Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Özgün KB numarası: 267855
Şunlar için geçerlidir: Windows Server'ın desteklenen sürümleri
Belirtiler
Etki Alanı Adı Sistemi (DNS) kayıtları, bazı DC'ler için Active Directory ile tümleşik bir DNS bölgesinde, Netlogon tarafından kaydedilen SRV ve etki alanı denetleyicisi (DC) bulucu A kayıtları ile yetkili DNS sunucuları tarafından eklenen NS kayıtlarının, çok sayıda DC içeren bir etki alanında çalışmayabilir.
Windows Server 2022 ve daha önceki sürümlerinde, DNS bölgelerini ve etki alanlarını işletmeye yönelik tüm DNS kayıtlarını yaklaşık 1.200 DC ve DNS sunucusunun kaydetmesini sağlayabilirsiniz. Windows Server 2025 için, yaklaşık 3.200 DC'nin DNS kayıtlarını kaydetmesine izin veren isteğe bağlı bir özelliği etkinleştirebilirsiniz. Ayrıntılar için Başvurular bölümüne bakın.
Olay günlüğüne aşağıdaki hata iletilerinden biri veya daha fazlası kaydedilebilir:
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4011
Description: The DNS server was unable to add or write an update of domain name xyz in zone xyz.example.com to the Active Directory. Check that the Active Directory is functioning properly and add or update this domain name using the DNS console. The event data contains the error.
Data: 0000: 2a 23 00 00 *#..
Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4015
Description: The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The event data contains the error.
Data: 0000: 0b 00 00 00 ....
Event Type: Warning
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1093
Description: The directory replication agent (DRA) could not apply changes to object DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC=com (GUID <GUID>) because the incoming changes cause the object to exceed the database's record size limit. The incoming change to attribute 9017e (dnsRecord) will be backed out in an attempt to make the update fit. In addition to the change to the attribute not being applied locally, the current value of the attribute on this system will be sent out to all other systems to make that the definitive version. This has the effect of nullifying the change to the rest of the enterprise.
The reversal may be recognized as follows:
Version:
5474
Time of change:
<DateTime>
Update sequence number:
<USN>
Event Type: Information
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1101
Description: The directory replication agent (DRA) was able to successfully apply the changes to object DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC=xyz,DC=example,DC=com (GUID <GUID>) after backing out one or more of the attribute changes. Preceding messages will indicate which attributes were reversed. Please note that this will have the effect of nullifying the change where it was made, causing the original update not to take effect. The originator should be notified that their change was not accepted by the system.
Neden
Active Directory (AD) ile tümleşik bir DNS bölgesinde, DNS adları dnsNode nesneleriyle temsil edilir ve DNS kayıtları dnsNode nesnelerindeki çok değerli dnsRecord özniteliğinde değer olarak depolanır ve bu makalenin önceki bölümlerinde listelenen hata iletilerinin oluşmasına neden olur.
Bu sorun, Active Directory'nin Windows Server 2022 ve önceki sürümlerinde tek bir nesneyle ilişkilendirilebilen yaklaşık 1.200 değer sınırlaması olduğundan oluşur. Windows Server 2025 için bu sınır yaklaşık 3.200 değere kaldırılabilir.
Çözüm
Bu sorunu çözmek için aşağıdaki yöntemleri kullanabilirsiniz.
Bir bölgenin NS kayıtlarıyla ilgili sorun yaşanıyor
1. Yöntem
DC'leriniz aynı zamanda DNS sunucularıysa, hepsi AD ile tümleşik bölgeleri barındırır ve hepsi kendilerini varsayılan olarak bölgenin NS kaydına ekler. Bağlı olmayan özniteliklerin sınırını aşarsanız, DNS kaydı AD nesnesi güncelleştirmeleri başarısız olur.
Kendilerine karşılık gelen NS kayıtlarını belirtilen bir bölgeye ekleyebilen DNS sunucularının listesini azaltmak istiyorsanız, DNS sunucularının bir alt kümesini seçin ve anahtarla /AllowNSRecordsAutoCreationDnscmd.exe çalıştırın. Listede ağa iyi bağlı ve iyi izlenen DC'ler olmasını göz önünde bulundurun. Bu, merkezi veri merkezlerinizde çalışan bir dizi DC olabilir.
