Verificar a funcionalidade do DNS para oferecer suporte à replicação de diretório

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Para verificar as configurações do DNS (Sistema de Nomes de Domínio) que podem interferir na replicação do Active Directory, comece executando o teste básico que verifica se o DNS está funcionando corretamente no seu domínio. Depois de executar o teste básico, você poderá testar outros aspectos da funcionalidade do DNS, incluindo o registro do registro de recurso e a atualização dinâmica.

Embora você possa executar esse teste da funcionalidade básica do DNS em qualquer controlador de domínio, normalmente, esse teste é executado em controladores de domínio que você acredita que podem enfrentar problemas de replicação, por exemplo, controladores de domínio que relatam as IDs de Evento 1844, 1925, 2087 ou 2088 no log do DNS do Serviço de Diretório do Visualizador de Eventos.

Como executar o teste básico do DNS do controlador de domínio

O teste básico do DNS verifica os seguintes aspectos da funcionalidade do DNS:

• Conectividade: o teste determina se os controladores de domínio estão registrados no DNS, podem ser contatados pelo comando ping e têm conectividade do protocolo LDAP/RPC (chamada de procedimento remoto). Se o teste de conectividade falhar em um controlador de domínio, nenhum outro teste será executado nesse controlador de domínio. O teste de conectividade é executado automaticamente antes de qualquer outro teste do DNS.
• Serviços essenciais: o teste confirma se os seguintes serviços estão em execução e disponíveis no controlador de domínio testado: serviço Cliente DNS, serviço Logon de Rede, serviço KDC (centro de distribuição de chaves) e serviço Servidor DNS (se o DNS estiver instalado no controlador de domínio).
• Configuração do cliente DNS: o teste confirma se os servidores DNS em todos os adaptadores de rede do computador cliente DNS estão acessíveis.
• Registros de registro de recurso: o teste confirma que o registro de recurso do host (A) de cada controlador de domínio está registrado em, no mínimo, um dos servidores DNS configurados no computador cliente.
• Zona e SOA: se o controlador de domínio estiver executando o serviço Servidor DNS, o teste confirmará que a zona de domínio do Active Directory e o registro de recurso SOA da zona de domínio do Active Directory estão presentes.
• Zona raiz: verifica se a zona raiz (.) está presente.

A associação em Administradores Corporativos ou o equivalente é o requisito mínimo necessário para concluir estes procedimentos.

Use o procedimento a seguir para verificar a funcionalidade básica do DNS.

Para verificar a funcionalidade básica do DNS:

1. No controlador de domínio que você testar ou em um computador membro do domínio que tenha as Ferramentas do AD DS (Active Directory Domain Services) instaladas, abra um prompt de comando como administrador. Para abrir um prompt de comando como administrador, clique em Iniciar.

2. Em Iniciar Pesquisa, digite Prompt de Comando.

3. Na parte superior do menu Iniciar, clique com o botão direito no Prompt de Comando e, em seguida, clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.

4. No prompt de comando, digite o seguinte comando e pressione ENTER: dcdiag /test:dns /v /s:<DCName> /DnsBasic /f:dcdiagreport.txt
   
   Substitua o nome diferenciado real, o nome NetBIOS ou o nome DNS do controlador de domínio de <DCName>. Como alternativa, você pode testar todos os controladores de domínio na floresta digitando /e: em vez de /s:. A opção /f especifica um nome de arquivo, que no comando anterior é dcdiagreport.txt. Caso deseje colocar o arquivo em um local diferente do diretório de trabalho atual, especifique um caminho de arquivo, como /f:c:reportsdcdiagreport.txt.

5. Abra o arquivo dcdiagreport.txt no Bloco de notas ou em um editor de texto semelhante. Para abrir o arquivo no Bloco de notas, no prompt de comando, digite notepad dcdiagreport.txt e pressione ENTER. Se você colocou o arquivo em outro diretório de trabalho, inclua o caminho para o arquivo. Por exemplo, se você colocou o arquivo em c:reports, digite notepad c:reportsdcdiagreport.txt e pressione ENTER.

