Erro 8524 de replicação do Active Directory: a operação DSA não pode continuar devido a uma falha de pesquisa de DNS

Este artigo descreve os sintomas, a causa e as etapas de resolução para operações do AD que falham com o erro 8524 do Win32:

A operação DSA não pode continuar devido a uma falha de pesquisa de DNS.

Número original do KB: 2021446
Aplica-se a: Todas as versões com suporte do Windows Server

Usuários domésticos: este artigo destina-se apenas a agentes de suporte técnico e profissionais de TI. Se você estiver procurando ajuda com um problema, pergunte à Comunidade da Microsoft.

Sintomas

1. O DCDIAG relata que o teste de Replicações do Active Directory falhou com o status 8524:

   Servidor de teste: DC: <nome do site><de destino>
   Teste inicial: Replicações
   [Verificação de replicações,< DC de destino]> Falha em uma tentativa de replicação recente: do DC< de >origem para o <DC de destino>
   Contexto de nomenclatura:
   CN=<Caminho DN para partição> de diretório com falha,DC=Contoso,DC=Com
   A replicação gerou um erro (8524):
   A operação DSA não pode continuar devido a uma falha de pesquisa de DNS.

2. REPADMIN relata que uma tentativa de replicação falhou com o status 8524.

   Os comandos REPADMIN que normalmente citam o status 8524 incluem, mas não estão limitados a:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPS
   • REPADMIN /SHOWREPL

   Um exemplo de 8524 falhas de REPADMIN /SHOWREPL é mostrado abaixo:

   Default-First-Site-Name\CONTOSO-DC1
   Opções de DSA: IS_GC
   Opções do site: (nenhuma)
   GUID do objeto DSA: DSA invocationID:
   DC=contoso,DC=com
   Default-First-Site-Name\CONTOSO-DC2 via RPC
   GUID do objeto DSA:
   Falha na última tentativa @ AAAA-MM-DD HH:MM:SS, resultado 8524 (0x214c):
   A operação DSA não pode continuar devido a uma falha de pesquisa de DNS.
   1 falha consecutiva(s).
   Último sucesso @ AAAA-MM-DD HH:MM:SS.

   Resto da saída /showrepl truncada

3. Um dos seguintes eventos com o status 8524 é registrado no log de eventos do serviço de diretório:

   • Verificador de Consistência de Conhecimento NTDS (KCC)
   • NTDS Geral
   • Microsoft-Windows-ActiveDirectory_DomainService

   Os eventos do Active Directory que normalmente citam o status 8524 incluem, mas não estão limitados a:

   Evento	Origem	Cadeia de Caracteres de Evento
   Microsoft-Windows-ActiveDirectory_DomainService	2023	Este servidor de diretório não pôde replicar as alterações no seguinte servidor de diretório remoto para a seguinte partição de diretório
   NTDS Geral	1655	O Active Directory tentou se comunicar com o catálogo global a seguir e falhou.
   NTDS KCC	1.308	O KCC detectou que tentativas sucessivas de replicação com o serviço de diretório a seguir falharam consistentemente.
   NTDS KCC	1,865	O KCC não conseguiu formar uma topologia de rede de spanning tree completa. Como resultado, a lista de sites a seguir não pode ser acessada a partir do site local
   NTDS KCC	1925	Falha na tentativa de estabelecer um link de replicação para a partição de diretório gravável a seguir.
   NTDS KCC	1926	Falha na tentativa de estabelecer um link de replicação para uma partição de diretório somente leitura com os seguintes parâmetros

4. Os controladores de domínio registram o evento de Replicação NTDS 2087 e o evento de Replicação NTDS 2088 em seu log de eventos do Serviço de Diretório:

   Nome do Log: Serviço de Diretório
   Fonte: Microsoft-Windows-ActiveDirectory_DomainService
   Data: <data><e hora>
   ID do evento: 2087
   Categoria da tarefa: Cliente DS RPC
   Nível: Erro
   Palavras-Chave: Clássico
   Usuário: LOGON ANÔNIMO
   Computador: <nome> dc.<nome de domínio>
   Descrição:

   Os Serviços de Domínio Active Directory não puderam resolver o seguinte nome de host DNS do controlador de domínio de origem para um endereço IP. Esse erro impede que adições, exclusões e alterações nos Serviços de Domínio Active Directory sejam replicadas entre um ou mais controladores de domínio na floresta. Grupos de segurança, política de grupo, usuários e computadores e suas senhas serão inconsistentes entre os controladores de domínio até que esse erro seja resolvido. Isso afeta potencialmente a autenticação de logon e o acesso aos recursos de rede.

