Active Directory 複寫錯誤 8524：由於 DNS 查閱失敗，DSA 作業無法繼續

2025-06-17

本文說明 AD 作業因 Win32 錯誤 8524 而失敗的徵兆、原因和解決步驟：

由於 DNS 查閱失敗，DSA 作業無法繼續進行。

原始 KB 編號： 2021446
適用於： 所有支援的 Windows Server 版本

主使用者： 本文僅適用於技術支持專員和IT專業人員。如果您要尋求問題的協助，請詢問Microsoft社群。

徵兆

DCDIAG 報告 Active Directory 複寫測試失敗，狀態為 8524：

測試伺服器： <月臺名稱><目的地DC>
開始測試：複寫
[複寫檢查，<目的地 DC>] 最近的復寫嘗試失敗：從 <來源 DC> 到 <目的地 DC>
命名內容：
失敗目錄分割<的 CN=>DN 路徑，DC=Contoso，DC=Com
複寫產生錯誤（8524）：
由於 DNS 查閱失敗，DSA 作業無法繼續進行。
REPADMIN 報告復寫嘗試失敗，狀態為8524。

通常引用 8524 狀態的 REPADMIN 命令包括，但不限於：
- REPADMIN /REPLSUM
- REPADMIN /SHOWREPS
- REPADMIN /SHOWREPL
REPADMIN /SHOWREPL 的 8524 個失敗範例如下所示：

Default-First-Site-Name\CONTOSO-DC1
DSA 選項：IS_GC
網站選項：（無）
DSA 物件 GUID：DSA 調用識別碼：
DC=contoso，DC=com
Default-First-Site-Name\ 透過 RPCCONTOSO-DC2
DSA 物件 GUID：
上次嘗試 @ YYYY-MM-DD HH：MM：SS 失敗，結果 8524 （0x214c）：
由於 DNS 查閱失敗，DSA 作業無法繼續進行。
1 個連續失敗（秒）。
上次成功 @ YYYY-MM-DD HH：MM：SS。

/showrepl 輸出的其餘部分已截斷

下列其中一個具有 8524 狀態的事件會記錄在目錄服務事件記錄檔中：

NTDS 知識一致性檢查工具（KCC）
NTDS 一般
Microsoft-Windows-ActiveDirectory_DomainService

通常引用 8524 狀態的 Active Directory 事件包括，但不限於：

活動	來源	事件字串
Microsoft-Windows-ActiveDirectory_DomainService	2023	此目錄伺服器無法將下列目錄分割區的變更複寫至下列遠端目錄伺服器
NTDS 一般	1655	Active Directory 嘗試與下列通用類別目錄通訊，但嘗試失敗。
NTDS KCC	1,308	KCC 偵測到連續嘗試使用下列目錄服務複寫失敗。
NTDS KCC	1,865	KCC 無法形成完整的跨樹狀結構網路拓撲。因此，無法從本機網站連線到下列網站清單
NTDS KCC	1925	嘗試建立下列可寫入目錄磁碟分割的複寫連結失敗。
NTDS KCC	19:26	嘗試建立只讀目錄分割區的復寫連結，但下列參數失敗

域控制器在其目錄服務事件記錄檔中記錄 NTDS 複寫事件 2087 和 NTDS 複寫事件 2088：

記錄檔名稱：目錄服務
來源：Microsoft-Windows-ActiveDirectory_DomainService
日期： <日期><時間>
事件標識碼：2087
工作類別：DS RPC 用戶端
層級：錯誤
關鍵字：傳統
使用者：匿名登入
計算機： <dc 名稱>。<功能變數名稱>
描述：

Active Directory 網域服務無法將來源域控制器的下列 DNS 主機名解析為 IP 位址。此錯誤可防止在樹系中的一或多個域控制器之間復寫 Active Directory 網域服務中的新增、刪除和變更。在解決此錯誤之前，安全組、組策略、用戶和計算機及其密碼在域控制器之間將會不一致。這可能會影響登入驗證和網路資源的存取。

