与DNS配置相关的故障

DNS在活动目录中，除了提供域名解析功能外，还可以记录域控和全局编录服务器相关的信息，并将其提交给客户端使用。域控会在DNS服务器上注册记录信息，包括主机记录信息、各种服务记录信息等。客户端需要查询这些记录信息，才可以找到域控，之后才可以执行登录到域环境、查询Active Directory信息等操作。

Active Directory要想正常运作，必须建立在DNS正确配置和正常工作基础之上。使用广播或者WINS等方法，虽然也可以让客户端找到域控，不过因为划分VLAN和缺乏配置等原因，这些方法已经很少使用了。

因此，针对AD的排错，首先要确认DNS工作正常。在DNS中和活动目录相关的记录里面，“msdec”区域是比较重要的，该区域中包含了所有域控的服务记录，AD中的林根域中的“msdcs”区域中额外包含了林中所有全局编录服务器的记录信息，该区域的主要作用是对域控和全局编录服务器进行定位，在林中每个域都存在域控，但是在默认情况下，全局编录服务器只能是根域的第一台域控。如果该区域中的记录缺失或者配置不正确，AD自然会出现故障。如果在网络中存在多个域，那么只有根域的DNS服务器上才可以看到该区域的信息。

对于与DNS相关的故障来说，可以使用NSLOOKUP命令，来验证DNS记录是否完整。如果DNS记录确实，可以通过重启NetLogon服务加以修复，也可以执行“nltest.exe /dsregdns”命令进行修复。

图1 对DNS服务进行测试

对DNS本身也应该进行一定的配置，包括允许动态更新、区域名称和AD域名一致、DNS服务器本身需要配置DNS余名后缀等。

如果DNS记录没有正确注册，原因在于没有对DNS进行合理的配置，例如在域控上的TCP/IP属性设定中，没有正确地设置DNS服务器地址。在DNS服务器上配置存在异常，误删了一些不许存在的区域等。

在域控上执行“nslookup”命令，在“Defauit Server”栏中显示的不是默认的活动目录DNS服务器，则一定存在问题。找不到正确的DNS服务器，就会造成某些延迟。

例如，当客户机加入域时特别慢，系统一直提示正在准备网络连接的话，几乎都是DNS设定出了问题。在NSLOOKUP命令行中继续输 入“_ldap.tcp._msdcs.xxx.com”命令，其中的“xxx.com”表示具体的域名，来查找LDAP服务器（即域控），如果提示该服务器没有找到的话，那么客户端自然无法定位域控。

在Nslookup命令行下执行“ls xxx.com”命令，可以查看域中所有的记录信息。执行“ls-tsrv”命令，可以查看所有的SRV记录。如果这些记录异常的话，就说明DNS配置存在问题。

此外，可以在DNS控制左侧选择主机名，在其属性窗口中的“监视”面板（如图1）中选择“对此DNS服务器的简单查询”和“对此服务器的递归查询”项，点击“立即测试”按钮，对DNS服务进行快速测试。执行“net stop netlogon” 和“netlogonstart netlogon”命令，来重启NetLogon服务，会执行DNS配置的修复操作。

如果网络比较繁忙的话，又不存在多台域控的情况下，不建议使用上述命令。执行“nltest.exe /dsregdns”命令，会提示命令执行成功，也可以修复DNS配置。打开DNS控制台，执行刷新操作，可以看到DNS配置已经恢复如初了。

如果该方法无效的话，说明相关DNS区域也许并不存在。为此需要在DNS控制台左侧选择“正向查找区域”项，在其右键菜单上点击“新建区域”项，在向导界面（如图2）中选择“主要区域”项，选择“在Active Directory中存储区域”项。点击“下一步”按钮，选择“在此域中的所有域控制器上运行的所有DNS服务器”项，之后输入区域名称，必须和域名一致。

点击“下一步”，选择“至允许安全的动态更新”项，点击完成按钮，创建该DNS区域。因为“msdcs”应该作为独立的区域存在，尤其对于林中存在多域的情况而言尤为重要。所以可以选择“正常查找区域→xxx.com→_msdcs”项，将其删除。

图2 创建所需的DNS区域

如果操作失败，说明多台域控之前的同步尚未完成。之后选择“正向查找区域”项，在其右键菜单上点击“新建区域”项，点击“下一步”，在Active Directory区 域复制作用域窗口中选择“至Active Directory林xxx.com中的所有DNS服务器”项，在之后的“区域名称”栏中输入“_msdcs.xxx.com”项，其余设置与上述相同，点击“完成”，创建该独立的区域。如果不将该区域独立出来，会出现可以找到本域的域控，但是无法找到林中的全局编录服务器。

选择“正向查找区域→xxx.com”项，在右键菜单上点击“新建委派”项，在向导界面中的“委派的域”栏中输入“_msdcs”，让其他的查询者知道该区域由谁负责。

在下一步窗口中点击“添加”按钮，在“服务器完全合格的域名”栏中输入“gc=dc1.xxx.com”，在“IP地址”loan中输入本地IP，点击“添加”按钮将其添加进来。这样就可以让其指向自身，“dc1.xxx.com”表示本机名称。点击“完成”按钮，将DNS配置恢复到初始状态。

如果存在多台DNS服务器的话，就会涉及到如何在彼此之间进行复制的问题。比较好的解决方法是，在每台域控上安装DNS服务，将相关的DNS区域设置为活动目录集成区域，从整体上进行DNS的复制和活动目录的复制，这样可以有效提高安全性。

使 用“dnscmd”命 令，可以对DNS配置进行快速调整，例如执行“dnscmd /clearcache”命令，可以清除DNS缓存。执行“dnscmd/zoneinfo”命令，可以查看区域信息。执行“dnscmd xxx.com /zoneexport yyy.com c:”命 令，将“xxx.com”域中的“yyy.com”域名导出到指定的目录中。

为了避免因为DNS注册问题，导致客户端无法登录的情况，可以先在客户端检测DNS设置是否正常，是否指向正确的地址。之后在服务器端检测DNS服务是否可用，并验证DNS区域是否已经配置为自动更新状态。

如果存在多台DNS服务器，必须保证其彼此之间可以复制数据库。在DNS控制台左侧选择域名，在其属性窗口中的“区域传送”面板中选择“允许区域传送”项，来执行同步操作。点击“通知”按钮，可以指定辅助DNS服务器接收区域更新通知。执行“dcdiag /test:dns”命令，来验证域控是否可以在DNS服务器上注册其A记录。如果因为身份验证错误，导致用户无法登录的情况，可以使用Netdiag命令加以判断，来验证客户端是否可以联系到域控。