   Nome do Log: Serviço de Diretório
   Fonte: Microsoft-Windows-ActiveDirectory_DomainService
   Data: <data><e hora>
   ID do evento: 2088
   Categoria da tarefa: Cliente DS RPC
   Nível: Aviso
   Palavras-Chave: Clássico
   Usuário: LOGON ANÔNIMO
   Computador: <nome> dc.<nome de domínio>
   Descrição:
   Os Serviços de Domínio Active Directory não puderam usar o DNS para resolver o endereço IP do controlador de domínio de origem listado abaixo. Para manter a consistência de grupos de segurança, política de grupo, usuários e computadores e suas senhas, os Serviços de Domínio Active Directory foram replicados com êxito usando o NetBIOS ou o nome de computador totalmente qualificado do controlador de domínio de origem.

   A configuração de DNS inválida pode estar afetando outras operações essenciais em computadores membros, controladores de domínio ou servidores de aplicativos nesta floresta dos Serviços de Domínio Active Directory, incluindo autenticação de logon ou acesso a recursos de rede.

   Resolva imediatamente esse erro de configuração de DNS para que esse controlador de domínio possa resolver o endereço IP do controlador de domínio de origem usando o DNS.

Motivo

O status de erro 8524 é mapeado para a seguinte cadeia de caracteres de erro:

A operação DSA não pode continuar devido a uma falha de pesquisa de DNS.

É um erro genérico para todas as possíveis falhas de DNS que afetam o Active Directory em controladores de domínio posteriores ao Windows Server 2003 SP1.

Microsoft-Windows-ActiveDirectory_DomainService o evento 2087 é um evento de parceiro para outros eventos do Active Directory que citam o status 8524 se um controlador de domínio do Active Directory não puder resolver um controlador de domínio remoto por seu registro CNAME totalmente qualificado (<guid de objeto para DCs de origem, objeto> Configurações NTDS._msdcs.<forest raiz do domínio>) usando DNS.

Microsoft-Windows-ActiveDirectory_DomainService o evento 2088 é registrado quando um controlador de domínio de origem é resolvido com êxito por seu nome NetBIOS, mas esse fallback de resolução de nomes ocorre apenas quando a resolução de nomes DNS falha.

A presença do status 8524 e os eventos 2088 ou 2087 do evento Microsoft-Windows-ActiveDirectory_DomainService indicam que a resolução de nomes DNS está falhando no Active Directory.

Em resumo, o status de replicação 8524 é registrado quando um controlador de domínio de destino não pode resolver o controlador de domínio de origem por seus registros CNAME e Host "A" ou Host "AAAA" usando DNS. As causas raiz específicas incluem:

1. O controlador de domínio de origem está offline ou não existe mais, mas seu objeto Configurações NTDS ainda existe na cópia do Active Directory dos controladores de domínio de destino.

2. O DC de origem falhou ao registrar o CNAME ou os registros de host em um ou mais servidores DNS pelos seguintes motivos:

   • As tentativas de registro falharam.
   • As configurações do cliente DNS na origem não apontam para servidores DNS que hospedam, encaminham ou delegam seus _msdcs.<zona de domínio raiz da floresta e (ou) zonas> de domínio de sufixo DNS primário.

