DC目录服务2087错误。域控制器每次重启会报2087错误，不知何原因。 错误日志：来源：NTDS Replication 类别：DS RPC客户端 类型：错误 事件ID：2087 用户 NT authority\Anonymous Logon 描述：Active Directory无法将下列源域控制器的DNS主机名解析为IP地址。这个错误阻止在林中的一个或多个域控制器之间复制Active Directory 中添加、删除和更改。除非纠正这个错误，域控制器之间的安全级、组策略、用户和计算机及其密码将不一致，这可能影响登录身份验证和访问网络资源。

回答：根据您的描述，我对您提出的问题的理解是：您的DC每次重启都会记录2087错误日志。根据我的研究，出现这个错误日志可能是由于DNS查找问题引起：
状况1：域控制器尝试复制另一个处于脱机状态的域控制器，而该脱机域控制器的Active Directory和DNS数据尚未更新或删除以指示该域控制器无法访问。
状况2：域控制器尝试复制另一个处于联机状态的域控制器，但由于DNS或网络问题，两个域控制器无法相互定位。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

所有域控制器都在DNS中注册SRV、A和CNAME记录。CNAME记录的形式为Dsa_Guid._msdcs.Dns_Domain_Name。Dsa_Guid是域控制器目录系统代理(DSA)对象的 GUID。Dns_Domain_Name是域控制器所在的林的名称。域控制器需要CNAME记录才能定位和识别其复制伙伴。

域控制器上的网络登录服务注册所有SRV记录。域控制器上的DNS客户端服务注册DNS主机(A)记录和GUID CNAME记录。

域控制器使用下列步骤定位其复制伙伴：
1. 域控制器使用DNS查找其复制伙伴的CNAME记录。
2. 如果查找失败，则域控制器将查找其复制伙伴的DNS A记录。例如，域控制器查找dc-03.corp.contoso.com。
3. 如果DNS A记录查找失败，则域控制器将使用其复制伙伴的主机名称执行NetBIOS广播。例如，域控制器使用dc-03。

针对状况1，如果需要删除域控制器留下的不再使用的Active Directory和DNS数据，请参考文档：
216498：域控制器降级失败后如何删除Active Directory中的数据
http://support.microsoft.com/kb/216498/

针对状况2，我们需要逐步诊断DNS或网络问题来确定原因。要诊断并修复Active Directory复制的DNS支持，请按照下列步骤操作：您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

步骤1.收集信息
============
您必须获取下列信息才能诊断并修复 Active Directory 复制的 DNS 支持以及依赖于 DNS 的其他操作：
? 源域控制器的完全限定域名 (FQDN) 和 IP 地址。
? 承载 Active Directory 域名 DNS 区域的 DNS 服务器的 FQDN 和 IP 地址。

步骤2. 验证网络连接设置
============
a. 在报告错误的域控制器上，单击“控制面板”中的“网络连接”。
b. 右键单击要配置的网络连接，然后单击“属性”。
c. 在“常规”选项卡上（对于本地连接），或在“网络”选项卡上（对于所有其他连接），单击“Internet 协议 (TCP/IP)”，然后单击“属性”。
d. 在“使用下面的 DNS 服务器地址”中，验证首选 DNS 服务器或备用 DNS 服务器是否具有正确的 IP 地址，该地址是承载 Active Directory 域名 DNS 区域的 DNS 服务器的地址。

注意：我们建议将域控制器的首选DNS服务器置于本地或有效连接的集线器网站中。如果使用此类集线器网站，可以减少复制延迟。 您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
e. 如果IP地址正确，请转到步骤3。如果IP地址不正确，请输入正确的地址，然后转到步骤7。

步骤3. 验证连接性
============
要验证连接性，请在目标域控制器上使用“ping”命令查找源域控制器和DNS服务器的IP地址。在目标域控制器上的命令提示符处，键入以下命令，并在键入每个命令后按 Enter：
ping IP_Address_of_source_domain_controller
ping IP_Address_DNS_server
如果两个命令中的任何一个不成功，则表明可能存在网络连接错误。请与网络管理员联系，以诊断和修复此错误。如果两个命令都成功，则表明错误存在于DNS中。

