Caddy24 10 Geschrieben 22. September 2009 Melden Geschrieben 22. September 2009 Hallo zusammen, ich versuche mal zusammenzufassen, was bei uns gerade los ist und was wir bisher versucht haben. Wir haben bisher eine 2003er Domäne mit 5 DCs im purer 2003er Modus gefahren. Letzte Woche haben wir dann das Schema erweitert, damit wir den ersten 2008er DC in die Domäne bringen konnte. Schemaupdate hat nach einigen Schwierigkeiten geklappt. Die Aufnahme des 2008er DCs in die Domäne hat soweit auch ganz gut geklappt, doch nun hakt es an mehreren Stellen (GPO-Replizierung, Practice Analyzer meldet Probleme,...). Die meisten Sachen hängen unserer Meinung nach mit dem DNS zusammen. Da wir aber leider ein Unix Bind einsetzen, hängen wir ein wenig in der Luft, wie wir genau feststellen können, ob die Zonen und Einträge im DNS richtig sind. Als Fehlermeldungen gibt es zum Beispiel: Protokollname: Directory ServiceQuelle: Microsoft-Windows-ActiveDirectory_DomainService Datum: 22.09.2009 10:51:21 Ereignis-ID: 2087 Aufgabenkategorie:Verzeichnisdienst-RPC-Client Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: ANONYMOUS-ANMELDUNG Computer: DC01.Domänname.de Beschreibung: Die Active Directory-Domänendienste konnten den folgenden DNS-Hostnamen des Quelldomänencontrollers nicht in eine IP-Adresse auflösen. Dieser Fehler verhindert die Replizierung von Hinzufüge- bzw. Löschvorgängen oder Änderungen in den Active Directory-Domänendiensten zwischen einen oder mehreren Domänencontrollern in der Gesamtstruktur. Sicherheitsgruppen, die Gruppenrichtlinie, Benutzer und Computer und deren Kennwörter werden dadurch inkonsistent zwischen den Domänencontrollern, solange dieser Fehler nicht behoben wird. Eventuell wird auch die Anmeldungsauthentifizierung bzw. der Zugriff auf Netzwerkressourcen, beeinflusst. Quelldomänencontroller: ibitroot05-6 Nicht erfolgreicher DNS-Hostname: 49f360d5-e87f-4b1e-ab01-f14b6cee6a59._msdcs.Domänname.de HINWEIS: Standardmäßig werden nur maximal 10 DNS-Fehler innerhalb eines Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler aufgetreten sind. Setzen Sie den folgenden Registrierungswert auf 1, um alle individuellen Fehlerereignisse zu protokollieren: Registrierungspfad: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client Benutzeraktion: ...gekürzt Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" /> <EventID Qualifiers="49152">2087</EventID> <Version>0</Version> <Level>2</Level> <Task>22</Task> <Opcode>0</Opcode> <Keywords>0x8080000000000000</Keywords> <TimeCreated SystemTime="2009-09-22T08:51:21.989837800Z" /> <EventRecordID>1068</EventRecordID> <Correlation /> <Execution ProcessID="492" ThreadID="1868" /> <Channel>Directory Service</Channel> <Computer>DC01.Domänname.de</Computer> <Security UserID="S-1-5-7" /> </System> <EventData> <Data>ibitroot05-6</Data> <Data>49f360d5-e87f-4b1e-ab01-f14b6cee6a59._msdcs.Domänname.de</Data> <Data>11004</Data> <Data>Der angeforderte Name ist gültig, es wurden jedoch keine Daten des angeforderten Typs gefunden.</Data> <Data>System\CurrentControlSet\Services\NTDS\Diagnostics</Data> <Data>22 DS RPC Client</Data> </EventData> </Event> Weiter im zweiten Post, Begrenzung von 4000 Zeichen schlägt zu ;) Zitieren