記錄檔名稱：目錄服務
來源：Microsoft-Windows-ActiveDirectory_DomainService
日期： <日期><時間>
事件標識碼：2088
工作類別：DS RPC 用戶端
層級：警告
關鍵字：傳統
使用者：匿名登入
計算機： <dc 名稱>。<功能變數名稱>
描述：
Active Directory 網域服務無法使用 DNS 解析下列來源域控制器的 IP 位址。若要維護安全組、組策略、用戶和計算機及其密碼的一致性，Active Directory 網域服務使用來源域控制器的 NetBIOS 或完整電腦名稱成功複寫。

無效的 DNS 組態可能會影響此 Active Directory 網域服務樹系中成員計算機、域控制器或應用程式伺服器上的其他基本作業，包括登入驗證或網路資源的存取權。

您應該立即解決此 DNS 設定錯誤，讓此網域控制站可以使用 DNS 解析來源網域控制站的 IP 位址。

原因

錯誤狀態 8524 會對應至下列錯誤字串：

由於 DNS 查閱失敗，DSA 作業無法繼續進行。

對於影響 Windows Server 2003 SP1 域控制器上 Active Directory 的所有可能 DNS 失敗而言，這是一個全部攔截錯誤。

Microsoft-Windows-ActiveDirectory_DomainServiceevent 2087 是其他 Active Directory 事件的夥伴事件，如果 Active Directory 域控制器無法透過其完整 CNAME 記錄解析遠端 DC，<>則會引用 8524 狀態._msdcs。<使用 DNS 的樹系根域>。

Microsoft-Windows-ActiveDirectory_DomainService 事件 2088 會在來源域控制器透過 NetBIOS 名稱成功解析時記錄，但只有在 DNS 名稱解析失敗時才會發生這類名稱解析後援。

8524 狀態和 Microsoft-Windows-ActiveDirectory_DomainService 事件 2088 或 2087 事件都表示 DNS 名稱解析失敗 Active Directory。

總而言之，當目的地 DC 無法使用 CNAME 和主機「A」或主機「AAAA」記錄解析來源 DC 時，會記錄 8524 複寫狀態。特定根本原因包括：

來源 DC 已離線或已不存在，但其NTDS Settings 物件仍存在於目的地 DC 的 Active Directory 複本中。
來源 DC 因為下列原因，無法在一或多個 DNS 伺服器上註冊 CNAME 或主機記錄：
- 註冊嘗試失敗。
- 來源上的 DNS 用戶端設定不會指向裝載、轉送或委派其_msdcs的 DNS 伺服器。<樹系根域區域和（或）主要 DNS 後綴網域區域>。
目的地 DC 上的 DNS 用戶端設定不會指向裝載、轉送或委派包含來源 DC CNAME 或主機記錄的 DNS 伺服器
來源 DC 所註冊的 CNAME 和主機記錄不存在於目的地 DC 查詢的 DNS 伺服器上，原因如下：
- 簡單復寫延遲
- 複寫失敗
- 區域傳輸失敗
無效的轉寄站或委派。它們會防止目的地DC解析樹系中其他網域中DC的 CNAME 或主機記錄。
目的地 DC、來源 DC 或中繼 DNS 伺服器所使用的 DNS 伺服器無法正常運作。

解決方法

確認8524是由離線DC或過時的DC元數據所造成

如果 8524 錯誤/事件是指目前離線但仍在樹系中有效的 DC，請讓它運作。

如果 8524 錯誤 /事件參考非使用中的 DC，請從目的地 DC 的 Active Directory 複本中移除該 DC 的過時元數據。非作用中的DC是不再存在於網路上的DC安裝，但其NTDS設定物件仍存在於目的地 DC 的 Active Directory 複本中 -

Microsoft支援會定期尋找不存在 DC 的過時元數據，或先前使用未從 Active Directory 移除之相同電腦名稱之 DC 升級的過時元數據。

如果存在，請移除過時的DC元數據

使用 Active Directory 月臺和服務進行 GUI 元數據清除（DSSITE。MSC）

啟動 Windows Server 2008 或 Windows Server 2008 R2 Active Directory Sites and Services 嵌入式管理單元（DSSITE.MSC）。

您也可以在已安裝為遠端伺服器管理工具（RSAT）套件一部分的 Windows Vista 或 Windows 7 電腦上啟動 Active Directory Sites and Services 來完成。
將 DSSITE 焦點放在一起。目的地 DC 的 Active Directory 複本上的 MSC 嵌入式管理單元。