Bir bölge için otomatik olarak NS kayıtları oluşturma iznine sahip DNS sunucularının TCP/IP adreslerinin
/AllowNSRecordsAutoCreation IPListlistesini ayarlamak için komutunu kullanın. Örneğin:Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2Bir bölge için otomatik olarak NS kayıtları oluşturma iznine sahip DNS sunucularının TCP/IP adreslerinin listesini temizlemek ve her birincil DNS sunucusu bir bölgeye karşılık gelen bir NS kaydına otomatik olarak eklendiğinde bölgeyi varsayılan duruma döndürmek için komutunu kullanın
/AllowNSRecordsAutoCreation. Örneğin:Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreationBir bölge için otomatik olarak NS kayıtları oluşturma iznine sahip DNS sunucularının TCP/IP adreslerinin listesini sorgulamak
/AllowNSRecordsAutoCreationiçin komutunu kullanın. Örneğin:Dnscmd NS1 /zoneinfo zonename.com /AllowNSRecordsAutoCreation
Not
Bu komutu yalnızca bir DNS sunucusunda çalıştırın. Active Directory çoğaltması, değişiklikleri aynı etki alanındaki DC'lerde çalışan tüm DNS sunucularına yayılır.
Etki alanının DNS DC'lerinin çoğunluğunun şubelerde, birkaçının da merkezi bir konumda yer aldığı bir ortamda, IPList'i yalnızca merkezi olarak bulunan DNS DC'lerini içerecek şekilde ayarlamak için daha önce bu makalede açıklanan Dnscmd komutunu kullanmak isteyebilirsiniz. Bunu yaptığınızda, yalnızca merkezi olarak bulunan DNS DC'leri ilgili NS kayıtlarını Active Directory etki alanı bölgesine ekler.
2. Yöntem
Önemli
Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatli bir şekilde izlediğinizden emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra, bir sorun oluştuğunda kayıt defterini geri yükleyebilirsiniz. Daha fazla bilgi için bkz . Windows'da kayıt defterini yedekleme ve geri yükleme.
Yöntem 1'e benzer şekilde, barındırdıkları bölgeler için bir NS kaydıyla sunmak istediğiniz bir dizi DC seçin. KENDILERINE karşılık gelen NS kayıtlarını AD ile tümleşik herhangi bir DNS bölgesine eklemek istemediğiniz DNS sunucuları için, etkilenen her DNS sunucusunda aşağıdaki kayıt defteri değerini yapılandırmak için Kayıt Defteri Düzenleyicisi'ni (Regedt32.exe) kullanın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Kayıt defteri değeri: DisableNSRecordsAutoCreation
Veri türü: REG_DWORD
Veri aralığı: 0x0 | 0x1
Varsayılan değer: 0x0
Bu değer, AD ile tümleşik tüm DNS bölgelerini etkiler. Değerler aşağıdaki anlamlara sahiptir:
| Değer | Anlamı |
|---|---|
| 0 | Sunucu tarafından barındırılan herhangi bir bölge, sunucuyu içermeyen AllowNSRecordsAutoCreation özniteliğini (bu makalenin başlarında açıklanmıştır) içermediği sürece, DNS sunucusu tüm Active Directory ile tümleşik DNS bölgeleri için otomatik olarak NS kayıtları oluşturur. Bu durumda, sunucu AllowNSRecordsAutoCreation yapılandırmasını kullanır. |
| 1 | DNS sunucusu, Active Directory ile tümleşik DNS bölgelerindeki AllowNSRecordsAutoCreation yapılandırmasından bağımsız olarak tüm Active Directory ile tümleşik DNS bölgeleri için otomatik olarak NS kayıtları oluşturmaz. |
Not
Değişiklikleri bu değere uygulamak için DNS Sunucusu hizmetini yeniden başlatmanız gerekir.
DC'lere ait olan bir bölgenin SRV ve A kayıtlarıyla ilgili bir sorun yaşanıyor.
Önemli
Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatli bir şekilde izlediğinizden emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra, bir sorun oluştuğunda kayıt defterini geri yükleyebilirsiniz. Daha fazla bilgi için bkz . Windows'da kayıt defterini yedekleme ve geri yükleme.
