Verificare le funzionalità DNS per supportare la replica di directory

Per controllare le impostazioni DNS (Domain Name System) che potrebbero interferire con la replica di Active Directory, si può iniziare eseguendo il test di base che assicura il funzionamento corretto di DNS per il dominio. Dopo aver eseguito il test di base, è possibile testare altri aspetti della funzionalità DNS, tra cui la registrazione dei record di risorse e l'aggiornamento dinamico.

Sebbene sia possibile eseguire questo test della funzionalità DNS di base in qualsiasi controller di dominio, in genere si esegue nei controller di dominio in cui si ritiene che si verifichino problemi di replica, ad esempio controller di dominio che segnalano ID evento 1844, 1925, 2087 o 2088 nel registro DNS del servizio directory del Visualizzatore eventi.

Esecuzione del test DNS di base del controller di dominio

Il test DNS di base controlla gli aspetti seguenti della funzionalità DNS:

• Connettività - Il test determina se i controller di dominio sono registrati in DNS, possono essere contattati dal comando ping e hanno connettività LDAP/RPC (Lightweight Directory Access Protocol/Remote Procedure Call). Se il test di connettività non riesce in un controller di dominio, in tale controller di dominio non vengono eseguiti altri test. Il test di connettività viene eseguito automaticamente prima dell'esecuzione di qualsiasi altro test DNS.
• Servizi essenziali - Il test conferma che i servizi seguenti sono in esecuzione e disponibili nel controller di dominio testato: servizio client DNS, servizio Accesso rete, servizio Centro distribuzione chiavi (KDC) e servizio Server DNS (se DNS è installato nel controller di dominio).
• Configurazione del client DNS - Il test conferma che i server DNS in tutte le schede di rete del computer client DNS siano raggiungibili.
• Registrazioni dei record di risorse - Il test conferma che il record di risorse host (A) di ogni controller di dominio sia registrato in almeno uno dei server DNS configurati nel computer client.
• Zona e origine di autorità (SOA) - Se il controller di dominio esegue il servizio Server DNS, il test conferma che siano presenti la zona del dominio di Active Directory e il record di risorse origine di autorità (SOA) per la zona del dominio di Active Directory.
• Zona radice - Verifica la presenza della zona radice (.).

Per completare queste procedure è necessaria almeno l'appartenenza al gruppo Enterprise Admins oppure a un gruppo equivalente.

È possibile usare la procedura seguente per verificare la funzionalità DNS di base.

Per verificare la funzionalità DNS di base:

1. Nel controller di dominio da testare o in un computer membro di dominio in cui è installata la funzionalità Strumenti di Active Directory Domain Services (AD DS) Tools un prompt dei comandi come amministratore. Per aprire un prompt dei comandi come amministratore fare clic su Start.

2. In Inizia ricercadigitare Prompt dei comandi.

3. Nella parte superiore del menu Start fare clic con il pulsante destro del mouse su Prompt dei comandie quindi scegliere Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi scegliere Continua.

4. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO: dcdiag /test:dns /v /s:<DCName> /DnsBasic /f:dcdiagreport.txt
   
   Sostituire <DCName> con il nome distinto, il nome NetBIOS o il nome DNS del controller di dominio effettivo. In alternativa, è possibile testare tutti i controller di dominio nella foresta digitando /e: anziché /s:. L'opzione /f specifica un nome file, che nel comando precedente è dcdiagreport.txt. Se si vuole inserire il file in un percorso diverso dalla directory di lavoro corrente, è possibile specificare un percorso di file, ad esempio /f:c:reportsdcdiagreport.txt.

5. Aprire il file dcdiagreport.txt nel Blocco note o in un editor di testo analogo. Per aprire il file nel Blocco note, al prompt dei comandi digitare notepad dcdiagreport.txt, quindi premere INVIO. Se il file è stato inserito in una directory di lavoro diversa, includere il percorso del file. Ad esempio, se il file è stato inserito in c:reports, digitare notepad c:reportsdcdiagreport.txt e premere INVIO.

