Windows DNS registreert dubbele SRV-records voor een DC als de computernaam hoofdletters bevat

In dit artikel wordt een probleem opgelost waarbij Windows DNS dubbele serverlocatierecords (SRV) registreert voor een domeincontroller als de computernaam hoofdletters bevat.

Van toepassing op: Windows Server 2019, Windows Server 2016
Oorspronkelijk KB-nummer: 4496901

Symptomen

U hebt een of meer windows Server 2019- of Windows Server 2016-domeincontrollers (DC's) in een implementatie die gebruikmaakt van ad DS-geïntegreerde DNS-zones. Ten minste één van de DC's heeft een computernaam die hoofdletters bevat.

In deze situatie ziet u dat de DNS-records voor het domein dubbele serverlocatierecords (SRV) bevatten voor de DC's met hoofdletters in hun computernamen. Eén record bevat de computernaam in de RDATA in alle kleine letters en één record bevat de computernaam in de RDATA in hetzelfde teken als de computernaam.

Oorzaak

Dit gedrag treedt op vanwege een wijziging in de wijze waarop de DNS-functionaliteit van Windows Server het RDATA-segment van een SRV-record beheert. In Windows Server 2012 R2 en eerdere versies bevat het RDATA-segment alleen kleine letters. Als een computernaam hoofdletters bevat, converteert de DNS-functionaliteit deze naar kleine letters. De DNS-functionaliteit van Windows Server 2016 (of hoger) accepteert echter hoofdletters en kleine letters.

Wanneer de DNS-server controleert of een computernaam al een gekoppeldE SRV-record heeft, wordt er geen rekening gehouden met wijzigingen in het geval van wijzigingen. Daarom is het van mening winserv16.contoso.com dat en WinServ16.contoso.com om verschillende adressen gaat.

Daarom ziet u mogelijk onverwachte effecten als u de volgende configuraties gebruikt:

• Alle DNS-servers en DC's in het domein zijn bijgewerkt van Windows Server 2012 R2 (of een eerdere versie) naar Windows Server 2016 (of een latere versie). De DNS-database kan extra SRV-records genereren voor elke domeincontroller met hoofdletters in de computernaam.

• Op alle DNS-servers en DC's in het domein wordt Windows Server 2012 of eerder uitgevoerd. U installeert de DNS-serverfunctie op een Windows Server 2016-lidserver en vervolgens promoveerde u die lidserver naar een DC in hetzelfde domein. Als de Windows Server 2016 DC hoofdletters bevat in de computernaam, bevat deze extra SRV-records in DNS.

• U hebt een domein met DC's en DNS-servers waarop verschillende versies van Windows Server worden uitgevoerd. De primaire DNS-server is een domeincontroller waarop Windows Server 2012 of eerder wordt uitgevoerd en de secundaire DNS-server is een Windows Server 2016 DC. De primaire DNS-server wordt niet meer beschikbaar en u wijzigt de Windows Server 2016 DC in de nieuwe primaire DNS-server. Na deze wijziging kan de DNS-database extra SRV-records genereren voor elke domeincontroller met hoofdletters in de computernaam.

Oplossing

Microsoft heeft een update uitgebracht waarmee dit probleem wordt opgelost. De volgende tabel bevat de relevante versies van de update voor betrokken versies van Windows.

Versie	Vrijgeven
Windows Server 2019, versie 1903	24 maart 2020-KB4541335 (OS-builds 18362.752 en 18363.752)
Windows Server 2019, versie 1809	17 maart 2020-KB4541331 (os build 17763.1131)
Windows Server 2016	17 maart 2020-KB4541329 (os build 14393.3595)

De update introduceert een nieuwe groepsbeleidsinstelling in de NETLOGON. ADMX-bestand, zoals beschreven in de volgende tabel.

