Active Directory-Replikationsfehler 8524: Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
In diesem Artikel werden Symptome, Ursachen und Lösungsschritte für AD-Vorgänge beschrieben, die mit Win32-Fehler 8524 fehlschlagen:
Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2021446
Private Benutzer: Dieser Artikel richtet sich nur an Technische Supportmitarbeiter und IT-Experten. Wenn Sie Hilfe bei einem Problem benötigen, wenden Sie sich an die Microsoft Community.
Symptome
DCDIAG meldet, dass der Active Directory-Replikationstest mit status 8524 fehlgeschlagen ist:
Testserver: <Standortname><Ziel-DC>
Test wird gestartet: Replikationen
[Replikationsprüfung,Ziel-DC<>] Fehler beim letzten Replikationsversuch: Vom <Quell-Domänencontroller> zum <Zieldomänencontroller>
Benennungskontext:
CN=<DN-Pfad für fehlerhafte Verzeichnispartition,DC>=Contoso,DC=Com
Die Replikation hat einen Fehler (8524) generiert:
Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.REPADMIN meldet, dass ein Replikationsversuch mit status 8524 fehlgeschlagen ist.
REPADMIN-Befehle, die häufig die 8524-status enthalten, sind jedoch nicht auf Folgendes beschränkt:
REPADMIN /REPLSUM
REPADMIN /SHOWREPS
REPADMIN /SHOWREPL
Ein Beispiel für 8524-Fehler von REPADMIN /SHOWREPL ist unten dargestellt:
Default-First-Site-Name\CONTOSO-DC1
DSA-Optionen: IS_GC
Websiteoptionen: (keine)
DSA-Objekt-GUID: DSA-Aufruf-ID:
DC=contoso,DC=com
Default-First-Site-Name\CONTOSO-DC2 über RPC
DSA-Objekt-GUID:
Letzter Versuch @ JJJJ-MM-TT HH:MM:SS fehlgeschlagen, Ergebnis 8524 (0x214c):
Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
1 aufeinanderfolgende Fehler.
Letzter Erfolg @ JJJJ-MM-TT HH:MM:SS.Rest der /showrepl-Ausgabe abgeschnitten
Eines der folgenden Ereignisse mit dem status 8524 wird im Verzeichnisdienstereignisprotokoll protokolliert:
- NTDS Knowledge Consistency Checker (KCC)
- NTDS Allgemein
- Microsoft-Windows-ActiveDirectory_DomainService
Active Directory-Ereignisse, die häufig die 8524-status enthalten, sind jedoch nicht beschränkt auf:
Ereignis Quelle Ereigniszeichenfolge Microsoft-Windows-ActiveDirectory_DomainService 2023 Dieser Verzeichnisserver konnte keine Änderungen an dem folgenden Remoteverzeichnisserver für die folgende Verzeichnispartition replizieren: NTDS Allgemein 1655 Active Directory hat versucht, mit dem folgenden globalen Katalog zu kommunizieren, und die Versuche waren nicht erfolgreich. NTDS KCC 1308 Der KCC hat festgestellt, dass aufeinanderfolgende Replikationsversuche mit dem folgenden Verzeichnisdienst konsistent fehlgeschlagen sind. NTDS KCC 1865 Der KCC konnte keine vollständige Netzwerktopologie für die gesamte Struktur bilden. Daher kann die folgende Liste der Websites nicht vom lokalen Standort aus erreicht werden NTDS KCC 1925 Fehler beim Versuch, einen Replikationslink für die folgende beschreibbare Verzeichnispartition einzurichten. NTDS KCC 1926 Fehler beim Versuch, eine Replikationsverknüpfung mit einer schreibgeschützten Verzeichnispartition mit den folgenden Parametern herzustellen Domänencontroller protokollieren das NTDS-Replikationsereignis 2087 und das NTDS-Replikationsereignis 2088 in ihrem Verzeichnisdienstereignisprotokoll:
Protokollname: Verzeichnisdienst
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Datum: <Datum><Uhrzeit>
Ereignis-ID: 2087
Aufgabenkategorie: DS RPC-Client
Ebene: Fehler
Schlüsselwörter: Klassisch
Benutzer: ANONYME ANMELDUNG
Computer: <DC-Name>.<Domänennamen>
Beschreibung:Active Directory Domain Services konnte den folgenden DNS-Hostnamen des Quelldomänencontrollers nicht in eine IP-Adresse auflösen. Dieser Fehler verhindert, dass Ergänzungen, Löschungen und Änderungen in Active Directory Domain Services zwischen einem oder mehreren Domänencontrollern in der Gesamtstruktur repliziert werden. Sicherheitsgruppen, Gruppenrichtlinien, Benutzer und Computer sowie deren Kennwörter sind zwischen Domänencontrollern inkonsistent, bis dieser Fehler behoben ist. Dies wirkt sich möglicherweise auf die Anmeldeauthentifizierung und den Zugriff auf Netzwerkressourcen aus.
