Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Oryginalny numer KB: 267855
Dotyczy: Obsługiwane wersje systemu Windows Server
Symptomy
Rejestracje Systemu Nazw Domenowych (DNS) rekordów lokalizatora SRV i kontrolera domeny (DC) A (zarejestrowane przez Netlogon) oraz rekordów NS (dodane przez autorytatywne serwery DNS) w strefie DNS zintegrowanej z Active Directory dla niektórych kontrolerów domeny mogą nie działać poprawnie w domenie, która zawiera dużą liczbę kontrolerów domeny.
W przypadku systemu Windows Server 2022 i starszych wersji można mieć około 1200 kontrolerów domeny i serwerów DNS, które rejestrują wszystkie rekordy DNS niezbędne do zarządzania strefami i domenami DNS. W systemie Windows Server 2025 można włączyć opcjonalną funkcję, która umożliwia rejestrowanie rekordów DNS przez około 3200 kontrolerów domeny. Aby uzyskać szczegółowe informacje, zobacz sekcję Bibliografia.
Co najmniej jeden z następujących komunikatów o błędach może być zarejestrowany w dzienniku zdarzeń:
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4011
Description: The DNS server was unable to add or write an update of domain name xyz in zone xyz.example.com to the Active Directory. Check that the Active Directory is functioning properly and add or update this domain name using the DNS console. The event data contains the error.
Data: 0000: 2a 23 00 00 *#..
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4015
Description: The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The event data contains the error.
Data: 0000: 0b 00 00 00 ....
Event Type: Warning
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1093
Description: The directory replication agent (DRA) could not apply changes to object DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC=com (GUID <GUID>) because the incoming changes cause the object to exceed the database's record size limit. The incoming change to attribute 9017e (dnsRecord) will be backed out in an attempt to make the update fit. In addition to the change to the attribute not being applied locally, the current value of the attribute on this system will be sent out to all other systems to make that the definitive version. This has the effect of nullifying the change to the rest of the enterprise.
The reversal may be recognized as follows:
Version:
5474
Time of change:
<DateTime>
Update sequence number:
<USN>
Event Type: Information
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1101
Description: The directory replication agent (DRA) was able to successfully apply the changes to object DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC=xyz,DC=example,DC=com (GUID <GUID>) after backing out one or more of the attribute changes. Preceding messages will indicate which attributes were reversed. Please note that this will have the effect of nullifying the change where it was made, causing the original update not to take effect. The originator should be notified that their change was not accepted by the system.
Przyczyna
W strefie DNS zintegrowanej z usługą Active Directory (AD) nazwy DNS są reprezentowane przez obiekty dnsNode, a rekordy DNS są przechowywane jako wartości w wielowartym atrybucie dnsRecord w obiektach dnsNode, powodując występowanie komunikatów o błędach wymienionych wcześniej w tym artykule.
Ten problem występuje, ponieważ usługa Active Directory ma ograniczenie około 1200 wartości, które mogą być skojarzone z pojedynczym obiektem w systemie Windows Server 2022 i starszych wersjach. W przypadku systemu Windows Server 2025 ten limit można podnieść do około 3200 wartości.
Rozwiązanie
Aby rozwiązać ten problem, możesz użyć następujących metod.
Występuje problem z rekordami NS strefy
Metoda 1
Jeśli kontrolery domeny są również serwerami DNS, wszystkie hostują strefy zintegrowane z Active Directory i każdy z nich domyślnie dodaje się do rekordu NS dla strefy. Jeśli przekroczysz limit atrybutów niezwiązanych, aktualizacje obiektu usługi AD rekordu DNS zakończy się niepowodzeniem.
Jeśli chcesz zmniejszyć listę serwerów DNS, które mogą dodawać rekordy NS odpowiadające sobie do określonej strefy, wybierz podzbiór serwerów DNS, a następnie uruchom Dnscmd.exe z przełącznikiem /AllowNSRecordsAutoCreation . Rozważ umieszczenie na liście kontrolerów domeny, które są dobrze połączone z siecią i dobrze monitorowane. Może to być zestaw kontrolerów domeny działających w centralnych centrach danych.