Beleidsnaam	DNS-hostnamen in kleine letters gebruiken bij het registreren van SRV-records voor domeincontrollers
Pad naar beleid	Computerconfiguratie\Policies\Administrative Templates\System\Net Logon\DC Locator DNS Records\
Beleidswaarden	1 (standaard). Het beleid is ingeschakeld. Het beleid verwijdert dubbele DNS SRV-records. Wanneer u de update op een domeincontroller installeert, wordt dit onderdeel van de standaard lokale configuratie van die DC. 0. Het beleid is uitgeschakeld. Onder deze instelling wordt het problematische gedrag voortgezet en blijven DC's met computernamen met hoofdletters SRV-records registreren die deze hoofdletters bevatten. De waarde van 0 wordt alleen ondersteund voor gebruik in noodgevallen of tests. Deze mag niet worden gebruikt onder normale omstandigheden. Als het beleid niet is geconfigureerd of als de waarde ontbreekt, valt de domeincontroller terug op de nieuwe lokale standaardconfiguratie en behandelt het beleid als ingeschakeld.

De update voegt de volgende registervermelding toe die is gekoppeld aan dit beleid. (Deze informatie wordt alleen ter referentie verstrekt.)

• Registersubsleutel: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Netlogon\Parameters
• Registervermelding: DnsSrvRecordUseLowerCaseHostNames
• Gegevenstype: REG_DWORD

Nadat u de update hebt geïnstalleerd

Notitie

U hoeft de Netlogon-service niet opnieuw op te starten of uit te schakelen wanneer u de update installeert, records handmatig opschoont of het beleid uitschakelt. U hoeft de computer niet opnieuw op te starten nadat u de update hebt geïnstalleerd.

Wanneer u de update installeert (of het beleid inschakelt in een omgeving waarin het is uitgeschakeld), doet de Netlogon-service er alles aan om bestaande DNS-records met hoofdletters te verwijderen.

U wordt aangeraden deze oplossing te installeren (of het beleid in te schakelen) en vervolgens een dag of twee te wachten totdat Netlogon de nieuwe instelling kan verkrijgen en toepassen. Wacht vervolgens lang genoeg totdat de wijzigingen in de hele omgeving zijn gerepliceerd. Controleer na die tijd de DNS-records op eventuele resterende duplicaten. Het is waarschijnlijk dat het beleid enkele dubbele records mist. In dat geval moet u deze records handmatig verwijderen.

U kunt de volgende Windows PowerShell-opdracht gebruiken om records te controleren:

Get-DnsServerResourceRecord -ZoneName "contoso.com" -RRType Srv

Notitie

In deze opdracht contoso.com is een tijdelijke domeinnaam.

Als u de resterende dubbele records wilt verwijderen, voert u de volgende PowerShell-opdracht uit:

Remove-DnsServerResourceRecord -ZoneName "contoso.com" -RRType Srv -Name "<hostname of record to delete>" -RecordData "<recorddata of record to delete>"​

Voor het uitschakelen van het beleid is geen opschoning vereist.

Belangrijk

Microsoft heeft een update uitgebracht om dit probleem op te lossen en te voorkomen dat het terugkerend is. U wordt aangeraden de update te installeren in plaats van het probleem te omzeilen.

Tijdelijke oplossing 1: Dubbele SRV-records voorkomen

U kunt de volgende methoden gebruiken om te voorkomen dat Windows DNS dubbele SRV-records maakt:

• Voordat u een lidserver promoveren naar een DC of voordat u een DC upgradet naar Windows Server 2016 of een latere versie, moet u ervoor zorgen dat de computernaam alleen kleine letters bevat.

• Zorg ervoor dat alle interne buildprocessen, hulpprogramma's en scripts die computernamen maken, wijzigen of gebruiken, ook kleine letters gebruiken.

• Als u de naam van uw DC's niet kunt wijzigen (of als dit lang duurt), configureert u uw DNS-topologie zodat DC's met Windows Server 2016 of hoger DNS-servers met Windows Server 2016 of hoger gebruiken. Configureer op dezelfde manier DC's met Windows Server 2012 R2 of eerder om DNS-servers met Windows Server 2012 R2 of eerder te gebruiken.

