Jump to content

DcPromo konfiguriert DNS nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute, ich hatte vor einen weiteren Domänencontroller für meine Domäne einzurichten. Der vorgesehene Server befindet sich bereits in einer Aussenstelle, die ich nur über eine VPN- Verbindung erreichen kann.

Die VPN- Verbindung wird über Routing- und RAS realisiert.

Nachdem ich VPN- Verbindung aufgebaut hatte, schaute ich erstmal nach, dass der Domänenname und der Domänencontroller vom zukünftigen Domänencontroller über die VPN- Verbindung aufzulösen sind.

Zur Vorbereitung installierte ich noch den DNS- Dienst und startete, nach einem Neustart, dcpromo.

Dcpromo stufte den Server auch ohne Probleme, über die bestehende VPN- Verbindung, zum Domänencontroller hoch. Der Vorgang wurde ohne Fehlermeldung beendet.

Leider musste ich nach einem Neustart feststellen, dass der DNS- Server nicht konfiguriert wurde. Es fehlen sämtliche Srv-, Ldap- und weitere Einträge.

Habt ihr vielleicht eine Idee, was der Fehler für dieses Verhalten ist oder muss ich bestimmte Konfigurationseinstellungen vornehmen, wenn ich Dcpromo über VPN ausführe?

 

Vielen Dank.

Link zu diesem Kommentar

Buenos tardes,

 

Leider musste ich nach einem Neustart feststellen, dass der DNS- Server nicht konfiguriert wurde. Es fehlen sämtliche Srv-, Ldap- und weitere Einträge.

 

da es sich um einen weiteren DC handelt und deine bestehende Forward Lookup Zone hoffentlich AD-integriert gespeichert ist, musst du dich lediglich gedulden. Denn erst wenn die AD-Replikation stattgefunden und abgeschlossen wurde, befinden sich die DNS-Informationen anschließend auf dem neuen DC. Zu konfigurieren brauchst du auf dem neuen DC nichts weiter, als das in seinen TCP/IP-Einstellungen eben ein bestehender DC/DNS-Server eingetragen ist.

 

Evtl. solltest du noch für die Aussenstelle im AD einen Standort samt Subnetz erstellen und den DC dorthin verschieben.

Somit kannst du auf die Replikation Einfluss nehmen.

Link zu diesem Kommentar

Bevor ich DcPromo auf dem SErver ausgeführt habe, habe ich im DNS die Zone bereits mit dem korrekten Namen angelegt.

Das Gedulden hat leider nichts gebracht und meiner Meinung nach ist der DcPromo auch nicht sauber gelaufen. Es wurde kein Sysvol- Verzeichnis angelegt. Meine Events laufen mit roten Fehlermeldungen voll, von "Der domänencontroller konnte nicht ermittelt werden" bis "Anwendung der Gruppenrichtlinien fehlgeschlagen" ist alles dabei. Im DNS sind ebenfalls unzählige Fehler. Die Replikation läuft ebenfalls nicht, obwohl ich nun 4 Stunden lang die VPN- Verbindung hab bestehen lassen.

Das einzige was sich in der Zeit der bestehenden VPN- Verbindung geändert hat, ist, dass die DNS- Srv und Ldap- Einträge repliziert wurden.

Aber auch nach einem Neustart sind die Fehler immer noch in den Logs enthalten.

Das kann doch nur ein Problem mit dcpromo über eine VPN- Verbindung sein oder? Bei wem hat sowas denn mal Problemlos funktioniert?

Link zu diesem Kommentar

Hast du schon

 

-net stop netlogon

 

-net start netlogon

 

versucht

 

um die Srv- etc. Einträge im AD erstellen zu lassen

 

oder

 

entferne deine manuell erstellte Zone -> stell auf AD intergriertes DNS

 

replizieren lassen.... abwarten .....

 

 

ES gab auch schon den Fall das die *.DNS Daten unter C:\Windows \System32\DNS manuell löschen mussten... ;-)

 

hasta pronto

Link zu diesem Kommentar
Bevor ich DcPromo auf dem SErver ausgeführt habe, habe ich im DNS die Zone bereits mit dem korrekten Namen angelegt.

 

Warum das denn :confused:

Lies dir meine erste Antwort erneut durch, denn so wie ich es beschrieben habe läuft es.

Es ist lediglich darauf zu achten, dass die FLZ bereits AD-integriert gesspeichert ist. Dann brauchst du auf dem neuen DC nichts im DNS zu konfigurieren.

