RogerG781 22 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Hallo Leute, ich hatte vor einen weiteren Domänencontroller für meine Domäne einzurichten. Der vorgesehene Server befindet sich bereits in einer Aussenstelle, die ich nur über eine VPN- Verbindung erreichen kann. Die VPN- Verbindung wird über Routing- und RAS realisiert. Nachdem ich VPN- Verbindung aufgebaut hatte, schaute ich erstmal nach, dass der Domänenname und der Domänencontroller vom zukünftigen Domänencontroller über die VPN- Verbindung aufzulösen sind. Zur Vorbereitung installierte ich noch den DNS- Dienst und startete, nach einem Neustart, dcpromo. Dcpromo stufte den Server auch ohne Probleme, über die bestehende VPN- Verbindung, zum Domänencontroller hoch. Der Vorgang wurde ohne Fehlermeldung beendet. Leider musste ich nach einem Neustart feststellen, dass der DNS- Server nicht konfiguriert wurde. Es fehlen sämtliche Srv-, Ldap- und weitere Einträge. Habt ihr vielleicht eine Idee, was der Fehler für dieses Verhalten ist oder muss ich bestimmte Konfigurationseinstellungen vornehmen, wenn ich Dcpromo über VPN ausführe? Vielen Dank. Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Zur Vorbereitung installierte ich noch den DNS- Dienst und startete, nach einem Neustart, dcpromo. Hast Du den DNS-Server auch mit den entspr. Zonen konfiguriert und vor dcpromo am Server in die IP-Konfig eingetragen? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 27. März 2008 Melden Teilen Geschrieben 27. März 2008 Buenos tardes, Leider musste ich nach einem Neustart feststellen, dass der DNS- Server nicht konfiguriert wurde. Es fehlen sämtliche Srv-, Ldap- und weitere Einträge. da es sich um einen weiteren DC handelt und deine bestehende Forward Lookup Zone hoffentlich AD-integriert gespeichert ist, musst du dich lediglich gedulden. Denn erst wenn die AD-Replikation stattgefunden und abgeschlossen wurde, befinden sich die DNS-Informationen anschließend auf dem neuen DC. Zu konfigurieren brauchst du auf dem neuen DC nichts weiter, als das in seinen TCP/IP-Einstellungen eben ein bestehender DC/DNS-Server eingetragen ist. Evtl. solltest du noch für die Aussenstelle im AD einen Standort samt Subnetz erstellen und den DC dorthin verschieben. Somit kannst du auf die Replikation Einfluss nehmen. Zitieren Link zu diesem Kommentar
RogerG781 22 Geschrieben 27. März 2008 Autor Melden Teilen Geschrieben 27. März 2008 Bevor ich DcPromo auf dem SErver ausgeführt habe, habe ich im DNS die Zone bereits mit dem korrekten Namen angelegt. Das Gedulden hat leider nichts gebracht und meiner Meinung nach ist der DcPromo auch nicht sauber gelaufen. Es wurde kein Sysvol- Verzeichnis angelegt. Meine Events laufen mit roten Fehlermeldungen voll, von "Der domänencontroller konnte nicht ermittelt werden" bis "Anwendung der Gruppenrichtlinien fehlgeschlagen" ist alles dabei. Im DNS sind ebenfalls unzählige Fehler. Die Replikation läuft ebenfalls nicht, obwohl ich nun 4 Stunden lang die VPN- Verbindung hab bestehen lassen. Das einzige was sich in der Zeit der bestehenden VPN- Verbindung geändert hat, ist, dass die DNS- Srv und Ldap- Einträge repliziert wurden. Aber auch nach einem Neustart sind die Fehler immer noch in den Logs enthalten. Das kann doch nur ein Problem mit dcpromo über eine VPN- Verbindung sein oder? Bei wem hat sowas denn mal Problemlos funktioniert? Zitieren Link zu diesem Kommentar
jiminio 10 Geschrieben 28. März 2008 Melden Teilen Geschrieben 28. März 2008 Hast du schon -net stop netlogon -net start netlogon versucht um die Srv- etc. Einträge im AD erstellen zu lassen oder entferne deine manuell erstellte Zone -> stell auf AD intergriertes DNS replizieren lassen.... abwarten ..... ES gab auch schon den Fall das die *.DNS Daten unter C:\Windows \System32\DNS manuell löschen mussten... ;-) hasta pronto Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 28. März 2008 Melden Teilen Geschrieben 28. März 2008 Bevor ich DcPromo auf dem SErver ausgeführt habe, habe ich im DNS die Zone bereits mit dem korrekten Namen angelegt. Warum das denn :confused: Lies dir meine erste Antwort erneut durch, denn so wie ich es beschrieben habe läuft es. Es ist lediglich darauf zu achten, dass die FLZ bereits AD-integriert gesspeichert ist. Dann brauchst du auf dem neuen DC nichts im DNS zu konfigurieren. Es wurde kein Sysvol- Verzeichnis angelegt. Meine Events laufen mit roten Fehlermeldungen voll, von "Der domänencontroller