Aby ustawić listę adresów TCP/IP serwerów DNS, które mają uprawnienia do automatycznego tworzenia rekordów NS dla strefy, użyj
/AllowNSRecordsAutoCreation IPListpolecenia . Na przykład:Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2Aby wyczyścić listę adresów TCP/IP serwerów DNS, które mają uprawnienia do automatycznego tworzenia rekordów NS dla strefy i zwracają strefę do stanu domyślnego, gdy każdy podstawowy serwer DNS automatycznie dodaje do strefy rekord NS odpowiadający mu, użyj
/AllowNSRecordsAutoCreationpolecenia . Na przykład:Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreationAby wykonać zapytanie dotyczące listy adresów TCP/IP serwerów DNS, które mają uprawnienia do automatycznego tworzenia rekordów NS dla strefy, użyj
/AllowNSRecordsAutoCreationpolecenia . Na przykład:Dnscmd NS1 /zoneinfo zonename.com /AllowNSRecordsAutoCreation
Uwaga 16.
Uruchom to polecenie tylko na jednym serwerze DNS. Replikacja usługi Active Directory propaguje zmiany na wszystkich serwerach DNS uruchomionych na kontrolerach domeny w tej samej domenie.
W środowisku, w którym większość kontrolerów domeny DNS dla danej domeny znajduje się w oddziałach, a kilka znajduje się w centralnej lokalizacji, możesz użyć polecenia Dnscmd opisanego wcześniej w tym artykule, aby ustawić IPList do obejmowania tylko kontrolerów domeny DNS znajdujących się w centrum. W ten sposób tylko centralnie zlokalizowane kontrolery domeny DNS dodają odpowiednie rekordy NS do strefy domeny usługi Active Directory.
Metoda 2
Ważne
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.
Podobnie jak w przypadku metody 1, wybierz liczbę kontrolerów domeny, które mają być obecne z rekordem NS dla hostów stref. W przypadku serwerów DNS nie należy dodawać rekordów NS odpowiadających sobie do dowolnej strefy DNS zintegrowanej z usługą AD. Użyj Edytora rejestru (Regedt32.exe), aby skonfigurować następującą wartość rejestru na każdym związanym serwerze DNS.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Wartość rejestru: DisableNSRecordsAutoCreation
Typ danych: REG_DWORD
Zakres danych: 0x0 | 0x1
Wartość domyślna: 0x0
Ta wartość ma wpływ na wszystkie strefy DNS zintegrowane z usługą AD. Wartości mają następujące znaczenie:
| Wartość | Znaczenie |
|---|---|
| 0 | Serwer DNS automatycznie tworzy rekordy NS dla wszystkich stref DNS zintegrowanych z usługą Active Directory, chyba że jakakolwiek strefa, która jest hostowana przez serwer, zawiera atrybut AllowNSRecordsAutoCreation (opisany wcześniej w tym artykule), który nie zawiera serwera. W takiej sytuacji serwer używa konfiguracji AllowNSRecordsAutoCreation. |
| 1 | Serwer DNS nie tworzy automatycznie rekordów NS dla wszystkich stref DNS zintegrowanych z usługą Active Directory, niezależnie od konfiguracji AllowNSRecordsAutoCreation w strefach DNS zintegrowanych z usługą Active Directory. |
Uwaga
Aby zastosować zmiany do tej wartości, należy ponownie uruchomić usługę serwera DNS.
Występują problemy z rekordami SRV i A strefy należącej do kontrolerów domeny
Ważne
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji, zobacz Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.
Narzędzie Netlogon zarządza rejestracją rekordu DNS kontrolera domeny. Aby zapobiec, by kontroler domeny próbował dynamicznie aktualizować niektóre rekordy DNS, które są domyślnie aktualizowane przez Netlogon, użyj Regedt32.exe, aby skonfigurować następującą wartość rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Wartość rejestru: DnsAvoidRegisterRecords
Typ danych: REG_MULTI_SZ
Dla tej wartości określ listę mnemoników odpowiadających rekordom DNS, których nie powinien rejestrować ten kontroler domeny.
