问题现象:
AD域控制器操作系统为Win2008R2,在“DNS管理器”中手工增加DNS主机(A)或者别名(CNAME)记录时,出现被拒绝的错误。但是将客户端加入域后,在“DNS管理器”中能看到对应的客户端的DNS主机(A)记录。
在系统日志中,能查看到ID为4015的错误日志:
事件类型: 错误
事件来源: DNS
事件种类: 无
事件 ID: 4015
日期: 2016/4/1
事件: 1:06:53
用户: N/A
计算机: HIS_SERVER.biph.ac.cn
描述:
DNS 服务器遇到了来自 Active Directory 的严重错误。请检查 Active Directory是否正常工作。扩展的错误调试信息(可能为空)是“0000051B: AtrErr: DSID-030F1F8D, #1: 0: 0000051B: DSID-030F1F8D, problem 1005 (CONSTRAINT_ATT_TYPE),data 0, Att 20119 (nTSecurityDescriptor)”。事件数据包含此错误。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 1300 00 00
解决方法:
网上资料对此问题的分析较少,尤其是中文资料。大部分英文资料对这个问题提出的解决对策如下:
1.Open GPMC,Select "Default Domain Controller Policy" and choose edit.
2.Under Computerconfiguration, expand Windows Settings\Security Settings\Local Policies\User RightsAssignment
3.Locate"Manage auditing and security log" and add Administrators
4.Restart the DNSServer Service
5.Then eitherwait at least 5 minutes, or Open a CMD prompt, run gpupdate /force, or justrestart the server
6.Try to createthe record again
但经测试,上述办法无效。
经咨询韩立刚老师,使用如下方法成功解决这个问题:
打开“DNS管理器”,连接到AD域控服务器上,在域名上点邮件,选择“属性”。打开 “常规”选项卡,可以看到当前DNS的类型为“Active Directory集成区域”。点击后面的“更改”按钮,在如下对话框中将“在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)”前面的勾选取消,两次点击“确定”按钮返回“DNS管理器”。
此时,在“DNS管理器”中手工增加DNS主机(A)或者别名(CNAME)记录时,就会发现操作可以成功。
之后,再将上面对话框中的“在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)”勾选选中确定,即可。