3. As configurações do cliente DNS no controlador de domínio de destino não apontam para servidores DNS que hospedam, encaminham ou delegam as zonas DNS que contêm o CNAME ou os registros de host para o controlador de domínio de origem

4. Os registros CNAME e de host registrados pelo controlador de domínio de origem não existem em servidores DNS consultados pelo controlador de domínio de destino devido aos seguintes motivos:

   • Latência de replicação simples
   • Uma falha de replicação
   • Uma falha de transferência de zona

5. Encaminhadores ou delegações inválidos. Eles impedem que o controlador de domínio de destino resolva registros CNAME ou Host para controladores de domínio em outros domínios da floresta.

6. Os servidores DNS usados pelo DC de destino, DC de origem ou servidores DNS intermediários não estão funcionando corretamente.

Resolução

Verifique se o 8524 é causado por um DC offline ou metadados DC obsoletos

Se o erro/evento 8524 se referir a um controlador de domínio que está offline no momento, mas ainda válido na floresta, torne-o operacional.

Se o erro/evento 8524 se referir a um controlador de domínio inativo, remova os metadados obsoletos desse controlador de domínio da cópia do Active Directory dos controladores de domínio de destino. Um DC inativo é uma instalação de DC que não existe mais na rede, mas seu objeto NTDS Settings ainda existe na cópia dos DCs de destino do Active Directory -

O suporte da Microsoft encontra regularmente metadados obsoletos para DCs inexistentes ou metadados obsoletos de promoções anteriores de um DC com o mesmo nome de computador que não foi removido do Active Directory.

Remova metadados DC obsoletos, se presentes

Limpeza de metadados de GUI usando sites e serviços do Active Directory (DSSITE. MSC)

1. Inicie o snap-in Sites e Serviços do Active Directory do Windows Server 2008 ou Windows Server 2008 R2 (DSSITE. MSC).

   Isso também pode ser feito iniciando os Sites e Serviços do Active Directory em um computador com Windows Vista ou Windows 7 que tenha sido instalado como parte do pacote RSAT (Ferramentas de Administração de Servidor Remoto).

2. Concentre-se no DSSITE. Snap-in MSC na cópia do Active Directory dos DCs de destino.

   Depois de iniciar o DSSITE. MSC, clique com o botão direito do mouse em "Sites e serviços do Active Directory [<Nome do DC>]

   Selecione o controlador de domínio de destino que está registrando o erro/evento 8524 na lista de controladores de domínio visíveis na seção "Alterar controlador de domínio..." lista

3. Exclua o objeto NTDS Settings de DCs de origem referenciado nos erros e eventos 8524. Usuários e computadores do Active Directory (DSA. MSC) e exclua o objeto Configurações NTDS dos DCs de origem.

   Um objeto de configurações NTDS de controladores de domínio é exibido

   • Abaixo dos contêineres Sites, Nome do site, Servidores e %nome do servidor%
   • Acima do objeto de conexão de entrada exibido no painel direito de Sites e Serviços do Active Directory.

   O realce vermelho na captura de tela abaixo mostra o objeto Configurações NTDS para CONTOSO-DC2 localizado abaixo do site Default-First-Site-Name.

   

   Clique com o botão direito do mouse no objeto NTDS Settings obsoleto que deseja remover e selecione "Excluir".

   A limpeza de metadados também pode ser feita no snap-in Usuários e Computadores do Active Directory W2K8 / W2K8 R2, conforme documentado no TECHNET.

Limpeza de metadados de linha de comando usando NTDSUTIL

O método herdado ou de linha de comando de exclusão de objetos de configurações NTDS obsoletos usando o comando de limpeza de metadados NTDSUTIL está documentado em Limpar metadados do servidor do Controlador de Domínio do Active Directory.

Executar DCDIAG /TEST:DNS no DC de origem + DC de destino

DCDIAG /TEST:DNS faz sete testes diferentes para verificar rapidamente a integridade do DNS de um controlador de domínio. Esse teste não é executado como parte da execução padrão do DCDIAG.

1. Entre com credenciais de Administrador Corporativo no console dos controladores de domínio de destino que registram os eventos 8524.

2. Abra um prompt de CMD com privilégios administrativos e execute DCDIAG /TEST:DNS /F no DC registrando o status 8424 e o DC de origem do qual o DC de destino está replicando.