Protokollname: Verzeichnisdienst
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Datum: <Datum><Uhrzeit>
Ereignis-ID: 2088
Aufgabenkategorie: DS RPC-Client
Stufe: Warnung
Schlüsselwörter: Klassisch
Benutzer: ANONYME ANMELDUNG
Computer: <DC-Name>.<Domänennamen>
Beschreibung:
Active Directory Domain Services konnte DNS nicht verwenden, um die IP-Adresse des unten aufgeführten Quelldomänencontrollers aufzulösen. Um die Konsistenz von Sicherheitsgruppen, Gruppenrichtlinien, Benutzern und Computern und deren Kennwörtern zu gewährleisten, Active Directory Domain Services erfolgreich mithilfe des NetBIOS- oder vollqualifizierten Computernamens des Quelldomänencontrollers repliziert.Eine ungültige DNS-Konfiguration kann sich auf andere wichtige Vorgänge auf Mitgliedscomputern, Domänencontrollern oder Anwendungsservern in dieser Active Directory Domain Services Gesamtstruktur auswirken, einschließlich Anmeldeauthentifizierung oder Zugriff auf Netzwerkressourcen.
Sie sollten diesen DNS-Konfigurationsfehler sofort beheben, damit dieser Domänencontroller die IP-Adresse des Quelldomänencontrollers mithilfe von DNS auflösen kann.
Ursache
Fehlerstatus 8524 wird der folgenden Fehlerzeichenfolge zugeordnet:
Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
Dies ist ein Abfangfehler für alle möglichen DNS-Fehler, die Active Directory auf Windows Server 2003 SP1-Domänencontrollern betreffen.
Microsoft-Windows-ActiveDirectory_DomainService
Ereignis 2087 ist ein Partnerereignis für andere Active Directory-Ereignisse, die den 8524-status zitieren, wenn ein Active Directory-Domänencontroller einen Remotedomänencontroller nicht durch seinen vollqualifizierten CNAME-Eintrag auflösen kann (<Objekt-GUID für das NTDS-Einstellungsobjekt> der Quell-DCs._msdcs.<Stammdomäne> der Gesamtstruktur), die DNS verwendet.
Microsoft-Windows-ActiveDirectory_DomainService
Ereignis 2088 wird protokolliert, wenn ein Quelldomänencontroller erfolgreich durch seinen NetBIOS-Namen aufgelöst wird, ein solches Fallback für die Namensauflösung jedoch nur auftritt, wenn die DNS-Namensauflösung fehlschlägt.
Das Vorhandensein der Ereignisse 8524 status und Microsoft-Windows-ActiveDirectory_DomainService Ereignis 2088 oder 2087 deuten alle darauf hin, dass die DNS-Namensauflösung Active Directory fehlschlägt.
Zusammenfassend wird die 8524-Replikations-status protokolliert, wenn ein Zieldomänencontroller den Quelldomänencontroller nicht durch seine CNAME- und Host "A"- oder Host "AAA"-Einträge mithilfe von DNS auflösen kann. Zu den spezifischen Grundursachen gehören:
Der Quelldomänencontroller ist offline oder nicht mehr vorhanden, aber sein NTDS-Einstellungsobjekt ist weiterhin in der Kopie von Active Directory des Zieldomänencontrollers vorhanden.
Der Quelldomänencontroller konnte die CNAME- oder Hosteinträge aus folgenden Gründen nicht auf einem oder mehreren DNS-Servern registrieren:
- Fehler bei den Registrierungsversuchen.
- DNS-Clienteinstellungen in der Quelle verweisen nicht auf DNS-Server, die die _msdcs hosten, weiterleiten oder delegieren.<Gesamtstruktur-Stammdomänenzone und (oder) primäre DNS-Suffix-Domänenzonen>.
DNS-Clienteinstellungen auf dem Zieldomänencontroller verweisen nicht auf DNS-Server, die die DNS-Zonen hosten, weiterleiten oder delegieren, die den CNAME oder Hosteinträge für den Quelldomänencontroller enthalten.
CNAME- und Hosteinträge, die vom Quelldomänencontroller registriert sind, sind auf DNS-Servern, die vom Zieldomänencontroller abgefragt werden, aus folgenden Gründen nicht vorhanden:
- Einfache Replikationslatenz
- Replikationsfehler
- Fehler bei der Zonenübertragung
Ungültige Weiterleitungen oder Delegierungen. Sie verhindern, dass der Zieldomänencontroller CNAME- oder Hostdatensätze für DOmänencontroller in anderen Domänen in der Gesamtstruktur auflöst.
DNS-Server, die von Ziel-Domänencontrollern, Quelldomänencontrollern oder DNS-Zwischenservern verwendet werden, funktionieren nicht ordnungsgemäß.
Lösung
Überprüfen Sie, ob die 8524 durch einen Offline-DC oder veralteten DC-Metadaten verursacht wird.
