c:\>nslookup -type=soa  < Source DC DNS domain name > <destination DCs secondary DNS Server IP >
     c:\>nslookup -type=soa  _msdcs.<forest root DNS domain> <destination DCs primary DNS Server IP >
     c:\>nslookup -type=soa  _msdcs.<forest root DNS name> <destination DCs secondary DNS Server IP>
     

   Wenn beispielsweise ein DC in der CHILD.CONTOSO.COM Domäne der contoso.com Gesamtstruktur mit den IP-Adressen des primären und sekundären DNS-Servers "10.45.42.102" und "10.45.42.103" konfiguriert ist, würde die NSLOOKUP-Syntax

   c:\>nslookup -type=soa  child.contoso.com 10.45.42.102
   c:\>nslookup -type=soa  child.contoso.com 10.45.42.103
   c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.102
   c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.103
   

   Hinweise:

   • Die SOA-Abfrage für die Zone _mscs.contoso.com wird ordnungsgemäß aufgelöst, wenn das Ziel-DNS über eine gute Weiterleitung oder Delegierung verfügt, oder für the_msdcs.<Stammzone> der Gesamtstruktur. Es wird nicht ordnungsgemäß aufgelöst, wenn the_msdcs.<Die Stammzone> der Gesamtstruktur auf dem abgefragten DNS-Server ist eine nicht delegierte Unterdomäne der Stammzone> der <Gesamtstruktur, bei der es sich um die Zonenbeziehung handelt, die von Windows 2000-Domänen erstellt wurde.
   • CNAME-Einträge werden immer im _msdcs registriert.<Stammzone> der Gesamtstruktur, auch für DC in Nicht-Stammdomänen.
   • Das Konfigurieren des DNS-Clients eines Domänencontrollers oder Mitgliedscomputers, der auf einen ISP-DNS-Server für die Namensauflösung verweist, ist ungültig. Die einzige Ausnahme ist, dass ISP einen Vertrag abgeschlossen (d. h. kostenpflichtig) wurde und derzeit DNS-Abfragen für Ihre Active Directory-Gesamtstruktur hostet, weiterleitet oder delegiert.
   • ISP-DNS-Server akzeptieren in der Regel keine dynamischen DNS-Updates, sodass CNAME-, Host- und SRV-Einträge möglicherweise manuell registriert werden müssen.
   • Der DNS-Resolver auf den Windows-Computern ist standardmäßig "sticky". Es werden DNS-Server verwendet, die auf Abfragen reagieren, unabhängig davon, ob solche DNS-Server die erforderlichen Zonen hosten, weiterleiten oder delegieren. Der DNS-Resolver führt kein Failover durch und fragt keinen anderen DNS-Server ab, solange das aktive DNS reaktionsfähig ist, auch wenn die Antwort des DNS-Servers lautet: "Ich hoste entweder nicht den gesuchten Eintrag, oder hoste sogar eine Kopie der Zone für diesen Eintrag".

5. Stellen Sie sicher, dass der vom Zieldomänencontroller verwendete DNS-Server die CNAME- und HOST-Einträge der Quell-DCs auflösen kann.

   Führen Sie in der Konsole des Zieldomänencontrollers aus ipconfig /all , um die DNS-Server zu ermitteln, auf die der Zieldomänencontroller für die Namensauflösung verweist:

   DNS Servers that destination DC points to for name resolution:
   
   c:\>ipconfig /all
   …
     DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                10.45.42.103<- Secondary DNS Server IP>
   

   Verwenden Sie NSLOOKUP in der Konsole des Zieldomänencontrollers, um die DNS-Server abzufragen, die auf dem Zieldomänencontroller für die Quell-DCs CNAME und Hosteinträge konfiguriert sind:

   c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs primary DNS Server IP >
   c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs secondary DNS Server IP>
   c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs primary DNS Server IP >
   c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs secondary DNS Server IP>
   

   Im Beispiel verweist contoso-dc2 in der contoso.com Domäne mit der GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016 in der Stammdomäne der Contoso.com Gesamtstruktur auf DIE DNS-Server "10.45.42.102" und "10.45.42.103". Die NSLOOKUP-Syntax lautet wie folgt:

   c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.102
   c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.103
   c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102
   c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102  
   

6. Überprüfen der Beziehung zwischen den DNS-Servern, die von den Quell- und Ziel-DCs verwendet werden

   Wenn die von der Quelle und dem Ziel verwendeten DNS-Server AD-integrierte Kopien des _msdcs.<Stamm-> und <primäre DNS-Suffixzonen> der Gesamtstruktur:

   • Replikationslatenz zwischen dem DNS, in dem der Eintrag registriert wurde, und dem DNS, in dem der Eintrag abgefragt wird.
   • Ein Replikationsfehler zwischen dem DNS, in dem der Eintrag registriert ist, und dem abgefragten DNS.
   • Die DNS-Zone, die den relevanten Datensatz hostet, verbleibt in unterschiedlichen Replikationsbereichen und daher in unterschiedlichen Inhalten oder ist auf einem oder mehreren DCs CNF/Konfliktmangling.

   Wenn die vom Quell- und Zieldomänencontroller verwendeten DNS-Zonen in primären und sekundären Kopien von DNS-Zonen gespeichert sind, überprüfen Sie Folgendes:

   • Das Kontrollkästchen "Zonenübertragungen zulassen" ist für das DNS, das die primäre Kopie der Zone hostet, nicht aktiviert.
   • Das Kontrollkästchen "Nur die folgenden Server" ist aktiviert, aber die IP-Adresse des sekundären DNS wurde der Positivliste im primären DNS nicht hinzugefügt.
   • Die DNS-Zone im Windows Server 2008-DNS, in dem die sekundäre Kopie der Zone gehostet wird, ist aufgrund von KB953317 leer.

   Wenn die vom Quell- und Zieldomänencontroller verwendeten DNS-Server über über-/untergeordnete Beziehungen verfügen, überprüfen Sie folgendes:

   • Ungültige Delegierungen im DNS, das die übergeordnete Zone besitzt, die an die untergeordnete Zone delegiert wird.
   • Ungültige Weiterleitungs-IP-Adressen auf dem DNS-Server, die versuchen, die übergeordnete DNS-Zone aufzulösen (Beispiel: ein DC in child.contoso.com versucht, Hosteinträge in conto.com Zone aufzulösen, die auf DNS-Servern in der Stammdomäne verbleiben).

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.