   Para executar o DCDIAG em todos os DCs em uma floresta, digite DCDIAG /TEST:DNS /V /E /F:<File name.txt>.

   Para executar DCDIAG TEST:DNS em um controlador de domínio específico, digite DCDIAG /TEST:DNS /V /S:<DC NAME> /F:<File name.txt>.

3. Localize a tabela de resumo no final da DCDIAG /TEST:DNS saída. Identifique e reconcilie as condições de aviso ou falha nos DCs relevantes do relatório.

4. Se o DCDIAG não identificar a causa raiz, siga "o caminho mais longo" usando as etapas abaixo.

Verificar a resolução de nomes do Active Directory usando PING

Os DCs de destino resolvem DCs de origem no DNS por seus registros CNAME totalmente qualificados derivados do GUID do objeto Configurações NTDS de DCs remotos (o objeto pai para objetos de conexão visíveis no snap-in Sites e Serviços do Active Directory). Você pode testar a capacidade de um determinado controlador de domínio de resolver um registro CNAME totalmente qualificado do controlador de domínio de origem usando o comando PING.

1. Localize o objectGUID do objeto NTDS Settings dos DCs de origem na cópia dos DCs de origem do Active Directory.

   No console do DC de origem que registra o erro/evento 8524, digite:

   repadmin /showrepl <fully qualified hostname of source DC cited in the 8524 error (event)>

   Por exemplo, se o DC referenciado no erro/evento 8524 for contoso-DC2 no contoso.com domínio, digite:

   repadmin /showrepl contoso-dc2.contoso.com

   O campo "GUID do Objeto DSA" no cabeçalho do repadmin /SHOWREPl comando contém o objectGUID do objeto de configurações NTDS atuais dos DCs de origem. Use a exibição dos DCs de origem de seu objeto de configurações NTDS caso a replicação esteja lenta ou falhe. O cabeçalho da repadmin saída será semelhante a:

   Default-First-Site-Name\CONTOSO-DC1
   Opções de DSA: IS_GC
   Opções do site: (nenhuma)
   GUID do objeto DSA: 8a7baee5-cd81-4c8c-9c0f-b10030574016 <- clique com o botão direito + copie esta string para o Windows
   <- prancheta e cole nela o comando PING em
   <- Passo 4

2. Localize o ObjectGUID do DC de origem na cópia dos DCs de destino do Active Directory.

   No console do controlador de domínio de destino que registra o erro/evento 8524, digite:

   repadmin /showrepl <fully qualified hostname of destination DC>

   Por exemplo, se o erro/evento 8524 do log do DC for contoso-DC1 no contoso.com domínio, digite:

   repadmin /showrepl contoso-dc1.contoso.com

   REPADMIN /SHOWREPL A saída é mostrada abaixo. O campo "GUID do Objeto DSA" é listado para cada DC de origem do qual a entrada do DC de destino replica.

    c:\>repadmin /showreps `contoso-dc1.contoso.com`  
    Default-First-Site-Name\CONTOSO-DC1  
    DSA Options: IS_GC  
    Site Options: (none)  
    DSA object GUID:  
    DSA invocationID:  
     DC=contoso,DC=com  
        Default-First-Site-Name\CONTOSO-DC2 via RPC  
            DSA object GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016      <- Object GUID for source DC derived from  
            Last attempt @ 2010-03-24 15:45:15 failed, result 8524 (0x214c):        \ destination DCs copy of Active Directory  
                The DSA operation is unable to proceed because of a DNS lookup failure.
            23 consecutive failure(s).  
            Last success @ YYYY-MM-DD HH:MM:SS.
   

3. Compare o GUID do objeto de #2 e #3.

   Se os GUIDS do objeto forem os mesmos, o DC de origem e o DC de destino saberão sobre a mesma instanciação (a mesma promoção) do DC de origem. Se eles forem diferentes, então descubra qual deles foi criado mais tarde. O objeto de configuração NTDS com a data de criação anterior provavelmente está obsoleto e deve ser removido.