konnte nicht ermittelt werden" bis "Anwendung der Gruppenrichtlinien fehlgeschlagen" ist alles dabei. Im DNS sind ebenfalls unzählige Fehler. Die Replikation läuft ebenfalls nicht, obwohl ich nun 4 Stunden lang die VPN- Verbindung hab bestehen lassen. Dein Hauptproblem ist das DNS. Läuft DNS nicht, dann läuft das AD nicht. Ich würde den DC erneut herunterstufen und es diesmal so machen, wie ich es hier in dem Artikel beschrieben habe: Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen Natürlich muss auch sichergestellt sein, dass zwischen den Standorten nichts geblockt wird und alle benötigten Ports offen sind. Yusuf`s Directory - Blog - Active Directory Replikation durch eine Firewall Zitieren Link zu diesem Kommentar
AmericanJesus 10 Geschrieben 30. März 2008 Melden Teilen Geschrieben 30. März 2008 Nimm den Server den DNS Dienst weg und stufe den DC herunter. Danach führst du DCPromo aus und installierst DC + integriertes DNS ... Schreib mal, obs funktioniert hat ;-) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 30. März 2008 Melden Teilen Geschrieben 30. März 2008 Hi, Hast du den vor(!) dem dcpromo geprüft ob -die beiden DCs sauber gearbeitet und repliziert haben (netdiag, dcdiag, eventlogs) -die Ports vom neuen DC zu den beiden bestehenden offen waren (z.B. mit portqry.exe aus http://www.microsoft.com/downloads). Wichtige ports sind zu finden unter Active Directory Replication over Firewalls, vermutlich bei dir ohne die SSL-Ports) Falls nicht, wirf den neuen DC nochmal bei beiden bestehenden DCs runter (How to remove data in Active Directory after an unsuccessful domain controller demotion), führ die obigen Tests durch und installier erst neu, wenn du auf sicheren Füssen stehst! Wenn es dann trotzdem nicht funktioniert, wirds schwierig cu blub Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 31. März 2008 Melden Teilen Geschrieben 31. März 2008 Nimm den Server den DNS Dienst weg und stufe den DC herunter. Danach führst du DCPromo aus und installierst DC + integriertes DNS ... Wofür soll das gut sein? Sicher, eine Neuinstallation hilft auch bei der Fehlerbeseitigung, aber im Prinzip hat doch Daim (wie üblich) die Lösung schon geschrieben. Wenn DNS ad-integriert ist, muss man nix tun, ausser DNS Dienst installieren und Kaffetrinken um die Wartezeit zu überbrücken. Daher macht man das ja. Wird die Zone auf dem anderen DC nochmals angelegt bekommt man hauptsächlich zwei Probleme. Man hat dann zwei völlig autarke gleichnamige Zonen, womöglich beide an unterschiedlichen Stellen im AD (je nach Scope). Beide werden repliziert, aber nur eine wird verwendet (auf jeder Seite ****erweise ne andere). Dann sollte die "unvolltändigere" Zone gelöscht werden. Bei mir hat das über die DNS GUI schon Zicken gemacht, dann hilft nur ADSIEdit, vor allem dann, wenn beide den gleichen Scope haben. Dann passiert das Gleiche, wie bei allen doppelt angelegten AD Einträgen. Einer von beiden bekommt die GUID hinter den Namen, was aber nur über ADSIEdit sichtbar ist. Außerdem dürfte in der neuen Zone nicht viel stehen, außer dem DC selbst. Das Problem hierbei ist, dass jeder PC nur sich kennt, weil praktisch zwei Inseln entstanden sind. Daher bekommt der zweite auch kein Sysvol usw. Um prinzipiell Inselbildung zu vermeiden, sollte zumindest bei der Installation der DNS Eintrag der NIC auf den bereits bestehenden DC zeigen. Es schadet in größeren Umgebungen aber auch nicht prinzipiell alle DCs auf einen zeigen zu lassen. Das vermeidet bei längeren Netzausfällen und eingeschalteter Alterung böse Effekte nach dem Henne-Ei Prinzip. Wenn nämlich auf beiden Seiten der jeweils andere DC Eintrag durch die Alterung gekillt wird und beide sich nur in ihre Zone schreiben können, steht die Repliktion. Um replizieren zu können, braucht er den DNS Record des anderen DC. Um den DNS Record zu bekommen, müsste er das AD replizieren... Also @RogerG781: Überprüf mal, wie die beiden Zonen eingestellt sind. Ist die "Urzone AD integriert, dann lösch die zweite raus. Fall beide den gleichen Scope haben (domänenweit, forestweit...), dann kannst du dich auch nochmal mit genaueren Infos melden, dann können wir beim löschen helfen. Außerdem lass den zweiten DC mit dem DNS Eintrag auf den ersten zeigen. Dann sollte er sich dort eintragen und die Replikation sollte flutschen. Wenn nicht kann man immer noch zum Holzhammer greifen. Gruß woiza Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.