步骤4. 验证DNS服务器服务是否正在运行
============
如果将目标域控制器配置为使用本地DNS服务器，则应验证DNS服务器服务是否正在运行。为此，请在命令提示符处键入net start “DNS Server”，然后按Enter。
如果DNS服务器服务正在运行，则会显示一条消息，指示该服务正在运行。如果已安装DNS服务器服务但该服务尚未运行，则该命令将启动DNS服务器服务。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
如果未安装DNS服务器服务，则会显示一条消息，指示服务器名称无效。如果将目标域控制器配置为使用远程DNS服务器，则应使用DNS控制台启动DNS服务器服务。请按照下列步骤操作：
a. 打开 DNS 控制台。
b. 在“操作”菜单上，单击“连接到 DNS 服务器”。
c. 在“连接到 DNS 服务器”中，单击“下列计算机”。
d. 要连接到远程服务器，请指定远程服务器的 DNS 计算机名或其 IP 地址。
e. 单击以选中“立即连接到指定计算机”复选框，然后单击“确定”。
f. 在“操作”菜单上，指向“所有任务”，然后单击“启动”。

步骤5. 验证是否已注册资源记录
============
目标域控制器使用 DNS CNAME 资源记录 Dsa_Guid._msdcs.Dns_Domain_Name 定位其源域控制器复制伙伴。要验证此资源记录是否在 Active Directory 域名的 DNS 区域中，请按照下列步骤操作：
a. 在控制台树中打开 DNS 控制台。定位任何正在运行 DNS 服务器服务的域控制器，其中该服务承载与 Active Directory 域名同名的 DNS 区域。
b. 在控制台树中，单击名为 _msdcs.Dns_Domain_Name 的区域。

在 Windows 2000 Server DNS 中，_msdcs.Dns_Domain_Name 是Active Directory域名的DNS区域的子域。在 Windows Server 2003 中，_msdcs.Dns_Domain_Name 是一个单独的区域。 
名为 _msdcs.Dns_Domain_Name 的区域必须包含以下内容：
? 名为 Dsa_Guid._msdcs.Dns_Domain_Name 的CNAME资源记录。
? 与 CNAME 记录中标识为目标主机的 DNS 服务器的名称相对应的 A 资源记录。 您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

如果资源记录不存在，请转到步骤 6，诊断网络登录服务未自动注册资源记录的原因。

步骤6. 验证承载Active Directory域名的区域的DNS服务器服务是否配置为接受动态更新
============
a. 在 DNS 控制台中，右键单击适当的区域，然后单击“属性”。
b. 在“常规”选项卡上，确认区域类型是否为“Active Directory 集成的区域”。
c. 在“动态更新”中，单击“仅安全”（在 Windows 2000 Server 中，安全动态更新选项名为“仅安全更新”）。

步骤7. 注册DNS中的DNS资源记录
============
域控制器上的网络登录服务注册在网络中定位域控制器所需的 DNS 资源记录。要在源域控制器上手动启动此注册，请在命令提示符处键入以下命令，并在键入每个命令后按 Enter：
net stop "net logon"
net start "net logon"

DNS 客户端服务注册 CNAME 记录指向的主机 (A) 资源记录。要在源域控制器上启动此注册，请在命令提示符处键入 ipconfig /registerdns，然后按 Enter。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

步骤8. 验证资源记录注册
============
参考步骤5。

步骤9. 在源和目标域控制器上强制复制
============
a. 在目标域控制器上，打开“Active Directory 站点和服务”。
b. 在控制台树中，单击要在其上进行强制复制的域控制器的“NTDS 设置”。
c. 在细节窗格中，右键单击要用于复制目录信息的连接，然后单击“立即复制”。 
也可以使用“repadmin”和“replmon”命令行工具。这些工具可在 Windows Server 2003 安装 CD 上获得（“repadmin”命令是 repadmin /syncall /d /e /P source_domain_controller）。

更多详细信息，请参考下面微软文档：
824449：解决因 DNS 查找失败、事件 ID 2087 或事件 ID 2088 而导致的 Active Directory 复制失败问题您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
http://support.microsoft.com/kb/824449/zh-cn

Event ID 2087: DNS lookup failure caused replication to fail
http://technet2.microsoft.com/WindowsServer/en/library/f4c20360-d997-4278-a9bc-32b845d561221033.mspx?mfr=true

赵莹(Ken Zhao) MCSE 2000 微软全球技术支持中心

active directory dns活动目录域dns的更多文章请参考 域DNSAD活动目录DNS专题
active directory ntds replication活动目录域复制的错误故障排查请参考 活动目录复制|windowsAD域同步排错专题
－－－gnaw0725