none
請教關於Win2003R2 Domain內兩台DC的問題?? RRS feed

  • 問題

  • 請教各位

    我的環境是單一個Domain,有三台Win2003R2主機分別是:
    DC=>作為DC(FSMO五個角色),GC,DNS(AD整合zone)
    IP:10.101.0.100
    subnet:255.255.255.128
    gw:10.101.0.126
    dns:10.101.0.100

    FS1=>第二台DC,DNS(AD整合zone),及FileServer(裝有DFS,FRS)
    IP:10.101.0.101
    subnet:255.255.255.128
    gw:10.101.0.126
    dns:10.101.0.100
    ps.升級這台dc時是先做dcpromo完後,再裝DNS,由DC作複寫

    FS2=>FileServer(裝有DFS,FRS)
    IP:10.101.0.102
    subnet:255.255.255.128
    gw:10.101.0.126
    dns:10.101.0.100、10.101.0.101

    DC及FS1的EVENTLOG內總會有以下几個錯誤:
    1.
    事件類型: 警告
    事件來源: NTDS Replication
    事件類別目錄: DS RPC 用戶端
    事件識別碼: 2088
    日期: 2006/12/2
    時間: 下午 04:52:34
    使用者: NT AUTHORITY\ANONYMOUS LOGON
    電腦: DC
    描述:
    Active Directory 無法使用 DNS 來解析下列來源網域控制站的 IP 位址。 為了保持安全性群組、群組原則、使用者和電腦以及其密碼的一致性, Active Directory 已成功使用 NetBIOS 或來源網域控制站的完整電腦名稱 複寫。

    不正確的 DNS 設定可能影響這個 Active Directory 樹系中成員電腦、 網域控制站或應用程式伺服器上,包括登入驗證或存取網路資源的其他基本 操作。

    您應該立即解決這個 DNS 設定錯誤以便這個網域控制站可以使用 DNS 解析來源網域控制站的 IP 位址。

    其他伺服器名稱:
    FS1
    失敗的 DNS 主機名稱:
    5ab26820-15a6-4c01-8b30-ee8211f9c1c4._msdcs.singforlife.com.tw

    注意: 依預設,在任何 12 小時期間內最多只顯示 10 個 DNS 失敗, 即使超過 10 個失敗發生。若要記錄所有個別的失敗事件,請設定下列 登錄數值為 1:

    登錄路徑:
    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

    2.
    事件類型: 警告
    事件來源: LSASRV
    事件類別目錄: SPNEGO (Negotiator)
    事件識別碼: 40960
    日期: 2006/12/2
    時間: 下午 04:51:42
    使用者: N/A
    電腦: DC
    描述:
    安全性系統偵測出伺服器 ldap/DC.singforlife.com.tw 的驗證錯誤。 來自驗證通訊協定 Kerberos 的失敗碼為 "目前無可用的登入伺服器,無法對登入請求進行服務。

    3.
    事件類型: 警告
    事件來源: MSDTC
    事件類別目錄: SVC
    事件識別碼: 53258
    日期: 2006/12/2
    時間: 下午 04:51:29
    使用者: N/A
    電腦: DC
    描述:
    MS DTC 無法正確的處理 DC 升級/降級事件。MS DTC 將繼續運作且會使用現存的安全性設定值。 


    我有檢查過DNS的SRV等記錄看起也好像沒什麼問題,DC間的物件複寫也都有一致,且當我用dcdiag /e測試其它的項目都pass,但Systemlog這項會fail,且DC,FS1這兩台主機 fail的項目都有這一項:
    Starting test: systemlog
    An Error Event occured. EventID: 0xC25A001D
    Time Generated: 12/03/2006 10:59:29
    (Event String could not be retrieved)
    ......................... DC failed test systemlog

    真不知是那有問題,還煩請幫忙,主管還在等我的答案~~~

    2006年12月3日 上午 03:49

所有回覆

  • 謝謝Jammy

    Event 40960,53258問題已解決了!!

    但Event 2088的部份我巳照KB824449逐項檢查(之前也曾照此檢查過),似乎也没什麼問題,只有在用dcdiag  /test:dns有以下訊息:

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
      
       Testing server: Default-First-Site-Name\DC
          Starting test: Connectivity
             ......................... DC passed test Connectivity

    Doing primary tests
      
       Testing server: Default-First-Site-Name\DC

    DNS Tests are running and not hung. Please wait a few minutes...
      