4. PING o DC de origem por seu CNAME totalmente qualificado.

   No console do controlador de domínio de destino, teste a resolução de nomes do Active Directory com um PING do registro CNAME totalmente qualificado dos controladores de domínio de origem:

   c:\>ping <ObjectGUID> from source DCs NTDS Settings object._msdcs.<DNS name for Active Directory forest root domain>

   Usando nosso exemplo do objectGUID 8a7baee5... da repadmin /showreps saída acima do controlador de domínio contoso-dc1 no contoso.com domínio, a sintaxe PING seria:

   c:\>ping 8a7baee5-cd81-4c8c-9c0f-b10030574016. _msdcs.contoso.com

   Se o ping funcionar, repita a operação com falha no Active Directory. Se o PING falhar, prossiga para "Resolver a falha de pesquisa de DNS 8524", mas repita o teste de PING após cada etapa até que ele seja resolvido.

Resolva a falha de pesquisa de DNS 8524: o longo caminho de volta

Se o erro/eventos 8524 não forem causados por metadados DC obsoletos e o teste CNAME PING falhar, verifique a integridade do DNS de:

• O DC de origem
• O DC de destino
• Os servidores DNS usados pelos controladores de domínio de origem e destino

Em resumo, verifique se:

• O controlador de domínio de origem registrou o CNAME e os registros de host com um DNS válido.
• O DC de destino aponta para servidores DNS válidos.
• Os registros de interesse registrados pelos CDs de origem podem ser resolvidos pelos CDs de destino.

O texto da mensagem de erro no evento DS RPC Client 2087 documenta uma ação do usuário para resolver o erro 8524. Segue-se um plano de acção mais pormenorizado:

1. Verifique se o DC de origem aponta para servidores DNS válidos

   No controlador de domínio de origem, verifique se as configurações do cliente DNS apontam exclusivamente para servidores DNS operacionais que hospedam, encaminham ou delegam the_msdcs.<zona de domínio> raiz da floresta (ou seja, todos os controladores de domínio na floresta contoso.com registram registros CNAME em the_msdcs.contoso.com zona)

   E

   A zona DNS do domínio do Active Directory (ou seja, um computador no domínio contoso.com registraria registros de host em contoso.com zona).

   E

   O domínio do sufixo DNS primário do computador se for diferente do nome de domínio do Active Directory (consulte o artigo do Technet Namespace disjunto).

   As opções para validar se um servidor DNS hospeda, encaminha ou delega (ou seja, "pode resolver") essas zonas incluem.

   • Inicie a ferramenta de gerenciamento de DNS para seu DNS e verifique os servidores DNS para os quais o controlador de domínio de origem aponta para resolução de nomes hospeda as zonas em questão.

   • Use NSLOOKUP para verificar se todos os servidores DNS para os quais o controlador de domínio de origem aponta podem resolver consultas para as zonas DNS em questão.

     Execute IPCONFIG /ALL no console do DC de origem

     c:\>ipconfig /all
     …
     DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                                10.45.42.101<- Secondary DNS Server IP>
     

     Execute as seguintes consultas NSLOOKUP:

     c:\>nslookup -type=soa  <Source DC DNS domain name> <source DCs primary DNS Server IP >
     c:\>nslookup -type=soa  < Source DC DNS domain name > <source DCs secondary DNS Server IP >
     c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs primary DNS Server IP >
     c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs secondary DNS Server IP >
     

     Por exemplo, se um controlador de domínio no CHILD.CONTOSO.COM domínio da floresta estiver configurado com os IPs de contoso.com servidor DNS primário e secundário "10.45.42.99" e "10.45.42.101", a sintaxe NSLOOKUP será:

     c:\>nslookup -type=soa  child.contoso.com 10.45.42.99
     c:\>nslookup -type=soa  child.contoso.com 10.45.42.101
     c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.99
     c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.101
     

   Observações:

   • A consulta SOA para a zona _mscs.contoso.com será resolvida corretamente se o DNS de destino tiver um bom encaminhador ou delegação ou para the_msdcs.<zona> de raiz florestal. Ele não será resolvido corretamente se o _msdcs.<a zona> raiz da floresta no servidor DNS que está sendo consultado é um subdomínio não delegado da zona< raiz da floresta que é a relação de >zona criada pelos domínios do Windows 2000.
   • Os registros CNAME são sempre registrados no _msdcs.<zona> raiz da floresta, mesmo para DC em domínios não raiz.
   • Configurar o cliente DNS de um DC ou computador membro para apontar para um servidor DNS do ISP para resolução de nomes é inválido. A única exceção é que o ISP foi contratado (ou seja, pago) e está hospedando, encaminhando ou delegando consultas DNS para sua floresta do Active Directory.
   • Os servidores DNS do ISP normalmente não aceitam atualizações dinâmicas de DNS, portanto, os registros CNAME, Host e SRV podem ter que ser registrados manualmente.

2. Verifique se o controlador de domínio de origem registrou seu registro CNAME

   Use a etapa 1 de "Verificar a resolução de nomes do Active Directory usando PING" para localizar o CNAME atual do controlador de domínio de origem.

   Execute ipconfig /all no console do DC de origem para determinar para quais servidores DNS o DC de origem aponta para resolução de nomes.

   c:\>ipconfig /all
   …
   DNS Servers . . . . . . . . . . . : 10.45.42.99                        <primary DNS Server IP
                                              10.45.41.101                      <secondary DNS Server IP
   

   Use NSLOOKUP para consultar os servidores DNS atuais para o registro CNAME dos DCs de origem (encontrado por meio do procedimento em "Verificar a resolução de nomes do Active Directory usando PING").

   c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs primary DNS Server IP >
   c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs secondary DNS Server IP>
   

   No exemplo, o objectGUID das Configurações NTDS para contoso-dc2 no domínio contoso.com é 8a7baee5-cd81-4c8c-9c0f-b10030574016. Ele aponta para "10.45.42.99" como primário para resolução de nomes DNS. A sintaxe NSLOOKUP seria:

   c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.99
   c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.101
   

   Se o DC de origem não tiver registrado seu registro CNAME nos servidores DNS para os quais ele aponta para resolução de nomes, execute o comando a seguir no DC de origem. Em seguida, verifique novamente o registro do registro CNAME:

   c:\>net stop netlogon & net start netlogon
   

   Observações:

   • Os registros CNAME são sempre registrados no _msdcs.<zona> raiz da floresta, mesmo para DC em domínios não raiz.
   • Os registros CNAME são registrados pelo Serviço NETLOGON durante a inicialização do sistema operacional, a inicialização do serviço NETLOGON e os intervalos recorrentes posteriores.
   • Cada promoção de um DC com o mesmo nome pode criar um novo objeto NTDS Settings com um objectGUID diferente que, portanto, registra um registro CNAME diferente. Verifique o registro do registro CNAME com base na última promoção do DC de origem versus o objectGUID para o objeto NTDS Settings no DC de destino se a origem tiver sido promovida mais de 1x.
   • Problemas de tempo durante a inicialização do sistema operacional podem atrasar o registro de DNS dinâmico bem-sucedido.
   • Se o registro CNAME de um controlador de domínio foi registrado com êxito, mas depois desaparece, verifique KB953317. Zonas DNS duplicadas em diferentes escopos de replicação ou eliminação de DNS excessivamente agressiva pelo servidor DNS.
   • Se o registro de registro CNAME estiver falhando nos servidores DNS para os quais o DC de origem aponta para resolução de nomes, examine os eventos NETLOGN no log de eventos SYSTEM para ver se há falhas de registro DNS.