Wenn sich der Fehler/Das Ereignis 8524 auf einen Domänencontroller bezieht, der derzeit offline ist, aber in der Gesamtstruktur noch gültig ist, machen Sie ihn betriebsbereit.
Wenn sich der Fehler 8524 auf einen inaktiven Domänencontroller bezieht, entfernen Sie die veralteten Metadaten für diesen Domänencontroller aus der Kopie des Zieldomänencontrollers von Active Directory. Ein inaktiver Domänencontroller ist eine DC-Installation, die nicht mehr im Netzwerk vorhanden ist, aber sein NTDS-Einstellungsobjekt ist weiterhin in der Kopie des Zieldomänencontrollers von Active Directory vorhanden:
Der Microsoft-Support findet regelmäßig veraltete Metadaten für nicht vorhandene DOmänencontroller oder veraltete Metadaten aus früheren Höherstufungen eines Domänencontrollers mit demselben Computernamen, der nicht aus Active Directory entfernt wurde.
Entfernen veralteter DC-Metadaten (falls vorhanden)
GUI-Metadatenbereinigung mithilfe von Active Directory-Standorten und -Diensten (DSSITE. MSC)
Starten Sie das Snap-In "Windows Server 2008" oder "Windows Server 2008 R2 Active Directory-Standorte und -Dienste" (DSSITE. MSC).
Dies kann auch durch Starten der Active Directory-Standorte und -Dienste auf einem Windows Vista- oder Windows 7-Computer erfolgen, der als Teil des RSAT-Pakets (Remote Server Administration Tools) installiert wurde.
Konzentrieren Sie sich auf die DSSITE. MSC-Snap-In auf der Kopie des Zieldomänencontrollers von Active Directory.
Nach dem Starten von DSSITE. MSC, klicken Sie mit der rechten Maustaste auf "Active Directory-Standorte und -Dienste [<DC-Name>]
Wählen Sie den Zieldomänencontroller aus, der den Fehler/das Ereignis 8524 protokolliert, aus der Liste der Domänencontroller, die unter "Domänencontroller ändern..." angezeigt werden. Liste
Löschen Sie das NTDS-Einstellungsobjekt der Quell-DCs, auf das in den 8524-Fehlern und -Ereignissen verwiesen wird. Active Directory-Benutzer und -Computer (DSA. MSC) Snap-In, und löschen Sie entweder das NTDS-Einstellungsobjekt der Quell-DCs.
Ein DCs NTDS-Einstellungsobjekt wird angezeigt.
- Unter den Containern Standorte, Standortname, Servercontainer und %Servername%
- Über dem Objekt für eingehende Verbindungen, das im rechten Bereich von Active Directory-Standorte und -Dienste angezeigt wird.
Die rote Hervorhebung im folgenden Screenshot zeigt das NTDS-Einstellungsobjekt für CONTOSO-DC2 unterhalb der Website Default-First-Site-Name.
Klicken Sie mit der rechten Maustaste auf das veraltete NTDS-Einstellungsobjekt, das Sie entfernen möchten, und wählen Sie dann "Löschen" aus.
Die Metadatenbereinigung kann auch über das W2K8/W2K8 R2 Active Directory-Benutzer und -Computer Snap-In erfolgen, wie in TECHNET dokumentiert.
Bereinigung von Befehlszeilenmetadaten mithilfe von NTDSUTIL
Die Legacy- oder Befehlszeilenmethode zum Löschen veralteter NTDS-Einstellungsobjekte mithilfe des Befehls NTDSUTIL metadata cleanup ist in MSKB 216498 dokumentiert.
Ausführen DCDIAG /TEST:DNS
auf dem Quell-DC + Zieldomänencontroller
DCDIAG /TEST:DNS
führt sieben verschiedene Tests durch, um schnell die DNS-Integrität eines Domänencontrollers zu überprüfen. Dieser Test wird nicht als Teil der Standardausführung von DCDIAG ausgeführt.
Melden Sie sich mit Enterprise Admin Anmeldeinformationen bei der Konsole der Zieldomänencontroller an, die die 8524-Ereignisse protokollieren.
Öffnen Sie eine administratorrechtliche CMD-Eingabeaufforderung, und führen Sie dann auf dem Domänencontroller aus, und protokollieren
DCDIAG /TEST:DNS /F
Sie die 8424-status und den Quelldomänencontroller, von dem der Zieldomänencontroller repliziert wird.Um DCDIAG für alle DCs in einer Gesamtstruktur auszuführen, geben Sie ein
DCDIAG /TEST:DNS /V /E /F:<File name.txt>
.Um DCDIAG TEST:DNS für einen bestimmten Domänencontroller auszuführen, geben Sie ein
DCDIAG /TEST:DNS /V /S:<DC NAME> /F:<File name.txt>
.Suchen Sie die Zusammenfassungstabelle am Ende der
DCDIAG /TEST:DNS
Ausgabe. Identifizieren und Abstimmen von Warnungs- oder Fehlerbedingungen auf den relevanten DOMÄNENCONTROLLER des Berichts.Wenn DCDIAG die Grundursache nicht identifiziert, führen Sie die folgenden Schritte aus.