啟動 DSSITE 之後。MSC，以滑鼠右鍵按兩下 “Active Directory Sites and Services [<DC Name>]

從 [變更域控制器...] 中可見的DC清單中，選取記錄8524錯誤/事件的目的地DC。清單
刪除 8524 錯誤和事件中所參考的來源 DC NTDS Settings 物件。 Active Directory 使用者和電腦（DSA.MSC）嵌入式管理單元，並刪除來源 DC NTDS Settings 物件。

DC NTDS 設定物件隨即出現
- 網站、網站名稱、伺服器容器和 %server 名稱% 容器下方
- 在 Active Directory Sites and Services 右窗格中顯示的輸入連接物件上方。
以下螢幕快照中的紅色醒目提示顯示 CONTOSO-DC2 的 NTDS 設定對象位於 Default-First-Site-Name 網站下方。

以滑鼠右鍵按下您要移除的過時 NTDS 設定物件，然後選取 [刪除]。

元數據清除也可以從 W2K8 / W2K8 R2 Active Directory 使用者和電腦嵌入式管理單元完成，如 TECHNET 中所述。

使用 NTDSUTIL 的命令行元數據清除

使用 NTDSUTIL 元資料清除命令刪除過時 NTDS 設定物件的舊版或命令行方法記載於清除控制器伺服器元資料 Active Directory 網域。

在來源 DC + 目的地 DC 上執行`DCDIAG /TEST:DNS`

DCDIAG /TEST:DNS 會執行七種不同的測試，以快速檢查域控制器的 DNS 健康情況。此測試不會在 DCDIAG 的預設執行中執行。

使用 Enterprise Admin 認證登入記錄 8524 事件的目的地域控制器控制台。
開啟系統管理特殊許可權 CMD 提示字元，然後在 DCDIAG /TEST:DNS /F DC 記錄 8424 狀態和目的地 DC 複寫的來源 DC 上執行。

若要對樹系中的所有 DC 執行 DCDIAG，請輸入 DCDIAG /TEST:DNS /V /E /F:<File name.txt>。

若要針對特定 DC 執行 DCDIAG TEST：DNS，請輸入 DCDIAG /TEST:DNS /V /S:<DC NAME> /F:<File name.txt>。
找出輸出結尾處的 DCDIAG /TEST:DNS 摘要數據表。識別並協調報表相關 DC 上的警告或失敗狀況。
如果 DCDIAG 無法識別根本原因，請使用下列步驟採取「很長的路要走」。

使用 PING 檢查 Active Directory 名稱解析

目的地 DC 會根據其完整 CNAME 記錄解析 DNS 中的來源 DC，這些記錄衍生自遠端 DC NTDS 設定物件的物件 GUID（Active Directory Sites and Services 嵌入式管理單元中顯示的連接物件的父物件）。您可以使用 PING 命令來測試指定 DC 解析來源 DC 完整 CNAME 記錄的能力。

在 Active Directory 的來源 DC 複本中，找出來源 DC NTDS Settings 物件的 objectGUID。

從來源 DC 記錄 8524 錯誤/事件的主控台，輸入：

repadmin /showrepl <fully qualified hostname of source DC cited in the 8524 error (event)>

例如，如果網域中 8524 錯誤/事件中所參考的 DC 是 contoso-DC2 contoso.com ，請輸入：

repadmin /showrepl contoso-dc2.contoso.com

命令標頭 repadmin /SHOWREPl 中的「DSA 物件 GUID」欄位包含來源 DC 目前 NTDS 設定物件的 objectGUID。如果復寫速度緩慢或失敗，請使用其NTDS設定物件的來源DC檢視。輸出的 repadmin 標頭看起來會像這樣：

Default-First-Site-Name\CONTOSO-DC1
DSA 選項：IS_GC
網站選項：（無）
DSA 物件 GUID：8a7baee5-cd81-4c8c-9c0f-b10030574016 <- 以滑鼠右鍵按兩下 + 將此字串複製到 Windows
<- 剪貼簿並貼到 PING 命令中
<- 步驟 4