3. Verifique se o controlador de domínio de origem registrou seus registros de host

   No console do controlador de domínio de origem, execute ipconfig /all para determinar para quais servidores DNS o controlador de domínio de origem aponta para resolução de nomes.

   c:\>ipconfig /all
   …
   DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                              10.45.42.101<- Secondary DNS Server IP>
   

   Use NSLOOKUP para consultar os servidores DNS atuais para o registro de host.

   c:\>nslookup -type=A+AAAA  <fully qualified hostname of source DC> <source DCs primary DNS Server IP >
   c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs secondary DNS Server IP>
   

   Continuando o exemplo para o nome do host para contoso-dc2 no domínio contoso.com é 8a7baee5-cd81-4c8c-9c0f-b10030574016 e aponta para self (127.0.0.1) como primário para resolução de nomes DNS, a sintaxe NSLOOKUP seria:

   c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.99
   c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.101
   

   Repita o comando NSLOOKUP no endereço IP do servidor DNS secundário dos DCs de origem.

   Para registrar dinamicamente os registros "A" do host, digite o seguinte comando no console do computador:

   c:\>ipconfig /registerdns
   

   Observações:

   • Todos os computadores Windows 2000 a Windows Server 2008 R2 registram registros "A" do host IPv4.
   • Os computadores Windows Server 2008 e Windows Server 2008 R2 registram registros "AAAA" de host IPv6.
   • Os registros "A" e "AAAA" do host são registrados na zona de sufixo DNS primária do computador.
   • Desabilite NICs que não têm cabos de rede conectados.
   • Desabilite o registro de registro de host em NICs que não podem ser acessadas por DCs e computadores membros na rede.
   • Não há suporte para desabilitar o protocolo IPv6 desmarcando a caixa de seleção IPv6 nas propriedades da placa de rede.

4. Verifique se o DC de destino aponta para servidores DNS válidos

   No controlador de domínio de destino, verifique se as configurações do cliente DNS apontam exclusivamente para os servidores DNS online no momento que hospedam, encaminham e delegam o _msdcs.<zona de domínio> raiz da floresta (ou seja, todos os controladores de domínio na contoso.com registros CNAME de registro de floresta em the_msdcs.contoso.com zona).

   E

   A zona DNS do domínio do Active Directory (ou seja, um computador no domínio contoso.com registraria registros de host em contoso.com zona).

   E

   O domínio do sufixo DNS primário do computador se for diferente do nome de domínio do Active Directory (consulte o artigo do Technet Namespace disjunto).

   As opções para validar se um servidor DNS hospeda, encaminha ou delega (ou seja, "pode resolver") essas zonas incluem:

   • Inicie a ferramenta de gerenciamento de DNS para seu DNS e verifique os servidores DNS para os quais o controlador de domínio de origem aponta para resolução de nomes hospeda as zonas em questão.

     OU

   • Use NSLOOKUP para verificar se todos os servidores DNS para os quais o controlador de domínio de origem aponta podem resolver consultas para as zonas DNS em questão.

     Execute IPCONFIG /ALL no console do controlador de domínio de destino:

     c:\>ipconfig /all
     …
     DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                           10.45.42.103<- Secondary DNS Server IP>
     

     Execute as seguintes consultas NSLOOKUP no console do controlador de domínio de destino:

     c:\>nslookup -type=soa  <Source DC DNS domain name> <destinatin DCs primary DNS Server IP >
     c:\>nslookup -type=soa  < Source DC DNS domain name > <destination DCs secondary DNS Server IP >
     c:\>nslookup -type=soa  _msdcs.<forest root DNS domain> <destination DCs primary DNS Server IP >
     c:\>nslookup -type=soa  _msdcs.<forest root DNS name> <destination DCs secondary DNS Server IP>
     

   Por exemplo, se um controlador de domínio no domínio CHILD.CONTOSO.COM da floresta contoso.com estiver configurado com os IPs de servidor DNS primário e secundário "10.45.42.102" e "10.45.42.103", a sintaxe NSLOOKUP será

   c:\>nslookup -type=soa  child.contoso.com 10.45.42.102
   c:\>nslookup -type=soa  child.contoso.com 10.45.42.103
   c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.102
   c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.103
   

   Observações:

   • A consulta SOA para a zona _mscs.contoso.com será resolvida corretamente se o DNS de destino tiver um bom encaminhador ou delegação ou para the_msdcs.<zona> de raiz florestal. Ele não será resolvido corretamente se the_msdcs.<a zona> raiz da floresta no servidor DNS que está sendo consultado é um subdomínio não delegado da zona< raiz da floresta que é a relação de >zona criada pelos domínios do Windows 2000.
   • Os registros CNAME são sempre registrados no _msdcs.<zona> raiz da floresta, mesmo para DC em domínios não raiz.
   • Configurar o cliente DNS de um DC ou computador membro para apontar para um servidor DNS do ISP para resolução de nomes é inválido. A única exceção é que o ISP foi contratado (ou seja, pago) e está hospedando, encaminhando ou delegando consultas DNS para sua floresta do Active Directory.
   • Os servidores DNS do ISP normalmente não aceitam atualizações dinâmicas de DNS, portanto, os registros CNAME, Host e SRV podem ter que ser registrados manualmente.
   • O resolvedor de DNS nos computadores Windows é "fixo" por design. Ele usa servidores DNS que respondem a consultas, independentemente de esses servidores DNS hospedarem, encaminharem ou delegarem as zonas necessárias. Reafirmado, o resolvedor de DNS não fará failover e consultará outro servidor DNS, desde que o DNS ativo esteja respondendo, mesmo que a resposta do servidor DNS seja "Eu não hospedo o registro que você está procurando ou até mesmo hospedo uma cópia da zona para esse registro".

5. Verifique se o servidor DNS usado pelo controlador de domínio de destino pode resolver os registros CNAME e HOST dos controladores de domínio de origem

   No console do controlador de domínio de destino, execute ipconfig /all para determinar os servidores DNS para os quais o controlador de domínio de destino aponta para resolução de nomes:

   DNS Servers that destination DC points to for name resolution:
   
   c:\>ipconfig /all
   …
     DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                10.45.42.103<- Secondary DNS Server IP>
   

   No console do DC de destino, use NSLOOKUP para consultar os servidores DNS configurados no DC de destino para os registros CNAME e host dos DCs de origem:

   c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs primary DNS Server IP >
   c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs secondary DNS Server IP>
   c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs primary DNS Server IP >
   c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs secondary DNS Server IP>
   

   No exemplo, contoso-dc2 no domínio contoso.com com GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016 no domínio raiz da floresta aponta para os Contoso.com servidores DNS "10.45.42.102" e "10.45.42.103". A sintaxe NSLOOKUP seria:

   c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.102
   c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.103
   c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102
   c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102  
   

6. Examine a relação entre os servidores DNS usados pelos DCs de origem e destino

   Se os servidores DNS usados pelo host de origem e destino hospedam cópias integradas ao AD do _msdcs.<forest root> e <zonas de sufixo> DNS primárias, verifique:

   • Latência de replicação entre o DNS em que o registro foi registrado e o DNS em que o registro está sendo consultado.
   • Uma falha de replicação entre o DNS em que o registro está registrado e o DNS que está sendo consultado.
   • A zona DNS que hospeda o registro de interesse permanece em diferentes escopos de replicação e, portanto, em conteúdos diferentes, ou é CNF/conflituosa em um ou mais DCs.

   Se as zonas DNS usadas pelo controlador de domínio de origem e destino estiverem armazenadas em cópias primárias e secundárias de zonas DNS, verifique:

   • A caixa de seleção "permitir transferências de zona" não está habilitada no DNS que hospeda a cópia primária da zona.
   • A caixa de seleção "Somente os seguintes servidores" está habilitada, mas o endereço IP do DNS secundário não foi adicionado à lista de permissões no DNS primário.
   • A zona DNS no DNS do Windows Server 2008 que hospeda a cópia secundária da zona está vazia devido a KB953317.

   Se os servidores DNS usados pelo controlador de domínio de origem e destino tiverem relacionamentos pai/filho, verifique:

   • Delegações inválidas no DNS que possui a zona pai que está delegando à zona subordinada.
   • Endereços IP de encaminhador inválidos no servidor DNS tentando resolver a zona DNS superior (exemplo: um controlador de domínio em child.contoso.com tentando resolver registros de host em conto.com zona que permanece em servidores DNS no domínio raiz).

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de replicação do Active Directory.