6. Scorrere fino alla tabella del riepilogo in fondo al file.
   
   Prendere nota dei nomi di tutti i controller di dominio che segnalano lo stato "Avviso" o "Non riuscito" nella tabella Riepilogo. Provare a determinare se il controller di dominio ha un problema individuando la sezione dei dettagli. A questo scopo cercare la stringa "DC: DCName", dove DCName è il nome del controller di dominio.

Se si vedono modifiche di configurazione evidentemente da apportare, procedere in base alle esigenze. Ad esempio, se si nota che uno dei controller di dominio ha un indirizzo IP ovviamente errato, è possibile correggerlo. Quindi, eseguire di nuovo il test.

Per convalidare le modifiche alla configurazione, eseguire nuovamente il comando Dcdiag /test:DNS /v con l'opzione /e: o /s: in base alle esigenze. Se nel controller di dominio non è abilitato IP versione 6 (IPv6) la parte relativa alla convalida dell'host (AAAA) del test avrà esito negativo. Se non si usa IPv6 nella rete, tuttavia, questi record non sono necessari.

Verifica della registrazione dei record di risorse

Il controller di dominio di destinazione usa il record di risorse alias DNS (CNAME) per individuare il partner di replica del controller di dominio di origine. Anche se i controller di dominio che eseguono Windows Server (a partire da Windows Server 2003 con Service Pack 1 (SP1)) possono individuare i partner di replica di origine usando nomi di dominio completi (FQDN) o, in caso di errore, NetBIOS assegna un nome NetBIOS alla presenza del record di risorse alias (CNAME) previsto e deve essere verificato per il corretto funzionamento del DNS.

È possibile usare la procedura seguente per verificare la registrazione dei record di risorse, inclusa la registrazione del record di risorse alias (CNAME).

Per verificare la registrazione dei record di risorse

1. Aprire un prompt dei comandi come amministratore. Per aprire un prompt dei comandi come amministratore, fare clic sul pulsante Start. In Inizia ricercadigitare Prompt dei comandi.
2. Nella parte superiore del menu Start fare clic con il pulsante destro del mouse su Prompt dei comandie quindi scegliere Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi scegliere Continua.
   
   È possibile usare lo strumento Dcdiag per verificare la registrazione di tutti i record di risorse essenziali per la posizione del controller di dominio eseguendo il comando dcdiag /test:dns /DnsRecordRegistration.

Questo comando verifica la registrazione dei record di risorse seguenti in DNS:

• alias (CNAME): il record di risorse basato su identificatore univoco globale (GUID) che individua un partner di replica
• host (A): il record di risorse host che contiene l'indirizzo IP del controller di dominio
• SVRV LDAP: i record di risorse servizio (SRV) che individuano i server LDAP
• SVRV GC: i record di risorse servizio (SRV) che individuano i server di catalogo globale
• SRV PDC: i record di risorse servizio (SRV) che individuano i master operazioni dell'emulatore del controller di dominio primario (PDC)

È possibile usare la procedura seguente per verificare la sola registrazione del record di risorse alias (CNAME).

Per verificare la registrazione del record di risorse alias (CNAME)

1. Aprire lo snap-in DNS. Per aprire DNS, fare clic sul pulsante Start. In Inizia ricerca digitare dnsmgmt.msc, quindi premere INVIO. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
2. Usare lo snap-in DNS per individuare qualunque controller di dominio che esegua il servizio Server DNS in cui il server ospita la zona DNS con lo stesso nome del dominio di Active Directory del controller di dominio.
3. Nell'albero della console fare clic sulla zona denominata _msdcs. Dns_Domain_Name.
4. Nel riquadro dei dettagli verificare che siano presenti i record di risorse seguenti: un record di risorse alias (CNAME) denominato Dsa_Guid._msdcs.<nome_dominio_DNS> e un record di risorse host (A) corrispondente per il nome del server DNS.