 

Es wurde kein Sysvol- Verzeichnis angelegt. Meine Events laufen mit roten Fehlermeldungen voll, von "Der domänencontroller konnte nicht ermittelt werden" bis "Anwendung der Gruppenrichtlinien fehlgeschlagen" ist alles dabei. Im DNS sind ebenfalls unzählige Fehler. Die Replikation läuft ebenfalls nicht, obwohl ich nun 4 Stunden lang die VPN- Verbindung hab bestehen lassen.

 

Dein Hauptproblem ist das DNS. Läuft DNS nicht, dann läuft das AD nicht.

Ich würde den DC erneut herunterstufen und es diesmal so machen, wie ich es hier in dem Artikel beschrieben habe:

 

Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen

 

Natürlich muss auch sichergestellt sein, dass zwischen den Standorten nichts geblockt wird und alle benötigten Ports offen sind.

 

Yusuf`s Directory - Blog - Active Directory Replikation durch eine Firewall

Link zu diesem Kommentar

Hi,

Hast du den vor(!) dem dcpromo geprüft ob

 

-die beiden DCs sauber gearbeitet und repliziert haben (netdiag, dcdiag, eventlogs)

-die Ports vom neuen DC zu den beiden bestehenden offen waren (z.B. mit portqry.exe aus http://www.microsoft.com/downloads). Wichtige ports sind zu finden unter Active Directory Replication over Firewalls, vermutlich bei dir ohne die SSL-Ports)

 

Falls nicht, wirf den neuen DC nochmal bei beiden bestehenden DCs runter (How to remove data in Active Directory after an unsuccessful domain controller demotion), führ die obigen Tests durch und installier erst neu, wenn du auf sicheren Füssen stehst!

Wenn es dann trotzdem nicht funktioniert, wirds schwierig

 

cu

blub

Link zu diesem Kommentar
Nimm den Server den DNS Dienst weg und stufe den DC herunter. Danach führst du DCPromo aus und installierst DC + integriertes DNS ...

 

Wofür soll das gut sein? Sicher, eine Neuinstallation hilft auch bei der Fehlerbeseitigung, aber im Prinzip hat doch Daim (wie üblich) die Lösung schon geschrieben. Wenn DNS ad-integriert ist, muss man nix tun, ausser DNS Dienst installieren und Kaffetrinken um die Wartezeit zu überbrücken. Daher macht man das ja.

Wird die Zone auf dem anderen DC nochmals angelegt bekommt man hauptsächlich zwei Probleme.

 

Man hat dann zwei völlig autarke gleichnamige Zonen, womöglich beide an unterschiedlichen Stellen im AD (je nach Scope). Beide werden repliziert, aber nur eine wird verwendet (auf jeder Seite ****erweise ne andere). Dann sollte die "unvolltändigere" Zone gelöscht werden. Bei mir hat das über die DNS GUI schon Zicken gemacht, dann hilft nur ADSIEdit, vor allem dann, wenn beide den gleichen Scope haben. Dann passiert das Gleiche, wie bei allen doppelt angelegten AD Einträgen. Einer von beiden bekommt die GUID hinter den Namen, was aber nur über ADSIEdit sichtbar ist.

 

Außerdem dürfte in der neuen Zone nicht viel stehen, außer dem DC selbst. Das Problem hierbei ist, dass jeder PC nur sich kennt, weil praktisch zwei Inseln entstanden sind. Daher bekommt der zweite auch kein Sysvol usw. Um prinzipiell Inselbildung zu vermeiden, sollte zumindest bei der Installation der DNS Eintrag der NIC auf den bereits bestehenden DC zeigen. Es schadet in größeren Umgebungen aber auch nicht prinzipiell alle DCs auf einen zeigen zu lassen.

Das vermeidet bei längeren Netzausfällen und eingeschalteter Alterung böse Effekte nach dem Henne-Ei Prinzip. Wenn nämlich auf beiden Seiten der jeweils andere DC Eintrag durch die Alterung gekillt wird und beide sich nur in ihre Zone schreiben können, steht die Repliktion. Um replizieren zu können, braucht er den DNS Record des anderen DC. Um den DNS Record zu bekommen, müsste er das AD replizieren...

 

 

Also @RogerG781:

 

Überprüf mal, wie die beiden Zonen eingestellt sind. Ist die "Urzone AD integriert, dann lösch die zweite raus. Fall beide den gleichen Scope haben (domänenweit, forestweit...), dann kannst du dich auch nochmal mit genaueren Infos melden, dann können wir beim löschen helfen.

 

Außerdem lass den zweiten DC mit dem DNS Eintrag auf den ersten zeigen. Dann sollte er sich dort eintragen und die Replikation sollte flutschen.

 

 

Wenn nicht kann man immer noch zum Holzhammer greifen.

 

Gruß

 

woiza

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...