Tijdelijke oplossing 2: dubbele SRV-records verwijderen

Als u dit probleem wilt omzeilen nadat u dit ondervindt, moet u de naam van uw DC's wijzigen met behulp van alle kleine letters. Afhankelijk van de details van uw implementatie moet u mogelijk de instellingen handmatig opnieuw configureren of bestanden verwijderen. Deze sectie bevat de volgende tijdelijke oplossingen, in volgorde van complexiteit:

• Methode 1: De naam van een DC wijzigen in een domein met één DC
• Methode 2: De naam van DC's wijzigen in een domein met meerdere domeincontrollers
• Methode 3: De naam van DC's wijzigen en alle opgeslagen SRV-records verwijderen

Belangrijk

Raadpleeg de volgende artikelen voordat u een van deze methoden gebruikt. Deze artikelen bevatten gedetailleerde stappen om de naam van een DC te wijzigen. Ze bieden ook informatie over aanvullende opschoningstaken die u mogelijk moet uitvoeren nadat u een DC hebt gedegraded of hernoemd.

• De naam van een domeincontroller en de subonderwerpen wijzigen
• Domeincontrollers en domeinen degraderen
• AD Forest Recovery - Metagegevens van verwijderde beschrijfbare domeincontrollers opschonen

Notitie

Als u problemen ondervindt nadat u de naam van een DC hebt gewijzigd, zet u de DC-naam terug naar de oorspronkelijke inhoud.

Methode 1: De naam van een DC wijzigen in een domein met één DC

Als u één domeincontroller hebt, gebruikt u de stappen bij het wijzigen van de naam van een domeincontroller om de computernaam van de DC te wijzigen in een nieuwe naam die alleen kleine letters bevat. In het geval van één DC hoeft u deze niet te verlagen en te herpromitteerd.

Belangrijk

We raden u ten zeerste aan dat elk domein ten minste twee DC's bevat. Als u slechts één domeincontroller hebt, kan uw domein niet meer beschikbaar zijn op elk moment dat DC een probleem ondervindt.

Methode 2: De naam van DC's wijzigen in een domein met meerdere domeincontrollers

Als u meer dan één domeincontroller in uw domein hebt, volgt u deze stappen voor elke betrokken DC:

1. De domeincontroller degraderen en de gerelateerde metagegevens opschonen. Zie Demoting Domain Controllers and Domains and AD Forest Recovery ( Metagegevens van verwijderde beschrijfbare domeincontrollers opschonen) voor meer informatie.

2. Wijzig de naam van de computer en geef deze een naam die alleen kleine letters bevat.

3. Promoot de computer opnieuw naar een DC.

Tegen de tijd dat alle DC's weer online zijn, moeten de dubbele (mixed-case) SRV-records zijn verdwenen.

Methode 3: De naam van DC's wijzigen en alle opgeslagen SRV-records verwijderen

Als methode 1 en methode 2 geen bevredigende resultaten opleveren, volgt u deze stappen voor elke betrokken DC:

1. De domeincontroller degraderen en de gerelateerde metagegevens opschonen. Zie Demoting Domain Controllers and Domains and AD Forest Recovery ( Metagegevens van verwijderde beschrijfbare domeincontrollers opschonen) voor meer informatie.

2. Voer op de gedegradeerde computer de volgende stappen uit:

   1. Wijzig de naam van de computer en geef deze een naam die alleen kleine letters bevat.
   2. Stop de netlogon-service. U doet dit door een opdrachtpromptvenster met verhoogde bevoegdheid te openen en vervolgens uit te voeren net stop netlogon.
   3. Verwijder de volgende bestanden in de map C:\Windows\System32\config\:
      • netlogon.dnb
      • netlogon.dns

3. Open op een van de andere DC's Serverbeheer, selecteer Extra en selecteer vervolgens DNS.

4. Inspecteer in DNS Manager de containers onder Forward Lookup Zones en verwijder vervolgens de SRV-records voor de DC die u hebt gedegradeerd.

5. Start op de naam van de computer de netlogon-service. U doet dit door een opdrachtpromptvenster met verhoogde bevoegdheid te openen en vervolgens uit te voeren net start netlogon.

6. De naam van de computer opnieuw verhogen naar een domeincontroller.