Se il record di risorse alias (CNAME) non è registrato, verificare che l'aggiornamento dinamico funzioni correttamente. Usare il test nella sezione seguente per verificare l'aggiornamento dinamico.

Verifica dell'aggiornamento dinamico

Se il test DNS di base indica che i record di risorse non esistono in DNS, usare il test dell'aggiornamento dinamico per determinare il motivo per cui il servizio Accesso rete non ha registrato automaticamente i record di risorse. Per verificare che la zona del dominio di Active Directory sia configurata in modo da accettare aggiornamenti dinamici sicuri e per eseguire la registrazione di un record di test (_dcdiag_test_record), seguire questa procedura. Il record di test viene eliminato automaticamente dopo il test.

Per verificare l'aggiornamento dinamico

1. Aprire un prompt dei comandi come amministratore. Per aprire un prompt dei comandi come amministratore, fare clic sul pulsante Start. In Inizia ricercadigitare Prompt dei comandi. Nella parte superiore del menu Start fare clic con il pulsante destro del mouse su Prompt dei comandie quindi scegliere Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi scegliere Continua.
2. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO: dcdiag /test:dns /v /s:<DCName> /DnsDynamicUpdate
   
   Sostituire <DCName> con il nome distinto, il nome NetBIOS o il nome DNS del controller di dominio. In alternativa, è possibile testare tutti i controller di dominio nella foresta digitando /e: anziché /s:. Se nel controller di dominio non è abilitato IPv6 la parte relativa al record di risorse host (AAAA) del test avrà esito negativo. Si tratta di una condizione normale quando IPv6 non è abilitato.

Se gli aggiornamenti dinamici sicuri non sono configurati, è possibile usare la procedura seguente per configurarli.

Per abilitare gli aggiornamenti dinamici sicuri

1. Aprire lo snap-in DNS. Per aprire DNS, fare clic sul pulsante Start.
2. In Inizia ricerca digitare dnsmgmt.msc, quindi premere INVIO. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Continua.
3. Nell'albero della console fare clic con il pulsante destro del mouse sulla zona applicabile e quindi scegliere Proprietà.
4. Nella scheda Generale verificare che il tipo di zona sia Active Directory - Integrato.
5. In Aggiornamenti dinamici fare clic su Solo protetti.

Registrazione dei record di risorse DNS

Se i record di risorse DNS non vengono visualizzati in DNS per il controller di dominio di origine, gli aggiornamenti dinamici sono stati verificati e si vogliono registrare immediatamente i record di risorse DNS, è possibile forzare la registrazione manualmente usando la procedura seguente. Il servizio Accesso rete in un controller di dominio registra i record di risorse DNS necessari per individuare il controller di dominio nella rete. Il servizio Client DNS registra il record di risorse host (A) a cui punta il record alias (CNAME).

Per registrare manualmente i record di risorse DNS

1. Aprire un prompt dei comandi come amministratore. Per aprire un prompt dei comandi come amministratore, fare clic sul pulsante Start.
2. In Inizia ricercadigitare Prompt dei comandi.
3. Nella parte superiore del menu Start fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi scegliere Continua.
4. Per avviare manualmente la registrazione dei record di risorse del localizzatore controller di dominio nel controller di dominio di origine, al prompt dei comandi digitare il comando seguente e quindi premere INVIO: net stop netlogon && net start netlogon
5. Per avviare manualmente la registrazione del record di risorse host (A), al prompt dei comandi digitare il comando seguente e quindi premere INVIO: ipconfig /flushdns && ipconfig /registerdns
6. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO: dcdiag /test:dns /v /s:<DCName>
   
   Sostituire <DCName> con il nome distinto, il nome NetBIOS o il nome DNS del controller di dominio. Esaminare l'output del test per verificare che i test DNS siano stati superati. Se nel controller di dominio non è abilitato IPv6 la parte relativa al record di risorse host (AAAA) del test avrà esito negativo. Si tratta di una condizione normale quando IPv6 non è abilitato.