Überprüfen der Active Directory-Namensauflösung mithilfe von PING
Ziel-DCs lösen Quell-DCs im DNS durch ihre vollqualifizierten CNAME-Einträge auf, die von der Objekt-GUID des NTDS-Einstellungsobjekts des Remote-DCs abgeleitet werden (das übergeordnete Objekt für Verbindungsobjekte, die im Snap-In Active Directory-Standorte und -Dienste sichtbar sind). Sie können die Fähigkeit eines bestimmten DOmänencontrollers testen, einen vollqualifizierten CNAME-Eintrag eines Quelldomänencontrollers aufzulösen, indem Sie den PING-Befehl verwenden.
Suchen Sie die objectGUID des NTDS-Einstellungsobjekts der Quell-DCs in der Kopie von Active Directory der Quell-DCs.
Geben Sie in der Konsole des Quelldomänencontrollers, der den Fehler/das Ereignis 8524 protokolliert, Folgendes ein:
repadmin /showrepl <fully qualified hostname of source DC cited in the 8524 error (event)>
Wenn der DC, auf den im Fehler/Ereignis 8524 verwiesen wird, beispielsweise contoso-DC2 in der
contoso.com
Domäne ist, geben Sie Folgendes ein:repadmin /showrepl contoso-dc2.contoso.com
Das Feld "DSA Object GUID" im Header des
repadmin /SHOWREPl
Befehls enthält die objectGUID des aktuellen NTDS-Einstellungsobjekts der Quell-DCs. Verwenden Sie die Ansicht der Quell-DCs ihres NTDS-Einstellungsobjekts für den Fall, dass die Replikation langsam ist oder fehlschlägt. Der Header derrepadmin
Ausgabe sieht in etwa wie folgt aus:Default-First-Site-Name\CONTOSO-DC1
DSA-Optionen: IS_GC
Websiteoptionen: (keine)
DSA-Objekt-GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 <– Klicken Sie mit der rechten Maustaste, und kopieren Sie diese Zeichenfolge in windows
<– Zwischenablage & den PING-Befehl in die Zwischenablage einfügen
<- Schritt 4Suchen Sie die ObjectGUID des Quelldomänencontrollers in der Active Directory-Kopie des Zieldomänencontrollers.
Geben Sie in der Konsole des Zieldomänencontrollers, der den Fehler/das Ereignis 8524 protokolliert, Folgendes ein:
repadmin /showrepl <fully qualified hostname of destination DC>
Wenn der Dc-Protokollierungsfehler 8524 beispielsweise contoso-DC1 in der
contoso.com
Domäne lautet, geben Sie Folgendes ein:repadmin /showrepl contoso-dc1.contoso.com
REPADMIN /SHOWREPL
Die Ausgabe ist unten dargestellt. Das Feld "DSA Object GUID" (DSA-Objekt-GUID) wird für jeden Quelldomänencontroller aufgelistet, von dem der Zieldomänencontroller in eingehender Richtung repliziert wird.c:\>repadmin /showreps `contoso-dc1.contoso.com` Default-First-Site-Name\CONTOSO-DC1 DSA Options: IS_GC Site Options: (none) DSA object GUID: DSA invocationID: DC=contoso,DC=com Default-First-Site-Name\CONTOSO-DC2 via RPC DSA object GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016 <- Object GUID for source DC derived from Last attempt @ 2010-03-24 15:45:15 failed, result 8524 (0x214c): \ destination DCs copy of Active Directory The DSA operation is unable to proceed because of a DNS lookup failure. 23 consecutive failure(s). Last success @ YYYY-MM-DD HH:MM:SS.
Vergleichen Sie die Objekt-GUID aus #2 und #3.
Wenn die Objekt-GUIDS identisch sind, wissen der Quell-Domänencontroller und der Zieldomänencontroller die gleiche Instanziierung (die gleiche Heraufstufung) des Quelldomänencontrollers. Wenn sie unterschiedlich sind, stellen Sie dar, welche später erstellt wurde. Das NTDS-Einstellungsobjekt mit dem früheren Erstellungsdatum ist wahrscheinlich veraltet und sollte entfernt werden.
PINGen Sie den Quell-DC durch seinen vollqualifizierten CNAME.