在目的地 DC 的 Active Directory 複本中，找出來源 DC 的 ObjectGUID。

從目的地 DC 記錄 8524 錯誤/事件的主控台輸入：

repadmin /showrepl <fully qualified hostname of destination DC>

例如，如果網域中的 contoso.com DC記錄8524錯誤/事件是 contoso-DC1，請輸入：

repadmin /showrepl contoso-dc1.contoso.com

REPADMIN /SHOWREPL 輸出如下所示。目的地 DC 輸入所復寫的每個來源 DC 都會列出 [DSA 物件 GUID] 字段。

 c:\>repadmin /showreps `contoso-dc1.contoso.com`  
 Default-First-Site-Name\CONTOSO-DC1  
 DSA Options: IS_GC  
 Site Options: (none)  
 DSA object GUID:  
 DSA invocationID:  
  DC=contoso,DC=com  
     Default-First-Site-Name\CONTOSO-DC2 via RPC  
         DSA object GUID: 8a7baee5-cd81-4c8c-9c0f-b10030574016      <- Object GUID for source DC derived from  
         Last attempt @ 2010-03-24 15:45:15 failed, result 8524 (0x214c):        \ destination DCs copy of Active Directory  
             The DSA operation is unable to proceed because of a DNS lookup failure.
         23 consecutive failure(s).  
         Last success @ YYYY-MM-DD HH:MM:SS.

比較 #2 和 #3 的物件 GUID。

如果物件 GUIDS 相同，則來源 DC 和目的地 DC 會知道來源 DC 的相同具現化（相同升級）。如果它們不同，則圖中稍後會建立哪一個。具有先前建立日期的 NTDS 設定物件可能過時，而且應該移除。
依來源DC的完整 CNAME PING。

從目的地DC的控制台，使用來源DC完整 CNAME 記錄的 PING 測試 Active Directory 的名稱解析：

c:\>ping <ObjectGUID> from source DCs NTDS Settings object._msdcs.<DNS name for Active Directory forest root domain>

使用來自網域中 contoso-dc1 DC 輸出的 8a7baee5...contoso.com，PING 語法會是：

c:\>ping 8a7baee5-cd81-4c8c-9c0f-b10030574016. _msdcs.contoso.com

如果 Ping 正常運作，請重試 Active Directory 中的失敗作業。如果 PING 失敗，請繼續進行「解決 8524 DNS 查閱失敗」，但在每次步驟解決之前重試 PING 測試。

解決 8524 DNS 查閱失敗：很長的路要走

如果 8524 錯誤/事件不是由過時的 DC 元數據所造成，且 CNAME PING 測試失敗，請檢查 DNS 健康情況：

來源 DC
目的地 DC
來源和目的地DC所使用的 DNS 伺服器

總而言之，請確認：

來源 DC 已向有效的 DNS 註冊 CNAME 和主機記錄。
目的地 DC 指向有效的 DNS 伺服器。
來源 DC 所註冊的興趣記錄可由目的地 DC 解析。

DS RPC Client 事件 2087 中的錯誤訊息文字記載了解決 8524 錯誤的用戶動作。更詳細的行動計劃如下：

確認來源DC指向有效的 DNS 伺服器

在來源DC上，確認 DNS 用戶端設定以獨佔方式指向主機、轉寄或委派the_msdcs的操作 DNS 伺服器。<樹系根域> 區域（也就是 contoso.com 樹系中的所有 DC 都會在 the_msdcs.contoso.com 區域中註冊 CNAME 記錄）

和

Active Directory 網域的 DNS 區域（也就是 contoso.com 網域中的計算機會在 contoso.com 區域中註冊主機記錄）。

和

如果與 Active Directory 功能變數名稱不同，則電腦的主要 DNS 後綴網域（請參閱 Technet 文章 Disjoint Namespace）。

驗證 DNS 伺服器主機、轉寄或委派的選項（也就是「可以解析」）這類區域包含。
- 啟動 DNS 的 DNS 管理工具，並確認來源 DC 指向的名稱解析所指向的 DNS 伺服器裝載有問題的區域。
- 使用 NSLOOKUP 來確認來源 DC 指向的所有 DNS 伺服器都可以解析有問題的 DNS 區域的查詢。
  
