Поделиться через

Проверка работоспособности DNS для поддержки репликации каталогов

Чтобы проверить параметры системы доменных имен (DNS), которые могут препятствовать репликации Active Directory, можно начать, выполнив базовый тест, обеспечивающий правильную работу DNS для вашего домена. После выполнения базового теста можно протестировать другие аспекты функций DNS, включая регистрацию записей ресурсов и динамическое обновление.

Хотя этот тест можно запустить на любом контроллере домена, обычно этот тест выполняется на контроллерах домена, которые могут возникнуть проблемы с репликацией, например контроллеры домена, сообщающие идентификаторы событий 1844, 1925, 2087 или 2088 в журнале DNS службы каталогов Просмотр событий.

Запуск базового теста DNS контроллера домена

Базовый тест DNS проверяет следующие аспекты функциональных возможностей DNS:

  • Подключение. Тест определяет, регистрируются ли контроллеры домена в DNS, могут быть связаны ping с командой и имеют подключение к протоколу упрощенного доступа к каталогу или удаленному вызову процедуры (LDAP/RPC). Если проверка подключения завершается сбоем на контроллере домена, другие тесты не выполняются с этим контроллером домена. Тест подключения выполняется автоматически перед выполнением любого другого теста DNS.
  • Основные службы: тест подтверждает, что на тестовом контроллере домена выполняются и доступны следующие службы: служба DNS-клиента, служба Net Logon, служба центра распространения ключей (KDC) и служба DNS-сервера (если DNS установлен на контроллере домена).
  • Конфигурация DNS-клиента: тест подтверждает, что DNS-серверы на всех сетевых адаптерах клиентского компьютера DNS доступны.
  • Регистрация записей ресурсов. Тест подтверждает, что запись ресурсов узла (A) каждого контроллера домена зарегистрирована по крайней мере на одном из DNS-серверов, настроенных на клиентском компьютере.
  • Зона и начало центра (SOA): если контроллер домена выполняет службу DNS-сервера, тест подтверждает наличие зоны домена Active Directory и записи ресурсов центра (SOA) для зоны домена Active Directory.
  • Корневая зона: проверяет наличие корневой зоны (.).

Членство в корпоративных администраторах или эквивалентных параметров является минимальным обязательным для выполнения этих процедур.

Для проверки основных функций DNS можно использовать следующую процедуру.

Чтобы проверить основные функции DNS, выполните следующие действия.

  1. На контроллере домена, который требуется протестировать или на компьютере-члене домена с установленными средствами домен Active Directory служб (AD DS), откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите кнопку "Пуск".

  2. В поле Начать поисквведите Командная строка.

  3. Вверху меню "Пуск" щелкните правой кнопкой мыши элемент Командная строкаи выберите пункт Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие - то, которое требуется, и нажмите кнопку Продолжить.

  4. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s:<DCName> /DnsBasic /f:dcdiagreport.txt

    замените фактическое различающееся имя, имя NetBIOS или DNS-имя контроллера домена для <DCName>. В качестве альтернативы можно протестировать все контроллеры домена в лесу, введя /e: вместо /s:. Параметр /f задает имя файла, которое в предыдущей команде dcdiagreport.txt. Если вы хотите разместить файл в расположении, отличном от текущего рабочего каталога, можно указать путь к файлу, например /f:c:reportsdcdiagreport.txt.

  5. Откройте файл dcdiagreport.txt в Блокноте или аналогичный текстовый редактор. Чтобы открыть файл в Блокноте, в командной строке введите блокнот dcdiagreport.txt и нажмите клавишу ВВОД. Если файл помещается в другой рабочий каталог, добавьте путь к файлу. Например, если файл помещен в c:reports, введите блокнот c:reportsdcdiagreport.txt, а затем нажмите клавишу ВВОД.

  6. Прокрутите страницу до сводной таблицы в нижней части файла.

    Обратите внимание на имена всех контроллеров домена, сообщающих о состоянии "Предупреждение" или "Сбой" в таблице сводки. Попробуйте определить, возникла ли проблема контроллер домена, найдя подробный раздел разбиения, выполнив поиск строки DC: DCName, где DCName является фактическим именем контроллера домена.

Если вы видите очевидные изменения конфигурации, необходимые, внесите их соответствующим образом. Например, если вы заметите, что один из контроллеров домена имеет явно неверный IP-адрес, его можно исправить. Затем повторно запустите тест.

Чтобы проверить изменения конфигурации, повторно запустите команду Dcdiag /test:DNS/v с параметром /e или /s: при необходимости. Если у вас нет ip-адреса версии 6 (IPv6) на контроллере домена, необходимо ожидать, что часть проверки узла (AAAA) теста завершится ошибкой, но если в сети не используется IPv6, эти записи не нужны.

Проверка регистрации записей ресурсов

Контроллер домена назначения использует запись ресурса DNS-псевдонима (CNAME) для поиска партнера по репликации исходного контроллера домена. Хотя контроллеры домена под управлением Windows Server (начиная с Windows Server 2003 с пакетом обновления 1 (SP1)) могут находить партнеров по репликации источников с помощью полных доменных имен (FQDN)или, если это не удается, NetBIOS называет наличие записи ресурсов псевдонима (CNAME) и должно быть проверено для правильного функционирования DNS.

Для проверки регистрации записей ресурсов можно использовать следующую процедуру, включая регистрацию записи ресурса (CNAME).

Проверка регистрации записей ресурсов

  1. Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку "Пуск". В поле Начать поисквведите Командная строка.
  2. Вверху меню "Пуск" щелкните правой кнопкой мыши элемент Командная строкаи выберите пункт Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие - то, которое требуется, и нажмите кнопку Продолжить.