Uwaga
Ustaw wartość listy mnemoników rozdzielonych przy użyciu separatora wejścia, które zostały określone w poniższej tabeli.
Lista mnemoników obejmuje:
| Mnemoniczny | Typ | Rekord DNS |
|---|---|---|
| LdapIpAddress | A | <DnsDomainName> |
| LDAP | SRV | _ldap._tcp.<DnsDomainName> |
| LdapAtSite | SRV | _ldap._tcp.<Nazwa witryny>._sites.<DnsDomainName> |
| Pdc | SRV | _ldap._tcp.pdc._msdcs.<DnsDomainName> |
| Gc | SRV | _ldap._tcp.gc._msdcs.<DnsForestName> |
| GcAtSite | SRV | _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName> |
| DcByGuid | SRV | _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName> |
| GcIpAddress | A | gc._msdcs.<DnsForestName> |
| DsaCname | CNAME | <DsaGuid>._msdcs.<DnsForestName> |
| Centrum dystrybucji kluczy | SRV | _kerberos._tcp.dc._msdcs.<DnsDomainName> |
| KdcAtSite | SRV | _kerberos._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName> |
| Dc | SRV | _ldap._tcp.dc._msdcs.<DnsDomainName> |
| DcAtSite | SRV | _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName> |
| Rfc1510Kdc | SRV | _kerberos._tcp.<DnsDomainName> |
| Rfc1510KdcAtSite | SRV | _kerberos._tcp.<Nazwa witryny>._sites.<DnsDomainName> |
| OgólneGc | SRV | _gc._tcp.<DnsForestName> |
| GenericGcAtSite | SRV | _gc._tcp.<Nazwa witryny>._sites.<DnsForestName> |
| Rfc1510UdpKdc | SRV | _kerberos._udp.<DnsDomainName> |
| Rfc1510Kpwd | SRV | _kpasswd._tcp.<DnsDomainName> |
| Rfc1510UdpKpwd | SRV | _kpasswd._udp.<DnsDomainName> |
Uwaga 16.
Nie jest konieczne ponowne uruchomienie usługi Netlogon.
DnsAvoidRegisterRecords Jeśli wartość rejestru jest tworzona lub modyfikowana podczas zatrzymywania usługi Netlogon lub w ciągu pierwszych 15 minut po uruchomieniu netlogonu, odpowiednie aktualizacje DNS odbywają się z krótkim opóźnieniem (jednak opóźnienie nie będzie później niż 15 minut po uruchomieniu netlogonu).
Możesz również ustawić listę rekordów DNS, aby pominąć przy użyciu zasad grupy:
GPS: Określ rekordy DNS lokalizatora niezarejestrowane przez kontrolery DC
Rejestracje DNS rekordów A wykonywanych przez netlogon można również modyfikować przy użyciu RegisterDnsARecords wartości rejestru. Aby uzyskać więcej informacji, zobacz Jak włączyć lub wyłączyć aktualizacje DNS w systemie Windows.
Należy pamiętać, że zarówno wartości rejestru DnsAvoidRegisterRecords, jak i RegisterDnsARecords muszą umożliwiać rejestrację rekordu hosta (A):
- RegisterDnsARecords = 0x1
Jeśli wymienisz LdapIpAddress i GcIpAddress w ustawieniach wartości rejestruDnsAvoidRegisterRecords, rekordy A nie są zarejestrowane. - RegisterDnsARecords = 0x0
Bez względu na to, czy umieścisz listę LdapIpAddress i GcIpAddress w ustawieniach wartości rejestruDnsAvoidRegisterRecords, rekordy A nie zostają zarejestrowane.