  在來源DC的控制臺上執行IPCONFIG /ALL
```
c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>
```
  執行下列 NSLOOKUP 查詢：
```
c:\>nslookup -type=soa  <Source DC DNS domain name> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <source DCs secondary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs primary DNS Server IP >
c:\>nslookup -type=soa  <_msdcs.<forest root DNS domain> <source DCs secondary DNS Server IP >
```
  例如，如果樹系網域CHILD.CONTOSO.COM中的 contoso.com DC設定為主要和次要 DNS 伺服器 IP “10.45.42.99” 和 “10.45.42.101”，NSLOOKUP 語法會是：
```
c:\>nslookup -type=soa  child.contoso.com 10.45.42.99
c:\>nslookup -type=soa  child.contoso.com 10.45.42.101
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.101
```
注意：
- 如果目標 DNS 具有良好的轉寄站或委派或the_msdcs，_mscs.contoso.com 區域的 SOA 查詢將會正確解析。<樹系根區域>。如果_msdcs，則無法正確解析。<要查詢之 DNS 伺服器上的樹系根區域>是樹系根區域<的非委派子域>，這是 Windows 2000 網域所建立的區域關聯性。
- CNAME 記錄一律會在_msdcs中註冊。<樹系根區域>，即使是非根域中的DC。
- 將 DC 或成員電腦的 DNS 用戶端設定為指向 ISP DNS 伺服器進行名稱解析無效。唯一的例外是 ISP 已合約化（也就是付費），且目前正在裝載、轉送或委派 Active Directory 樹系的 DNS 查詢。
- ISP DNS 伺服器通常不接受動態 DNS 更新，因此 CNAME、主機和 SRV 記錄可能必須手動註冊。
確認來源DC已註冊其 CNAME 記錄

使用「使用 PING 檢查 Active Directory 名稱解析」中的步驟 1 來找出來源 DC 的目前 CNAME。

在來源DC的控制台上執行 ipconfig /all ，以判斷來源DC指向哪個 DNS 伺服器進行名稱解析。
```
c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99                        <primary DNS Server IP
                                           10.45.41.101                      <secondary DNS Server IP
```
使用 NSLOOKUP 查詢來源 DC CNAME 記錄的目前 DNS 伺服器（透過使用 PING 檢查 Active Directory 名稱解析中的程式找到）。
```
c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified cname of source DC> <source DCs secondary DNS Server IP>
```
在此範例中，contoso.com 網域中 contoso-dc2 的 NTDS Settings 物件GUID 為 8a7baee5-cd81-4c8c-9c0f-b10030574016。它指向「10.45.42.99」作為 DNS 名稱解析的主要。 NSLOOKUP 語法會是：
```
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.99
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.101
```
如果來源 DC 尚未在其指向的 DNS 伺服器上註冊其 CNAME 記錄以進行名稱解析，請從來源 DC 執行下列命令。然後重新檢查 CNAME 記錄的註冊：
```
c:\>net stop netlogon & net start netlogon
```
注意：
- CNAME 記錄一律會在_msdcs中註冊。<樹系根區域>，即使是非根域中的DC。
- CNAME 記錄會在 OS 啟動、NETLOGON 服務啟動和稍後的週期性間隔期間由 NETLOGON 服務註冊。
- 每個具有相同名稱的DC升級，都可能會建立具有不同 objectGUID 的新NTDS Settings物件，因此會註冊不同的 CNAME 記錄。如果來源已升級超過 1 倍，請確認 CNAME 記錄註冊來源 DC 與目的地 DC 上 NTDS Settings 物件的 objectGUID。
- OS 啟動期間的計時問題可能會延遲成功的動態 DNS 註冊。
- 如果 DC 的 CNAME 記錄已成功註冊，但稍後會消失，請檢查 KB953317。不同復寫範圍中的重複 DNS 區域，或 DNS 伺服器清除過於積極的 DNS 區域。
- 如果來源 DC 指向名稱解析的 DNS 伺服器上發生 CNAME 記錄註冊失敗，請檢閱 SYSTEM 事件記錄檔中的 NETLOGN 事件，以取得 DNS 註冊失敗。
確認來源DC已註冊其主機記錄