Netlogon, DC'nin DNS kaydının kaydını yönetir. Bir DC'nin varsayılan olarak Netlogon tarafından dinamik olarak güncelleştirilen bazı DNS kayıtlarının dinamik güncelleştirmelerini denemesini önlemek için, aşağıdaki kayıt defteri değerini yapılandırmak için Regedt32.exe kullanın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Kayıt defteri değeri: DnsAvoidRegisterRecords
Veri türü: REG_MULTI_SZ
Bu değerde, bu DC tarafından kaydedilmemesi gereken DNS kayıtlarına karşılık gelen anımsatıcıların listesini belirtin.
Not
Değeri, aşağıdaki tabloda belirtilen enter ile ayrılmış anımsatıcılar listesine ayarlayın.
Anımsatıcılar listesi şunları içerir:
| Anımsatıcı | Tip | DNS Kaydı |
|---|---|---|
| LDAP IP Adresi | A | <DnsDomainName> |
| LDAP | SRV | _ldap._tcp.<DnsDomainName> |
| LdapAtSite | SRV | _ldap._tcp.<SiteName>._sites.<DnsDomainName> |
| Pdc | SRV | _ldap._tcp.pdc._msdcs.<DnsDomainName> |
| Gc | SRV | _ldap._tcp.gc._msdcs.<DnsForestName> |
| GcAtSite | SRV | _ldap._tcp.<SiteName>._sites.gc._msdcs.<DnsForestName> |
| DcByGuid | SRV | _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName> |
| GcIpAddress | A | gc._msdcs.<DnsForestName> |
| DsaCname | CNAME | <DsaGuid>._msdcs.<DnsForestName> |
| Kdc | SRV | _kerberos._tcp.dc._msdcs.<DnsDomainName> |
| KdcAtSite | SRV | _kerberos._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName> |
| Dc | SRV | _ldap._tcp.dc._msdcs.<DnsDomainName> |
| DcAtSite | SRV | _ldap._tcp.<SiteName>._sites.dc._msdcs.<DnsDomainName> |
| Rfc1510Kdc | SRV | _kerberos._tcp.<DnsDomainName> |
| Rfc1510KdcAtSite | SRV | _kerberos._tcp.<SiteName>._sites.<DnsDomainName> |
| GenericGc | SRV | _gc._tcp.<DnsForestName> |
| GenericGcAtSite | SRV | _gc._tcp.<SiteName>._sites.<DnsForestName> |
| Rfc1510UdpKdc | SRV | _kerberos._udp.<DnsAlanAdı> |
| Rfc1510Kpwd | SRV | _kpasswd._tcp.<DnsDomainName> |
| Rfc1510UdpKpwd | SRV | _kpasswd._udp.<DnsDomainName> |
Not
Netlogon hizmetini yeniden başlatmak gerekmez.
DnsAvoidRegisterRecords Netlogon hizmeti durdurulurken veya Netlogon başlatıldıktan sonraki ilk 15 dakika içinde kayıt defteri değeri oluşturulur veya değiştirilirse, uygun DNS güncelleştirmeleri kısa bir gecikmeyle gerçekleşir (ancak gecikme Netlogon başlatıldıktan sonra en fazla 15 dakika sürer).
Grup İlkesi kullanarak DNS kayıtlarının listesini gizlenecek şekilde de ayarlayabilirsiniz:
GPS: DC'ler tarafından kaydedilmeyen DC Bulucu DNS kayıtlarını tanımlayın
Netlogon tarafından gerçekleştirilen A kayıtlarının DNS kayıtları da kayıt defteri değeri kullanılarak RegisterDnsARecords değiştirilebilir. Daha fazla bilgi için bkz . Windows'da DNS güncelleştirmelerini etkinleştirme veya devre dışı bırakma.
Hem DnsAvoidRegisterRecords hem de kayıt defteri değerlerinin RegisterDnsARecords konak (A) kaydını kaydetmeye izin vermeleri gerektiğini unutmayın:
- RegisterDnsARecords = 0x1
Kayıt defteri değer ayarlarında LdapIpAddress ve GcIpAddressDnsAvoidRegisterRecordslistelediyseniz, A kayıtları kaydedilmez. - RegisterDnsARecords = 0x0
Kayıt defteri değer ayarlarında LdapIpAddress ve GcIpAddress listeleseniz deDnsAvoidRegisterRecords, A kayıtları kaydedilmez.