    Средство Dcdiag можно использовать для проверки регистрации всех записей ресурсов, необходимых для расположения контроллера домена, выполнив dcdiag /test:dns /DnsRecordRegistration команду.

Эта команда проверяет регистрацию следующих записей ресурсов в DNS:

  • псевдоним (CNAME): глобальная уникальная запись ресурса на основе GUID, которая находит партнера репликации.
  • host (A): запись ресурса узла, содержащая IP-адрес контроллера домена.
  • ПРОТОКОЛ LDAP SRV: записи ресурсов службы (SRV), на которые находятся серверы LDAP
  • SRV GC: записи ресурсов службы (SRV), на которые находятся серверы глобального каталога
  • PDC SRV: записи ресурсов службы (SRV), на которые находятся мастера операций эмулятора основного контроллера домена (PDC)

Для проверки регистрации записи ресурса (CNAME) можно использовать следующую процедуру.

Проверка регистрации записей ресурсов псевдонима (CNAME)

  1. Откройте оснастку DNS. Чтобы открыть DNS, нажмите кнопку "Пуск". В поле "Начать поиск" введите dnsmgmt.msc и нажмите клавишу ВВОД. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что оно отображает нужное действие, а затем нажмите кнопку "Продолжить".
  2. Используйте оснастку DNS, чтобы найти любой контроллер домена, на котором выполняется служба DNS-сервера, где сервер размещает зону DNS с тем же именем, что и домен Active Directory контроллера домена.
  3. В дереве консоли щелкните зону, которая называется _msdcs. Dns_Domain_Name.
  4. В области сведений убедитесь, что существуют следующие записи ресурсов: запись ресурса псевдонима (CNAME), которая называется Dsa_Guid._msdcs.<> Dns_Domain_Name и соответствующую запись ресурса узла (A) для имени DNS-сервера.

Если запись ресурса псевдонима (CNAME) не зарегистрирована, убедитесь, что динамическое обновление работает правильно. Используйте тест в следующем разделе, чтобы проверить динамическое обновление.

Проверка динамического обновления

Если базовый тест DNS показывает, что записи ресурсов не существуют в DNS, используйте динамический тест обновления, чтобы определить, почему служба входа в Сеть не регистрирует записи ресурсов автоматически. Чтобы убедиться, что зона домена Active Directory настроена для принятия безопасных динамических обновлений и для регистрации тестовой записи (_dcdiag_test_record), используйте следующую процедуру. Запись теста удаляется автоматически после теста.

Проверка динамического обновления

  1. Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку "Пуск". В поле Начать поисквведите Командная строка. Вверху меню "Пуск" щелкните правой кнопкой мыши элемент Командная строкаи выберите пункт Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие - то, которое требуется, и нажмите кнопку Продолжить.
  2. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s:<DCName> /DnsDynamicUpdate

    замените различающееся имя, netBIOS-имя или DNS-имя контроллера домена для <DCName>. В качестве альтернативы можно протестировать все контроллеры домена в лесу, введя /e: вместо /s:. Если у вас нет протокола IPv6 на контроллере домена, необходимо ожидать, что запись ресурса узла (AAAA) завершится ошибкой, что является нормальным условием, если протокол IPv6 не включен.

Если безопасные динамические обновления не настроены, для их настройки можно использовать следующую процедуру.

Включение безопасных динамических обновлений

  1. Откройте оснастку DNS. Чтобы открыть DNS, нажмите кнопку "Пуск".
  2. В поле "Начать поиск" введите dnsmgmt.msc и нажмите клавишу ВВОД. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что оно отображает нужное действие и нажмите кнопку "Продолжить".
  3. В дереве консоли щелкните правой кнопкой мыши соответствующую зону и выберите пункт "Свойства".
  4. На вкладке " Общие" убедитесь, что тип зоны интегрирован с Active Directory.
  5. В динамических обновлениях нажмите кнопку "Защитить только".

Регистрация записей ресурсов DNS

Если записи ресурсов DNS не отображаются в DNS для исходного контроллера домена, вы проверили динамические обновления и хотите немедленно зарегистрировать записи ресурсов DNS, вы можете принудительно зарегистрировать регистрацию вручную с помощью следующей процедуры. Служба входа в сеть на контроллере домена регистрирует записи ресурсов DNS, необходимые для расположения контроллера домена в сети. Служба DNS-клиента регистрирует запись ресурса узла (A), на которую указывает запись псевдонима (CNAME).

Регистрация записей ресурсов DNS вручную

  1. Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку "Пуск".
  2. В поле Начать поисквведите Командная строка.
  3. В верхней части окна "Пуск" щелкните правой кнопкой мыши командную строку и нажмите кнопку "Запуск от имени администратора". Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие - то, которое требуется, и нажмите кнопку Продолжить.
  4. Чтобы инициировать регистрацию записей ресурсов контроллера домена вручную на исходном контроллере домена, в командной строке введите следующую команду и нажмите клавишу ВВОД: net stop netlogon && net start netlogon
  5. Чтобы инициировать регистрацию записи ресурса узла (A) вручную, в командной строке введите следующую команду и нажмите клавишу ВВОД: ipconfig /flushdns && ipconfig /registerdns
  6. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s:<DCName>

    замените различающееся имя, netBIOS-имя или DNS-имя контроллера домена для <DCName>. Просмотрите выходные данные теста, чтобы убедиться, что тесты DNS прошли. Если у вас нет протокола IPv6 на контроллере домена, необходимо ожидать, что запись ресурса узла (AAAA) завершится ошибкой, что является нормальным условием, если протокол IPv6 не включен.