從來源DC的控制台中，執行 ipconfig /all 以判斷來源DC指向哪個 DNS 伺服器進行名稱解析。
```
c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.99 <- Primary DNS Server IP>
                                           10.45.42.101<- Secondary DNS Server IP>
```
使用 NSLOOKUP 查詢主機記錄的目前 DNS 伺服器。
```
c:\>nslookup -type=A+AAAA  <fully qualified hostname of source DC> <source DCs primary DNS Server IP >
c:\>nslookup -type=A+AAAA <fully qualified hostname of source DC> <source DCs secondary DNS Server IP>
```
繼續 contoso.com 網域中 contoso-dc2 主機名的範例是 8a7baee5-cd81-4c8c-9c0f-b10030574016，並指向自我（127.0.0.1）作為 DNS 名稱解析的主要語法，NSLOOKUP 語法會是：
```
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.99
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.101
```
針對來源 DC 次要 DNS 伺服器 IP 位址重複 NSLOOKUP 命令。

若要動態註冊主機「A」記錄，請從電腦的主機輸入下列命令：
```
c:\>ipconfig /registerdns
```
注意：
- Windows 2000 到 Windows Server 2008 R2 計算機全都註冊 IPv4 主機 “A” 記錄。
- Windows Server 2008 和 Windows Server 2008 R2 計算機全都註冊 IPv6 主機 “AAAA” 記錄。
- 主機 “A” 和 “AAAA” 記錄會在電腦的主要 DNS 後綴區域中註冊。
- 停用未連接網路纜線的 NIC。
- 在網路上無法存取 DC 和成員電腦的 NIC 上停用主機記錄註冊。
- 不支援取消核取網路卡屬性中的 [IPv6] 複選框來停用IPv6 通訊協定。
確認目的地DC指向有效的 DNS 伺服器

在目的地DC上，確認 DNS 用戶端設定以獨佔方式指向目前在線 DNS Severs，該伺服器會轉寄和委派_msdcs。<樹系根域> 區域（也就是 contoso.com 樹系中的所有DC都會在 the_msdcs.contoso.com區域中註冊 CNAME 記錄）。

和

Active Directory 網域的 DNS 區域（也就是 contoso.com 網域中的計算機會在 contoso.com 區域中註冊主機記錄）。

和

如果與 Active Directory 功能變數名稱不同，則電腦的主要 DNS 後綴網域（請參閱 Technet 文章 Disjoint Namespace）。

驗證 DNS 伺服器主機、轉寄或委派（也就是「可以解析」）這類區域的選項包括：
- 啟動 DNS 的 DNS 管理工具，並確認來源 DC 指向的名稱解析所指向的 DNS 伺服器裝載有問題的區域。
  
  或
- 使用 NSLOOKUP 來確認來源 DC 指向的所有 DNS 伺服器都可以解析有問題的 DNS 區域的查詢。
  
  在目的地 DC 的控制台上執行 IPCONFIG /ALL：
```
c:\>ipconfig /all
…
DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                                      10.45.42.103<- Secondary DNS Server IP>
```
  從目的地DC的主控台執行下列 NSLOOKUP 查詢：
```
c:\>nslookup -type=soa  <Source DC DNS domain name> <destinatin DCs primary DNS Server IP >
c:\>nslookup -type=soa  < Source DC DNS domain name > <destination DCs secondary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS domain> <destination DCs primary DNS Server IP >
c:\>nslookup -type=soa  _msdcs.<forest root DNS name> <destination DCs secondary DNS Server IP>
```
例如，如果 contoso.com 樹系 CHILD.CONTOSO.COM 網域中的DC已設定為主要和次要 DNS 伺服器 IP “10.45.42.102” 和 “10.45.42.103”，則 NSLOOKUP 語法會是
```
c:\>nslookup -type=soa  child.contoso.com 10.45.42.102
c:\>nslookup -type=soa  child.contoso.com 10.45.42.103
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=soa  _msdcs.contoso.com 10.45.42.103
```
注意：
- 如果目標 DNS 具有良好的轉寄站或委派或the_msdcs，_mscs.contoso.com 區域的 SOA 查詢將會正確解析。<樹系根區域>。如果the_msdcs，則無法正確解析。<要查詢之 DNS 伺服器上的樹系根區域>是樹系根區域<的非委派子域>，這是 Windows 2000 網域所建立的區域關聯性。
- CNAME 記錄一律會在_msdcs中註冊。<樹系根區域>，即使是非根域中的DC。
- 將 DC 或成員電腦的 DNS 用戶端設定為指向 ISP DNS 伺服器進行名稱解析無效。唯一的例外是 ISP 已合約化（也就是付費），且目前正在裝載、轉送或委派 Active Directory 樹系的 DNS 查詢。
- ISP DNS 伺服器通常不接受動態 DNS 更新，因此 CNAME、主機和 SRV 記錄可能必須手動註冊。
- Windows 電腦上的 DNS 解析程式是依設計「黏性」。不論這類 DNS 伺服器主機、轉寄或委派所需的區域，都會使用回應查詢的 DNS 伺服器。重新設定時，只要使用中的 DNS 回應回應，DNS 解析程式就不會故障轉移並查詢另一部 DNS 伺服器，即使來自 DNS 伺服器的回應是「我不是裝載您要尋找的記錄，甚至裝載該記錄的區域複本」也一樣。