Testen Sie in der Konsole des Zieldomänencontrollers die Namensauflösung von Active Directory mit einem PING des vollqualifizierten CNAME-Eintrags der Quell-DCs:
c:\>ping <ObjectGUID> from source DCs NTDS Settings object._msdcs.<DNS name for Active Directory forest root domain>
In unserem Beispiel für die ObjectGUID 8a7baee5... aus der
repadmin /showreps
obigen Ausgabe des DC contoso-dc1 in dercontoso.com
Domäne würde die PING-Syntax wie folgt lauten:c:\>ping 8a7baee5-cd81-4c8c-9c0f-b10030574016. _msdcs.contoso.com
Wenn Ping funktioniert, wiederholen Sie den fehlerhaften Vorgang in Active Directory. Wenn PING fehlschlägt, fahren Sie mit "Beheben des DNS-Lookupfehlers 8524" fort, aber wiederholen Sie den PING-Test nach jedem Schritt, bis er aufgelöst wird.
Beheben des Dns-Lookupfehlers 8524: Der lange Weg
Wenn der Fehler 8524 nicht durch veraltete DC-Metadaten verursacht wird und der CNAME-PING-Test fehlschlägt, überprüfen Sie die DNS-Integrität von:
- Der Quelldomänencontroller
- Der Zieldomänencontroller
- Die von den Quell- und Zieldomänencontrollern verwendeten DNS-Server
Überprüfen Sie zusammenfassend Folgendes:
- Der Quelldomänencontroller hat die CNAME- und Hosteinträge bei einem gültigen DNS registriert.
- Der Zieldomänencontroller verweist auf gültige DNS-Server.
- Die von Quell-DCs registrierten Datensätze von Interesse können von Ziel-DOmänencontrollern aufgelöst werden.
Der Fehlermeldungstext im DS RPC-Clientereignis 2087 dokumentiert eine Benutzeraktion zum Beheben des Fehlers 8524. Es folgt ein detaillierterer Aktionsplan:
Überprüfen Sie, ob der Quelldomänencontroller auf gültige DNS-Server verweist.
Stellen Sie auf dem Quelldomänencontroller sicher, dass die DNS-Clienteinstellungen ausschließlich auf betriebsbereite DNS-Server verweisen, die the_msdcs hosten, weiterleiten oder delegieren.<Stammdomänenzone> der Gesamtstruktur (d. a. alle DCs in der contoso.com Gesamtstruktur registrieren CNAME-Einträge in the_msdcs.contoso.com Zone)
UND
Die DNS-Zone für die Active Directory-Domäne (d. a. ein Computer in der contoso.com Domäne würde Hosteinträge in contoso.com Zone registrieren).
UND
Die primäre DNS-Suffixdomäne des Computers, wenn sie sich vom Active Directory-Domänennamen unterscheidet (siehe Technet-Artikel Nicht zusammenhängender Namespace).
Optionen zum Überprüfen, ob ein DNS-Server solche Zonen hostet, weiterleitet oder delegiert (d. h. "kann aufgelöst werden").
Starten Sie das DNS-Verwaltungstool für Ihr DNS, und überprüfen Sie die DNS-Server, auf die der Quelldomänencontroller für die Namensauflösung verweist, die betreffenden Zonen hosten.
Verwenden Sie NSLOOKUP, um zu überprüfen, ob alle DNS-Server, auf die der Quelldomänencontroller verweist, Abfragen für die betreffenden DNS-Zonen auflösen können.
Führen Sie IPCONFIG /ALL auf der Konsole des Quelldomänencontrollers aus.
c:\>ipconfig /all … DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP> 10.45.42.101<- Secondary DNS Server IP>
Führen Sie die folgenden NSLOOKUP-Abfragen aus:
c:\>nslookup -type=soa <Source DC DNS domain name> <source DCs primary DNS Server IP > c:\>nslookup -type=soa < Source DC DNS domain name > <source DCs secondary DNS Server IP > c:\>nslookup -type=soa <_msdcs.<forest root DNS domain> <source DCs primary DNS Server IP > c:\>nslookup -type=soa <_msdcs.<forest root DNS domain> <source DCs secondary DNS Server IP >
Wenn beispielsweise ein Domänencontroller in der
CHILD.CONTOSO.COM
Domäne dercontoso.com
Gesamtstruktur mit den IP-Adressen des primären und sekundären DNS-Servers "10.45.42.99" und "10.45.42.101" konfiguriert ist, lautet die NSLOOKUP-Syntax:c:\>nslookup -type=soa child.contoso.com 10.45.42.99 c:\>nslookup -type=soa child.contoso.com 10.45.42.101 c:\>nslookup -type=soa _msdcs.contoso.com 10.45.42.99 c:\>nslookup -type=soa _msdcs.contoso.com 10.45.42.101
Hinweise:
- Die SOA-Abfrage für die Zone _mscs.contoso.com wird ordnungsgemäß aufgelöst, wenn das Ziel-DNS über eine gute Weiterleitung oder Delegierung verfügt, oder für the_msdcs.<Stammzone> der Gesamtstruktur. Es wird nicht ordnungsgemäß aufgelöst, wenn die _msdcs.<Die Stammzone> der Gesamtstruktur auf dem abgefragten DNS-Server ist eine nicht delegierte Unterdomäne der Stammzone> der <Gesamtstruktur, bei der es sich um die Zonenbeziehung handelt, die von Windows 2000-Domänen erstellt wurde.