       Running partition tests on : ForestDnsZones
      
       Running partition tests on : DomainDnsZones
      
       Running partition tests on : Schema
      
       Running partition tests on : Configuration
      
       Running partition tests on : singforlife
      
       Running enterprise tests on : singforlife.com.tw
          Starting test: DNS
             Test results for domain controllers:
               
                DC: DC.singforlife.com.tw
                Domain: singforlife.com.tw

                     
                   TEST: Forwarders/Root hints (Forw)
                      Error: Root hints list has invalid root hint server: a.root-servers.net. (198.41.0.4)
                      Error: Root hints list has invalid root hint server: c.root-servers.net. (192.33.4.12)
                      Error: Root hints list has invalid root hint server: d.root-servers.net. (128.8.10.90)
                      Error: Root hints list has invalid root hint server: e.root-servers.net. (192.203.230.10)
                      Error: Root hints list has invalid root hint server: f.root-servers.net. (192.5.5.241)
                      Error: Root hints list has invalid root hint server: h.root-servers.net. (128.63.2.53)
                      Error: Root hints list has invalid root hint server: i.root-servers.net. (192.36.148.17)
                      Error: Root hints list has invalid root hint server: j.root-servers.net. (192.58.128.30)
                      Error: Root hints list has invalid root hint server: k.root-servers.net. (193.0.14.129)
                      Error: Root hints list has invalid root hint server: l.root-servers.net. (198.32.64.12)
                      Error: Root hints list has invalid root hint server: m.root-servers.net. (202.12.27.33)
            
             Summary of test results for DNS servers used by the above domain controllers:

                DNS server: 128.63.2.53 (h.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 128.63.2.53
                  
                DNS server: 128.8.10.90 (d.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 128.8.10.90
                  
                DNS server: 192.203.230.10 (e.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.203.230.10
                  
                DNS server: 192.33.4.12 (c.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.33.4.12
                  
                DNS server: 192.36.148.17 (i.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.36.148.17
                  
                DNS server: 192.5.5.241 (f.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.5.5.241
                  
                DNS server: 192.58.128.30 (j.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 192.58.128.30
                  
                DNS server: 193.0.14.129 (k.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 193.0.14.129
                  
                DNS server: 198.32.64.12 (l.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 198.32.64.12
                  
                DNS server: 198.41.0.4 (a.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 198.41.0.4
                  
                DNS server: 202.12.27.33 (m.root-servers.net.)
                   1 test failure on this DNS server
                   This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 202.12.27.33
                  
             ......................... singforlife.com.tw passed test DNS
    這樣是正常的嗎?!因為我也有照

    http://technet2.microsoft.com/windowsserver/en/library/7b69b6f9-f25e-4594-a04b-f08f3effa2031033.mspx (http://technet2.microsoft.com/windowsserver/en/library/7b69b6f9-f25e-4594-a04b-f08f3effa2031033.mspx)
    將root hints 重copy一次,仍一樣?????
     
    2006年12月4日 上午 03:29
  • 通常我在遇到有關AD DNS Server的難解問題的時候我的處理步驟如下:

    1. 打開DNS MMC Tools找到AD Domain ZONE右鍵將Type改為主要區域
    2. 到控制台新增移除將DNS Server元件移除(DC1 and DC2)
    3. 到Windows\system32\將dns目錄整個刪除(DC1 and DC2)
    4. 確認你的DC DNS IP已指向自己且有勾選DNS尾碼註冊
    5. 打開DNS MMC Tool正向區域新增AD 整合ZONE(DC 1 only)
    6. 停用網卡,再啟用網卡
    7. 到Command mode底下輸入:ipconfig /flushdns ipconfig /registerdns
    8. 到Command mode底下輸入:net stop netlogon & net start netlogon
    9. 重新啟用DNS Service:net stop dns & net start dns
    10. 打開DNS MMC查看你的4筆SRV Record 目錄是否已經都長出來了
    11. 重新開機,看DC1的DNS 是否OK了
    12. OK之後再將DC2的DNS Server重新安裝回來
    2006年12月4日 上午 08:42
  •  

    請問錯誤訊息 40960 如果是每次重開機才出現 可以忽略嗎?

    另外 錯誤訊息 2088 依上述做法 還是存在 有其他的方法可解決嗎?

    2007年8月28日 上午 09:58
  •  

    請問錯誤訊息 40960 如果是每次重開機才出現 可以忽略嗎?

    另外 錯誤訊息 2088 依上述做法 還是存在 有其他的方法可解決嗎?

    2007年9月7日 上午 08:11
  • 您使用的環境有連上 Internet 嗎?

    個人推測您的環境並沒有接上 Internet , 所以 DNS 要向 root-servers 查詢時無法查到, 留下這些記錄.
    2007年9月10日 上午 02:05