確認目的地DC所使用的 DNS 伺服器可以解析來源 DC CNAME 和 HOST 記錄

從目的地DC的控制台中，執行 ipconfig /all 以判斷目的地DC指向名稱解析的 DNS 伺服器：

DNS Servers that destination DC points to for name resolution:

c:\>ipconfig /all
…
  DNS Servers . . . . . . . . . . . : 10.45.42.102 <- Primary DNS Server IP>
                                             10.45.42.103<- Secondary DNS Server IP>

從目的地DC的控制台中，使用 NSLOOKUP 查詢目的地DC上針對來源DC CNAME和主機記錄所設定的 DNS 伺服器：

c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=cname <fully qualified CNAME of source DC> <destination DCs secondary DNS Server IP>
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs primary DNS Server IP >
c:\>nslookup -type=host <fully qualified hostname of source DC> <destination DCs secondary DNS Server IP>

在此範例中，contoso.com 網域中的 contoso-dc2，GUID 8a7baee5-cd81-4c8c-9c0f-b10030574016 Contoso.com 指向 DNS 伺服器 “10.45.42.102” 和 “10.45.42.103”。 NSLOOKUP 語法會是：

c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.102
c:\>nslookup -type=cname 8a7baee5-cd81-4c8c-9c0f-b10030574016._msdcs.contoso.com 10.45.42.103
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102
c:\>nslookup -type=A+AAAA contoso-dc1.contoso.com 10.45.42.102

檢閱來源和目的地DC所使用的 DNS 伺服器之間的關聯性

如果來源和目的地主機 AD 整合式複本所使用的 DNS 伺服器_msdcs。<樹系根> 和 <主要 DNS 後綴> 區域，請檢查：
- 記錄已註冊的 DNS 與正在查詢記錄的 DNS 之間的復寫延遲。
- 註冊記錄的 DNS 與要查詢的 DNS 之間的復寫失敗。
- 裝載感興趣記錄的 DNS 區域會保留在不同的復寫範圍中，因此會有不同的內容，或是在一或多個 DC 上進行 CNF / 衝突管理。
如果來源和目的地 DC 所使用的 DNS 區域儲存在 DNS 區域的主要和次要復本中，請檢查：
- 載入區域主要複本的 DNS 上未啟用 [允許區域傳輸] 複選框。
- [僅啟用下列伺服器] 複選框，但次要 DNS 的IP 位址尚未新增至主要 DNS 上的允許清單。
- Windows Server 2008 DNS 上裝載區域次要復本的 DNS 區域是空的，因為 KB953317。
如果來源和目的地DC所使用的 DNS 伺服器具有父/子關聯性，請檢查：
- DNS 上擁有委派給次級區域的父區域無效委派。
- 嘗試解析上級 DNS 區域的 DNS 伺服器上的轉寄站 IP 位址無效（例如：child.contoso.com 中的 DC 嘗試解析位於根網域中的 DNS 伺服器 conto.com 區域中的主機記錄）。

資料收集

如果您需要Microsoft支援方面的協助，建議您遵循使用 TSS 收集 Active Directory 複寫問題的資訊中所述的步驟來收集資訊。

共用方式為