6. Role a página até a tabela Resumo perto do final do arquivo.
   
   Observe os nomes de todos os controladores de domínio que relatam o status "Aviso" ou "Falha" na tabela Resumo. Tente determinar se há um controlador de domínio com problema encontrando a seção de descrição detalhada pesquisando a cadeia de caracteres "DC: DCName", em que DCName é o nome real do controlador de domínio.

Se você observar alterações de configuração óbvias que sejam necessárias, faça-as, conforme apropriado. Por exemplo, se você observar que um dos controladores de domínio tem um endereço IP obviamente incorreto, corrija-o. Em seguida, execute novamente o teste.

Para validar as alterações de configuração, execute novamente o comando Dcdiag /test:DNS /v com a opção /e: ou /s:, conforme apropriado. Se você não tiver o IPv6 (IP versão 6) habilitado no controlador de domínio, deverá esperar uma falha na parte de validação (AAAA) do host do teste, mas se não estiver usando o IPv6 na rede, esses registros não serão necessários.

Como verificar o registro do registro de recurso

O controlador de domínio de destino usa o registro de recurso de alias DNS (CNAME) para localizar o parceiro de replicação do controlador de domínio de origem. Mesmo assim, os controladores de domínio que executam o Windows Server, a partir do Windows Server 2003 com o Service Pack 1 (SP1), podem localizar os parceiros de replicação de origem usando FQDNs (nomes de domínio totalmente qualificados) ou, se isso falhar, os nomes NetBIOS. A presença do registro de recurso de alias (CNAME) é esperada e deverá ser verificada para o funcionamento correto do DNS.

Use o procedimento a seguir para verificar o registro do registro de recurso, incluindo o registro do registro de recurso de alias (CNAME).

Para verificar o registro do registro de recurso

1. Abra um prompt de comando como administrador. Para abrir um prompt de comando como administrador, clique em Iniciar. Em Iniciar Pesquisa, digite Prompt de Comando.
2. Na parte superior do menu Iniciar, clique com o botão direito no Prompt de Comando e, em seguida, clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.
   
   Use a ferramenta Dcdiag para verificar o registro de todos os registros de recurso essenciais para o local do controlador de domínio executando o comando dcdiag /test:dns /DnsRecordRegistration.

Este comando verifica o registro dos seguintes registros de recurso no DNS:

• alias (CNAME): o registro de recurso baseado em GUID (identificador global exclusivo) que localiza um parceiro de replicação
• host (A): o registro de recurso do host que contém o endereço IP do controlador de domínio
• SRV do LDAP: os SRVs (registros de recurso do serviço) que localizam os servidores LDAP
• SRV do GC: os SRVs (registros de recurso do serviço) que localizam os servidores de catálogo global
• SRV do PDC: os SRVs (registros de recurso do serviço) que localizam os mestres de operações do emulador de PDC (controlador de domínio primário)

Use o procedimento a seguir para verificar o registro do registro de recurso de alias (CNAME) sozinho.

Para verificar o registro do registro de recurso de alias (CNAME)

1. Abra o snap-in DNS. Para abrir o DNS, clique em Iniciar. Em Iniciar Pesquisa, digite dnsmgmt.msc e pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se ela mostra a ação desejada e clique em Continuar.
2. Use o snap-in do DNS para localizar qualquer controlador de domínio que esteja executando o serviço Servidor DNS, em que o servidor hospeda a zona DNS com o mesmo nome do domínio do Active Directory do controlador de domínio.
3. Na árvore do console, clique na zona chamada _msdcs.Dns_Domain_Name.
4. No painel de detalhes, verifique se os seguintes registros de recurso estão presentes: um registro de recurso de alias (CNAME) chamado Dsa_Guid._msdcs.<> Dns_Domain_Name e um registro de recurso (A) de host correspondente ao nome do servidor DNS.