Bu makalenin önceki bölümlerinde açıklanan sorunun, bir dizi DC'nin ve/veya genel katalog (GC) sunucularının merkezi bir konumda bulunduğu ve çok sayıda DC ve/veya GC sunucularının şubelerde bulunduğu bir ortamda oluşmasını önlemek için, yönetici bazı DNS kayıtlarının Netlogon tarafından şube ofislerindeki DC/GC'lere kaydedilmesini devre dışı bırakabilir. Bu durumda, kaydedilmemesi gereken anımsatıcıların listesi şunları içerir:
DC'ye özgü kayıtlar:
| Anımsatıcı | Tip | DNS Kaydı |
|---|---|---|
| LdapIpAddress | A | <DnsDomainName> |
| Ldap | SRV | _ldap._tcp.<DnsDomainName> |
| DcByGuid | SRV | _ldap._tcp.<DomainGuid>.domains._msdcs.<DnsForestName> |
| Kdc | SRV | _kerberos._tcp.dc._msdcs.<DnsDomainName> |
| Doğru akım (assuming "Dc" refers to "Direct current") | SRV | _ldap._tcp.dc._msdcs.<DnsDomainName> |
| Rfc1510Kdc | SRV | _kerberos._tcp.<DnsDomainName> |
| Rfc1510UdpKdc | SRV | _kerberos._udp.<DnsDomainName> |
| Rfc1510Kpwd | SRV | _kpasswd._tcp.<DnsDomainName> |
| Rfc1510UdpKpwd | SRV | _kpasswd._udp.<DnsEtkiAlanıAdı> |
GC'ye özgü kayıtlar:
| Hafıza Tekniği | Tür | DNS Kaydı |
|---|---|---|
| Gc | SRV | _ldap._tcp.gc._msdcs.<DnsForestName> |
| GcIpAddress | A | gc._msdcs.<DnsForestName> |
| GenericGc | SRV | _gc._tcp.<DnsForestName> |
Not
Bu listeler siteye özgü kayıtları içermez. Bu nedenle, şubelerdeki DC'ler ve GC sunucuları genellikle DC bulucu tarafından kullanılan siteye özgü kayıtlara göre bulunur. Bir program, bu makalenin önceki bölümlerinde listelenen listelerdeki kayıtlardan herhangi biri gibi genel (siteye özgü olmayan) kayıtları kullanarak DC/GC ararsa merkezi konumda bir DC/GC bulur.
Salt okunur DC'ler, varsayılan olarak kendi sitelerine özgü DNS kayıtlarını kayıt altına alır.
Yönetici, aynı genel DNS adı (_ldap._tcp.dc._msdcs) için Netlogon tarafından kaydedilen SRV ve A kayıtları gibi DC bulucu kayıtlarının sayısını sınırlamayı da seçebilir.<DomainName>), aynı etki alanındaki bağlı olmayan öznitelik değeri sınırından daha az DC içeren bir senaryoda bile, bu tür kayıtların sorgularına yönelik DNS yanıtlarının boyutunu küçültmek için.
Bu ayarı DC'ler OU'suna bağlı bir Grup İlkesi'nde oluşturabilir, tüm dal DC'lerini "AD Dal DC'leri" grubuna ekleyebilir ve Grup İlkesi'ni yalnızca "AD Dal DC'leri" grubunun üyelerine uygulanacak şekilde ayarlayabilirsiniz.
Durum
Microsoft bu sorunun "Uygulandığı öğe" bölümünde listelenen Microsoft ürünlerinde bulunduğunu onaylamıştır.
Daha fazla bilgi
Active Directory ile tümleşik bir DNS bölgesi için yetkili olan her DNS sunucusu bir NS kaydı ekler. Varsayılan olarak, bir etki alanındaki her DC, "_ldap._tcp gibi siteye özgü olmayan adlar kümesi için bir SRV kaydı kaydeder.<>domain_name" ve Active Directory DNS etki alanı adını DC'nin TCP/IP adresleriyle eşleyen A kayıtları. Bir DNS sunucusu aynı paylaşılan ad için birçok değer içeren bir kayıt yazmaya çalıştığında, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) yaklaşık 10 saniye boyunca 100% CPU kullanımında çalışır ve kayıt başarılı olmaz. Netlogon bu kaydı her saat yeniden dener; CPU kullanımının %100% artışı saatte en az bir kez yeniden ortaya çıkar ve yapılan kayıt denemeleri başarısız olur.