Aby zapobiec problemowi opisanemu wcześniej w tym artykule w środowisku, w którym znajduje się zestaw kontrolerów domeny i/lub serwerów wykazu globalnego (GC) znajduje się w centralnej lokalizacji, a duża liczba kontrolerów domeny i/lub serwerów GC znajduje się w oddziałach, administrator może wyłączyć rejestrację niektórych rekordów DNS przez Netlogon na kontrolerach domeny/kontrolerach GC w oddziałach. W takiej sytuacji lista mnemoników, które nie powinny być zarejestrowane, obejmuje:
Rekordy specyficzne dla kontrolera domeny:
| Mnemoniczny | Typ | Rekord DNS |
|---|---|---|
| LdapIpAddress | A | <DnsDomainName> |
| Ldap | SRV | _ldap._tcp.<DnsDomainName> |
| DcByGuid | SRV | _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName> |
| KDC | SRV | _kerberos._tcp.dc._msdcs.<DnsDomainName> |
| Dc | SRV | _ldap._tcp.dc._msdcs.<DnsDomainName> |
| Rfc1510Kdc | SRV | _kerberos._tcp.<DnsDomainName> |
| Rfc1510UdpKdc | SRV | _kerberos._udp.<DnsDomainName> |
| Rfc1510Kpwd | SRV | _kpasswd._tcp.<DnsDomainName> |
| Rfc1510UdpKpwd | SRV | _kpasswd._udp.<DnsDomainName> |
Rekordy specyficzne dla GC:
| Mnemoniczny | Typ | Rekord DNS |
|---|---|---|
| Gc | SRV | _ldap._tcp.gc._msdcs.<DnsForestName> |
| GcIpAddress | A | gc._msdcs.<DnsForestName> |
| GenericGc | SRV | _gc._tcp.<DnsForestName> |
Uwaga
Te listy nie zawierają rekordów specyficznych dla witryny. W związku z tym kontrolery domen i serwery katalogu globalnego w oddziałach są identyfikowane za pomocą rekordów przypisanych do konkretnych lokalizacji, które są zwykle używane przez lokalizator kontrolerów domeny. Jeśli program wyszukuje kontroler domeny/DC lub GC przy użyciu ogólnych, uniwersalnych (innych niż specyficznie lokalizacyjne) rekordów, takich jak dowolne rekordy na listach wymienionych wcześniej w tym artykule, znajduje DC/GC w centralnej lokalizacji.
Kontrolery domeny tylko do odczytu domyślnie rejestrują rekordy DNS specyficzne dla swojej lokalizacji.
Administrator może również zdecydować się na ograniczenie liczby rekordów lokalizatora kontrolerów domeny, takich jak rekordy SRV i A zarejestrowane przez Netlogon dla tego samego wyrażenia DNS (_ldap._tcp.dc._msdcs.<DomainName>), nawet w sytuacji, gdy liczba kontrolerów domeny jest mniejsza niż limit dla wartości niezwiązanych atrybutów w tej samej domenie, w celu zmniejszenia rozmiaru odpowiedzi DNS na zapytania o takie rekordy.
To ustawienie można utworzyć w zasadach grupy połączonych z jednostką organizacyjną kontrolerów domeny (OU), umieścić wszystkie kontrolery domeny gałęzi w grupie "Kontrolery domeny gałęzi usługi AD" i ustawić zasady grupy, aby zastosować się tylko do członków grupy "Kontrolery domeny gałęzi usługi AD".
Stan
Firma Microsoft potwierdziła, że jest to usterka występująca w produktach firmy Microsoft wymienionych w części "Ma zastosowanie do:".
Więcej informacji
Każdy serwer DNS, który jest autorytatywny dla strefy DNS zintegrowanej z usługą Active Directory, dodaje rekord NS. Domyślnie każdy kontroler domeny w domenie rejestruje rekord SRV dla zestawu nazw niezwiązanych z lokalizacją, takich jak "_ldap._tcp.<domain_name>" i rekordy A mapujące nazwę domeny DNS usługi Active Directory na adresy TCP/IP kontrolera domeny. Gdy serwer DNS próbuje zapisać rekord z wieloma wartościami dla tej samej nazwy udostępnionej, usługa podsystemu lokalnego urzędu zabezpieczeń (LSASS) działa na poziomie 100% użycie procesora PRZEZ około 10 sekund, a rejestracja nie powiedzie się. Netlogon ponawia tę rejestrację co godzinę; co najmniej raz na godzinę pojawia się skok użycia procesora CPU oznaczony jako 100%, a próby rejestracji nie powiodły się.