Caddy24 10 Geschrieben 22. September 2009 Autor Melden Geschrieben 22. September 2009 und der Practice Analyzer liefert folgendes: Titel:Vom Domänencontroller müssen die richtigen zugehörigen IP-Adressen beim DNS-Server registriert werden. Schweregrad: Fehler Datum: 22.09.2009 10:55:47 Kategorie: Konfiguration Problem: Die DNS-Host-Ressourceneinträge für den vollqualifizierten Domänennamen dieses Domänencontrollers sind derzeit den IP-Adressen zugeordnet, die nicht zu diesem Domänencontroller gehören. Die ungültigen IP-Adressen sind 134.106.1.7; 193.174.75.166; 134.106.40.3; 134.106.49.2. Auswirkung: Der Domänencontroller wird von anderen Mitgliedscomputern und Domänencontrollern in der Domäne oder Gesamtstruktur möglicherweise nicht gefunden. Das Bereitstellen der gesamten Sammlung von Diensten ist mithilfe dieses Domänencontrollers nicht möglich. Lösung: Stellen Sie sicher, dass der DNS-Clientdienst auf dem Domänencontroller für die Registrierung gültiger Hostressourceneinträge bei einem autorisierenden DNS-Server für die Domäne konfiguriert ist und dass die Registrierung ausgeführt werden kann. Weitere Informationen zu dieser bewährten Methode und den detaillierten Lösungsverfahren: AD DS: This domain controller must register its DNS host A/AAAA records with correct IP addresses[/Quote] wobei zwei der Adressen unsere Bind-DNS-Server sind und die anderen beiden Server Secondary DNS-Server. Meine eigentliche Frage ist nun, wie kann ich überprüfen, ob meine AD-DNS Verbindung so ist, wie sie sein sollte. Gibt es einen Prüfplan? Vielen Dank fürs Lesen und wenn noch Fragen sein sollten, bitte stellen, ich versuche sie zu beantworten. Gruß, Carsten Zitieren
lepus 10 Geschrieben 22. September 2009 Melden Geschrieben 22. September 2009 Moin, welche Ergebnisse liefern denn dcdiag und netdiag? Mit der Option /fix werden viele Probleme die er dann erkennt behoben. Unter anderem auch fehlende DNS Einträge nachgeholt. Grüße Nils Zitieren
morro 10 Geschrieben 22. September 2009 Melden Geschrieben 22. September 2009 Hi, vielleciht hilft dir einer dieser artikel weiter: Troubleshooting Active Directory replication failures that occur because of DNS lookup failures, event ID 2087, or event ID 2088 Event ID 2087: DNS lookup failure caused replication to fail: Active Directory LG Zitieren
Caddy24 10 Geschrieben 22. September 2009 Autor Melden Geschrieben 22. September 2009 Ich bin dabei den Artikel durchzuarbeiten und habe auch ein zwei Sachen gefunden, die ich noch überprüfen lassen muss. Eine Sache ist mir im Eventlog noch aufgefallen: Protokollname: System Quelle: Microsoft-Windows-GroupPolicy Datum: 22.09.2009 13:44:36 Ereignis-ID: 1006 Aufgabenkategorie:Keine Ebene: Fehler Schlüsselwörter: Benutzer: SYSTEM Computer: DC01.Domänename.de Beschreibung: Fehler bei der Verarbeitung der Gruppenrichtlinie. Die Authentifizierung von Windows war für den Active Directory-Dienst auf einem Domänencontroller nicht möglich. (Fehler beim Aufruf der Funktion zur LDAP-Bindung). Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" /> <EventID>1006</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>1</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2009-09-22T11:44:36.230923600Z" /> <EventRecordID>3457</EventRecordID> <Correlation ActivityID="{641B7082-B5F0-4333-968A-72C5468A7E37}" /> <Execution ProcessID="920" ThreadID="3276" /> <Channel>System</Channel> <Computer>DC01.Domänename.de</Computer> <Security UserID="S-1-5-18" /> </System> <EventData> <Data Name="SupportInfo1">1</Data> <Data Name="SupportInfo2">5012</Data> <Data Name="ProcessingMode">0</Data> <Data Name="ProcessingTimeInMilliseconds">1248</Data> <Data Name="ErrorCode">49</Data> <Data Name="ErrorDescription">Ungültige Anmeldeinformationen</Data> <Data Name="DCName"> </Data> </EventData> </Event> Habe da auch schon im Internet und im Forum geschaut, aber so richtig passen die Sachen alle nicht, oder helfen nicht.. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.