- CNAME-Einträge werden immer im _msdcs registriert.<Stammzone> der Gesamtstruktur, auch für DC in Nicht-Stammdomänen.
- Das Konfigurieren des DNS-Clients eines Domänencontrollers oder Mitgliedscomputers, der auf einen ISP-DNS-Server für die Namensauflösung verweist, ist ungültig. Die einzige Ausnahme ist, dass ISP einen Vertrag abgeschlossen (d. h. kostenpflichtig) wurde und derzeit DNS-Abfragen für Ihre Active Directory-Gesamtstruktur hostet, weiterleitet oder delegiert.
- ISP-DNS-Server akzeptieren in der Regel keine dynamischen DNS-Updates, sodass CNAME-, Host- und SRV-Einträge möglicherweise manuell registriert werden müssen.
Überprüfen Sie, ob der Quelldomänencontroller seinen CNAME-Eintrag registriert hat.
Verwenden Sie Schritt 1 aus "Überprüfen der Active Directory-Namensauflösung mithilfe von PING", um den aktuellen CNAME des Quelldomänencontrollers zu suchen.
Führen Sie
ipconfig /all
auf der Konsole des Quelldomänencontrollers aus, um zu bestimmen, auf welche DNS-Server der Quelldomänencontroller für die Namensauflösung verweist.c:\>ipconfig /all … DNS Servers . . . . . . . . . . . : 10.45.42.99 <primary DNS Server IP 10.45.41.101 <secondary DNS Server IP
Verwenden Sie NSLOOKUP, um die aktuellen DNS-Server nach dem CNAME-Eintrag der Quell-DCs abzufragen (gefunden über das Verfahren unter Überprüfen der Active Directory-Namensauflösung mithilfe von PING).
c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs primary DNS Server IP > c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs secondary DNS Server IP>
Im Beispiel lautet das NTDS-EinstellungsobjektGUID für contoso-dc2 in der contoso.com Domäne 8a7baee5-cd81-4c8c-9c0f-b10030574016. Er verweist auf "10.45.42.99" als primärer Wert für die DNS-Namensauflösung. Die NSLOOKUP-Syntax lautet wie folgt:
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.99 c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.101
Wenn der Quelldomänencontroller seinen CNAME-Eintrag nicht auf den DNS-Servern registriert hat, auf die er zur Namensauflösung verweist, führen Sie den folgenden Befehl auf dem Quelldomänencontroller aus. Überprüfen Sie dann erneut die Registrierung des CNAME-Eintrags:
c:\>net stop netlogon & net start netlogon
Hinweise:
- CNAME-Einträge werden immer im _msdcs registriert.<Stammzone> der Gesamtstruktur, auch für DC in Nicht-Stammdomänen.
- CNAME-Einträge werden vom NETLOGON-Dienst während des Betriebssystemstarts, beim Starten des NETLOGON-Diensts und später während wiederkehrender Intervalle registriert.
- Jede Heraufstufung eines Domänencontrollers mit demselben Namen kann ein neues NTDS-Einstellungsobjekt mit einer anderen objectGUID erstellen, die daher einen anderen CNAME-Eintrag registriert. Überprüfen Sie die Registrierung des CNAME-Eintrags basierend auf der letzten Heraufstufung des Quelldomänencontrollers im Vergleich zur objectGUID für das NTDS-Einstellungsobjekt auf dem Zieldomänencontroller, wenn die Quelle mehr als 1x höher gestuft wurde.
- Zeitsteuerungsprobleme während des Betriebssystemstarts können eine erfolgreiche dynamische DNS-Registrierung verzögern.
- Wenn der CNAME-Eintrag eines Domänencontrollers erfolgreich registriert wurde, aber später nicht mehr angezeigt wird, überprüfen Sie KB953317. Doppelte DNS-Zonen in verschiedenen Replikationsbereichen oder übermäßig aggressive DNS-Abgrenzung durch den DNS-Server.
- Wenn bei der Registrierung des CNAME-Eintrags auf den DNS-Servern, auf die der Quelldomänencontroller für die Namensauflösung verweist, ein Fehler auftritt, überprüfen Sie NETLOGN-Ereignisse im SYSTEM-Ereignisprotokoll auf DNS-Registrierungsfehler.
Überprüfen Sie, ob der Quelldomänencontroller seine Hostdatensätze registriert hat.
Führen Sie in der Konsole des Quelldomänencontrollers aus
ipconfig /all
, um zu ermitteln, auf welche DNS-Server der Quelldomänencontroller für die Namensauflösung verweist.c:\>ipconfig /all … DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP> 10.45.42.101<- Secondary DNS Server IP>
Verwenden Sie NSLOOKUP, um die aktuellen DNS-Server für den Hosteintrag abzufragen.
c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs primary DNS Server IP > c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs secondary DNS Server IP>
Das Beispiel für den Hostnamen für contoso-dc2 in der contoso.com Domäne lautet 8a7baee5-cd81-4c8c-9c0f-b10030574016 und verweist auf self (127.0.0.1) als primäre Dns-Namensauflösung. Die NSLOOKUP-Syntax lautet wie folgt:
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.99 c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.101
Wiederholen Sie den Befehl NSLOOKUP für die IP-Adresse des sekundären DNS-Servers der Quell-DCs.
