Risoluzione dei problemi di replica Active Directory e DNS

Riepilogo dell'articolo: Questo articolo fornisce informazioni sulla risoluzione dei problemi relativi ad Active Directory e alla replica DNS.

Sommario:

1. Trova i titolari del ruolo Flexible Single Master Operations (FSMO)
2. Restringere il campo del problema
3. Ispezione visiva del DNS
4. Introduzione Ispezione visiva di siti e servizi
5. Utilizzo degli ID evento per limitare la risoluzione dei problemi
6. Altri strumenti disponibili

Problema 1. Trova i titolari del ruolo Flexible Single Master Operations (FSMO)

Iniziare individuando i controller di dominio (DC) nell'organizzazione. Concentratevi sulla salute della vostra radice forestale e lavorate per uscirne.

Trovare i titolari dei ruoli FSMO aprendo un prompt dei comandi con privilegi elevati e digitando:

 fsmo query netdom

Viene restituito un elenco dei controller di dominio che ricoprono ciascun ruolo:

Problema 2. Restringere il campo del problema

Per restringere il problema, è importante essere sistematici. Utilizzare gli strumenti seguenti per testare vari controller di dominio, la loro connessione al dominio root o al titolare del ruolo, la loro capacità di risolvere i nomi in indirizzi IP, le porte aperte e i risultati della replica.

Provare a individuare un server specifico che non comunica e determinare se la causa è il server di origine o di destinazione. I registri eventi e i risultati della replica sono modi per ottenere informazioni aggiuntive.

• dcdiag /v /c /d /e /s: > c:\dcdiag.txt
• ipconfig /all (da tutti i controller di dominio e i server DNS)
• repadmin /showrepl (da ogni DC)
• repadmin /replsum
• dcdiag /test:dns /s: /dnsbasic
• repadmin /syncall /aped
• Eseguire il ping di ogni DC in base al nome e verificare che il nome venga risolto nell'indirizzo IP corretto.
• Usare nslookup per testare DNS su DC diversi.
• Utilizzare tracert per testare le route tra i server.
• repadmin /bind servername - I controller di dominio possono essere associati l'uno all'altro?

Problema 3. Ispezione visiva del DNS

Aprire la console DNS selezionando Start -> Administrative Tools -> DNS. Cliccare sul server DNS nel riquadro a sinistra.

Esaminare le zone di ricerca diretta e tutte le altre zone correlate alla foresta e alle partizioni di dominio.

Indicazioni sono disponibili su Microsoft TechNet utilizzando questo link: Risoluzione dei problemi DNS

Ecco alcuni elementi da cercare nella console DNS:

• Inizio dell'autorità (proprietà): più nomi per server che non esistono.
• Record con indirizzi IP non corretti.
• Record obsoleti che non sono stati eliminati.
• Record host "(Come la cartella principale)" che non fanno riferimento a controller di dominio.
• Individuare l'inizio dei record di autorità (SOA) e server dei nomi (NS) nella zona di ricerca diretta del dominio (vedere l'immagine seguente).
  • Cliccare con il pulsante destro del mouse su ciascuno di essi e selezionare Properties.
  • Verificare che i server dei nomi e altre informazioni siano corretti.
• Cercare nella cartella _msdcs.
• Ci sono voci mancanti?

Per ulteriori informazioni sull'infrastruttura DNS, consultare la pagina Microsoft TechNet DNS Server.

Problema 4. Ispezione visiva di siti e servizi

La console Siti e servizi di Active Directory contiene diversi elementi che possono aiutare a risolvere gli errori di replica. Ispeziona e apri ogni cartella e cerca quanto segue:

• Verificare che le subnet siano state create e assegnate ai siti corretti.
• Assicurarsi che ogni oggetto sito contenga i server corretti.
• Esaminare le impostazioni NTDS per verificare le connessioni di replica.
• Verificare che i nomi dei server esistano.

Problema 5. Utilizzare gli ID evento per limitare la risoluzione dei problemi

 
Gli errori relativi ad AD sono disponibili nella console del Visualizzatore eventi. 
Il modo più veloce per arrivarci è andare su Start -> Run e digitare eventvwr.msc.
I registri eventi rilevanti includono il registro sistema, DNS, servizio directory e servizio di replica file.

Usare gli articoli seguenti per determinare i passaggi successivi, in base agli errori rilevati nei registri:

• Risoluzione dei problemi di replica
• Funzionamento della topologia di replica di Active Directory
• Strumento di stato della replica di Active Directory
• Risoluzione dei problemi di replica di Active Directory
• Diagramma della topologia di Microsoft Active Directory

Numero 6. Altri strumenti disponibili

Nltest è un utile strumento da riga di comando in grado di restituire molti tipi di informazioni su un dominio AD. 
Il processo di pulizia dei metadati viene utilizzato per rimuovere i riferimenti AD ai controller di dominio che sono stati portati offline senza essere stati abbassati di livello correttamente.
Gli oggetti persistenti sono oggetti AD che sono stati eliminati da un DC ma rimangono su un altro a causa di un errore di replica.
La rimozione di questi oggetti è un passaggio necessario per ripristinare una replica corretta.

• How to remove data in Active Directory after an unsuccessful domain controller demotion
• Pulizia dei metadati del server
• Nltest
• Eliminare la foresta di Active Directory dagli oggetti persistenti