Se o registro de recurso de alias (CNAME) não estiver registrado, verifique se a atualização dinâmica está funcionando corretamente. Use o teste da seção a seguir para verificar a atualização dinâmica.

Como verificar a atualização dinâmica

Se o teste básico do DNS mostrar que os registros de recurso não existem no DNS, use o teste de atualização dinâmica para determinar o motivo pelo qual o serviço Logon de Rede não registrou os registros de recurso automaticamente. Para verificar se a zona de domínio do Active Directory está configurada para aceitar atualizações dinâmicas seguras e executar o registro de um registro de teste (_dcdiag_test_record), use o procedimento a seguir. O registro de teste é excluído automaticamente após o teste.

Para verificar a atualização dinâmica

1. Abra um prompt de comando como administrador. Para abrir um prompt de comando como administrador, clique em Iniciar. Em Iniciar Pesquisa, digite Prompt de Comando. Na parte superior do menu Iniciar, clique com o botão direito no Prompt de Comando e, em seguida, clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.
2. No prompt de comando, digite o seguinte comando e pressione ENTER: dcdiag /test:dns /v /s:<DCName> /DnsDynamicUpdate
   
   Substitua o nome diferenciado, o nome NetBIOS ou o nome DNS do controlador de domínio de <DCName>. Como alternativa, você pode testar todos os controladores de domínio na floresta digitando /e: em vez de /s:. Se você não tiver o IPv6 habilitado no controlador de domínio, deverá esperar uma falha na parte do registro de recurso do host (AAAA) do teste, o que é uma condição normal quando o IPv6 não está habilitado.

Se as atualizações dinâmicas seguras não estiverem configuradas, use o procedimento a seguir para configurá-las.

Para habilitar atualizações dinâmicas seguras

1. Abra o snap-in DNS. Para abrir o DNS, clique em Iniciar.
2. Em Iniciar Pesquisa, digite dnsmgmt.msc e pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se ela mostra a ação desejada e clique em Continuar.
3. Na árvore do console, clique com o botão direito do mouse na zona aplicável e clique em Propriedades.
4. Na guia Geral, verifique se o tipo de zona é integrado ao Active Directory.
5. Em Atualizações Dinâmicas, clique em Somente seguras.

Como registrar registros de recurso DNS

Se os registros de recurso DNS não são exibidos no DNS para o controlador de domínio de origem, se você verificou as atualizações dinâmicas e de deseja registrar os registros de recurso DNS imediatamente, force o registro manualmente usando o procedimento a seguir. O serviço Logon de Rede em um controlador de domínio registra os registros de recurso DNS necessários para que o controlador de domínio esteja localizado na rede. O serviço Cliente DNS registra o registro de recurso do host (A) para o qual o registro de alias (CNAME) aponta.

Para registrar registros de recurso DNS manualmente

1. Abra um prompt de comando como administrador. Para abrir um prompt de comando como administrador, clique em Iniciar.
2. Em Iniciar Pesquisa, digite Prompt de Comando.
3. Na parte superior do menu Iniciar, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.
4. Para iniciar o registro do registros de recurso do localizador do controlador de domínio manualmente no controlador de domínio de origem, no prompt de comando, digite o seguinte comando e pressione ENTER: net stop netlogon && net start netlogon
5. Para iniciar o registro do registro de recurso do host (A) manualmente, no prompt de comando, digite o seguinte comando e pressione ENTER: ipconfig /flushdns && ipconfig /registerdns
6. No prompt de comando, digite o seguinte comando e pressione ENTER: dcdiag /test:dns /v /s:<DCName>
   
   Substitua o nome diferenciado, o nome NetBIOS ou o nome DNS do controlador de domínio de <DCName>. Revise a saída do teste para verificar se os testes do DNS foram aprovados. Se você não tiver o IPv6 habilitado no controlador de domínio, deverá esperar uma falha na parte do registro de recurso do host (AAAA) do teste, o que é uma condição normal quando o IPv6 não está habilitado.