Geben Sie den folgenden Befehl in der Konsole des Computers ein, um host "A"-Einträge dynamisch zu registrieren:
c:\>ipconfig /registerdns
Hinweise:
- Windows 2000- bis Windows Server 2008 R2-Computer registrieren alle IPv4-Host "A"-Einträge.
- Computer mit Windows Server 2008 und Windows Server 2008 R2 registrieren alle AAAA-Einträge des IPv6-Hosts.
- Die Hosteinträge "A" und "AAAA" werden in der primären DNS-Suffixzone des Computers registriert.
- Deaktivieren Sie NiCs, an die keine Netzwerkkabel angeschlossen sind.
- Deaktivieren Sie die Registrierung von Hostdatensätzen auf NICs, auf die DCs und Mitgliedscomputer im Netzwerk nicht zugreifen können.
- Es wird nicht unterstützt, das IPv6-Protokoll durch Deaktivieren des IPv6-Kontrollkästchens im Netzwerk Karte Eigenschaften zu deaktivieren.
Überprüfen Sie, ob der Zieldomänencontroller auf gültige DNS-Server verweist.
Stellen Sie auf dem Zieldomänencontroller sicher, dass die DNS-Clienteinstellungen ausschließlich auf derzeit online verfügbare DNS-Server verweisen, die die _msdcs hosten, weiterleiten und delegieren.<Stammdomänenzone> der Gesamtstruktur (d. a. alle DCs in der contoso.com Gesamtstruktur registrieren CNAME-Einträge in the_msdcs.contoso.com Zone).
UND
Die DNS-Zone für die Active Directory-Domäne (d. a. ein Computer in der contoso.com Domäne würde Hosteinträge in contoso.com Zone registrieren).
UND
Die primäre DNS-Suffixdomäne des Computers, wenn sie sich vom Active Directory-Domänennamen unterscheidet (siehe Technet-Artikel Nicht zusammenhängender Namespace).
Optionen zum Überprüfen, ob ein DNS-Server solche Zonen hostet, weiterleitet oder delegiert (d. a. "kann aufgelöst werden"), umfassen:
Starten Sie das DNS-Verwaltungstool für Ihr DNS, und überprüfen Sie die DNS-Server, auf die der Quelldomänencontroller für die Namensauflösung verweist, die betreffenden Zonen hosten.
ODER
Verwenden Sie NSLOOKUP, um zu überprüfen, ob alle DNS-Server, auf die der Quelldomänencontroller verweist, Abfragen für die betreffenden DNS-Zonen auflösen können.
Führen Sie IPCONFIG /ALL auf der Konsole des Zieldomänencontrollers aus:
c:\>ipconfig /all … DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP> 10.45.42.103<- Secondary DNS Server IP>
Führen Sie die folgenden NSLOOKUP-Abfragen über die Konsole des Zieldomänencontrollers aus:
c:\>nslookup -type=soa <Source DC DNS domain name> <destinatin DCs primary DNS Server IP > c:\>nslookup -type=soa < Source DC DNS domain name > <destination DCs secondary DNS Server IP > c:\>nslookup -type=soa _msdcs.<forest root DNS domain> <destination DCs primary DNS Server IP > c:\>nslookup -type=soa _msdcs.<forest root DNS name> <destination DCs secondary DNS Server IP>
Wenn beispielsweise ein DC in der CHILD.CONTOSO.COM Domäne der contoso.com Gesamtstruktur mit den IP-Adressen des primären und sekundären DNS-Servers "10.45.42.102" und "10.45.42.103" konfiguriert ist, würde die NSLOOKUP-Syntax
c:\>nslookup -type=soa child.contoso.com 10.45.42.102 c:\>nslookup -type=soa child.contoso.com 10.45.42.103 c:\>nslookup -type=soa _msdcs.contoso.com 10.45.42.102 c:\>nslookup -type=soa _msdcs.contoso.com 10.45.42.103
Hinweise:
- Die SOA-Abfrage für die Zone _mscs.contoso.com wird ordnungsgemäß aufgelöst, wenn das Ziel-DNS über eine gute Weiterleitung oder Delegierung verfügt, oder für the_msdcs.<Stammzone> der Gesamtstruktur. Es wird nicht ordnungsgemäß aufgelöst, wenn the_msdcs.<Die Stammzone> der Gesamtstruktur auf dem abgefragten DNS-Server ist eine nicht delegierte Unterdomäne der Stammzone> der <Gesamtstruktur, bei der es sich um die Zonenbeziehung handelt, die von Windows 2000-Domänen erstellt wurde.
- CNAME-Einträge werden immer im _msdcs registriert.<Stammzone> der Gesamtstruktur, auch für DC in Nicht-Stammdomänen.
- Das Konfigurieren des DNS-Clients eines Domänencontrollers oder Mitgliedscomputers, der auf einen ISP-DNS-Server für die Namensauflösung verweist, ist ungültig. Die einzige Ausnahme ist, dass ISP einen Vertrag abgeschlossen (d. h. kostenpflichtig) wurde und derzeit DNS-Abfragen für Ihre Active Directory-Gesamtstruktur hostet, weiterleitet oder delegiert.
- ISP-DNS-Server akzeptieren in der Regel keine dynamischen DNS-Updates, sodass CNAME-, Host- und SRV-Einträge möglicherweise manuell registriert werden müssen.
- Der DNS-Resolver auf den Windows-Computern ist standardmäßig "sticky". Es werden DNS-Server verwendet, die auf Abfragen reagieren, unabhängig davon, ob solche DNS-Server die erforderlichen Zonen hosten, weiterleiten oder delegieren. Der DNS-Resolver führt kein Failover durch und fragt keinen anderen DNS-Server ab, solange das aktive DNS reaktionsfähig ist, auch wenn die Antwort des DNS-Servers lautet: "Ich hoste entweder nicht den gesuchten Eintrag, oder hoste sogar eine Kopie der Zone für diesen Eintrag".
Stellen Sie sicher, dass der vom Zieldomänencontroller verwendete DNS-Server die CNAME- und HOST-Einträge der Quell-DCs auflösen kann.
Führen Sie in der Konsole des Zieldomänencontrollers aus
ipconfig /all
, um die DNS-Server zu ermitteln, auf die der Zieldomänencontroller für die Namensauflösung verweist:DNS Servers that destination DC points to for name resolution: c:\>ipconfig /all … DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP> 10.45.42.103<- Secondary DNS Server IP>
Verwenden Sie
NSLOOKUP
in der Konsole des Zieldomänencontrollers, um die DNS-Server abzufragen, die auf dem Zieldomänencontroller für die Quell-DCs CNAME und Hosteinträge konfiguriert sind:c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs primary DNS Server IP > c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs secondary DNS Server IP> c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs primary DNS Server IP > c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs secondary DNS Server IP>
Im Beispiel verweist contoso-dc2 in der contoso.com Domäne mit der GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016 in der Stammdomäne der
Contoso.com
Gesamtstruktur auf DIE DNS-Server "10.45.42.102" und "10.45.42.103". Die NSLOOKUP-Syntax lautet wie folgt:c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.102 c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.103 c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102 c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102
Überprüfen der Beziehung zwischen den DNS-Servern, die von den Quell- und Ziel-DCs verwendet werden
Wenn die von der Quelle und dem Ziel verwendeten DNS-Server AD-integrierte Kopien des _msdcs.<Stamm-> und <primäre DNS-Suffixzonen> der Gesamtstruktur:
- Replikationslatenz zwischen dem DNS, in dem der Eintrag registriert wurde, und dem DNS, in dem der Eintrag abgefragt wird.
- Ein Replikationsfehler zwischen dem DNS, in dem der Eintrag registriert ist, und dem abgefragten DNS.
- Die DNS-Zone, die den relevanten Datensatz hostet, verbleibt in unterschiedlichen Replikationsbereichen und daher in unterschiedlichen Inhalten oder ist auf einem oder mehreren DCs CNF/Konfliktmangling.
Wenn die vom Quell- und Zieldomänencontroller verwendeten DNS-Zonen in primären und sekundären Kopien von DNS-Zonen gespeichert sind, überprüfen Sie Folgendes:
- Das Kontrollkästchen "Zonenübertragungen zulassen" ist für das DNS, das die primäre Kopie der Zone hostet, nicht aktiviert.
- Das Kontrollkästchen "Nur die folgenden Server" ist aktiviert, aber die IP-Adresse des sekundären DNS wurde der Positivliste im primären DNS nicht hinzugefügt.
- Die DNS-Zone im Windows Server 2008-DNS, in dem die sekundäre Kopie der Zone gehostet wird, ist aufgrund von KB953317 leer.
Wenn die vom Quell- und Zieldomänencontroller verwendeten DNS-Server über über-/untergeordnete Beziehungen verfügen, überprüfen Sie folgendes:
- Ungültige Delegierungen im DNS, das die übergeordnete Zone besitzt, die an die untergeordnete Zone delegiert wird.
- Ungültige Weiterleitungs-IP-Adressen auf dem DNS-Server, die versuchen, die übergeordnete DNS-Zone aufzulösen (Beispiel: ein DC in child.contoso.com versucht, Hosteinträge in conto.com Zone aufzulösen, die auf DNS-Servern in der Stammdomäne verbleiben).
Datensammlung
Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für