MrBasemann 10 Geschrieben 28. September 2009 Melden Teilen Geschrieben 28. September 2009 (bearbeitet) Hallo zusammen, nach einem halben Jahr Planung und mehrfachem Simulieren der Umstellung in einer Testumgebung haben wir nun die Umstellung letzte Woche durchgeführt und sind heute über einige Fehler in den Event-Logs gestolpert. Ich poste einfach mal hier, weil ich hoffe, dass es hier jemanden gibt, der eventuell weiterhelfen kann und uns somit eine langwierige Fehlersuche ersparen kann. Hier zunächst mal die Ausgangssitutation, die vor der Umstellung bestand. Die Serverlandschaft bestand aus zwei englischsprachigen Windows Server 2000 SP4 DCs, zwei linuxbasierten DNS-Servern (mit statisch gepflegten Einträgen) und einem linuxbasierten Fileserver für Profil- und Home-Verzeichnisse. Der Betrieb in dieser Konstellation funktionierte ohne Probleme. Um die Umstellung zunächst zu Planen und zu Simulieren wurde eine Testumgebung aufgebaut, die aus den DCs, dem Fileserver und ein paar Clients bestand. DNS wurde in der Testumgebung durch die beiden DCs realisiert und auf DHCP wurde verzichtet. Die eigentliche Umstellung ist wie in Yusufs.Directory.Blog erfolgt und hat in der Testumgebung immer erfolgreich funktioniert. Nun zu den eigentlichen Problemen. Zunächst die Fehler wegen DNS Der erste Fehler der regelmäßig auf beiden DCs erscheint ist der folgende Link dc1.domain.local dient der Veranschaulichung und entspricht nicht dem richtigen Namen. Aus diesem Fehler schließen wir, dass die Domänencontroller sich nicht selbst beim DNS-Server registrieren können, was auch so gewollt ist. Es sollen weiterhin die beiden vorhandenen DNS-Server verwendet und die Einträge statisch gepflegt werden. Als ersten Lösungsansatz haben wir in den erweiterten Eigenschaften des IPv4-Protokolls im Reiter DNS unten den Haken entfernt, dass sich der Adapter mit seiner Adresse selbst im DNS registrieren soll. Leider ändert dies nichts und die Einträge sind über das Wochenende mehrfach geloggt worden. Das IPv6-Protokoll haben wir durch entfernen des Hakens deaktiviert und dort ansonsten keine Änderungen vorgenommen. Wir denken, dass dem Server eventuell noch ein paar Einträge im DNS fehlen, die er selber einzutragen versucht. Da wäre nur die Frage welche, da unter Windows 2000 Server diese Meldung nicht vorhanden war. Der zweite Eintrag wegen DNS ist der folgende: Link Hier scheint etwas mit der Namensauflösung für die Bestimmung der IP-Adresse des Replikationspartners nicht zu stimmen. Uns verwundert allerdings, dass sowohl nslookup dc2.domain.local, als auch nslookup a69d05ea-7d4d-46d8-8a62-f3f191fe57e4._msdcs.domain.local in einer Konsole auf dc1 ausgeführt korrekt aufgelöst werden. Die Replikation funktioniert ebenfalls (nur über welchen Weg, ob DNS oder NetBios wissen wir nicht) und Clients können sich ohne Probleme anmelden. Die Namensauflösung mit DNS funktioniert aus der Konsole heraus genauso wie vor der Umstellung. Das waren es in Sachen DNS. Nun ein sehr hartnäckiger Eintrag. Link Dieser Eintrag erscheint immer in Blöcken vom ca. 30-40 Einträgen und wiederholt sich alle paar Stunden. Dabei ändern sich die Parameter in der Beschreibung. Ein Neustart der DCs keine Besserung gebracht. Eine erste Recherche hat ergeben, dass dieser Fehler unter Windows Server 2003 wohl mit einem Hotfix behoben werden kann, allerdings haben wir bisher nichts im Zusammenhang mit Windows Server 2008 gefunden. Das ist erst einmal der aktuelle Stand der Dinge. Morgen werden wir zunächst versuchen der DNS-Problematik auf die Schliche zu kommen und dann den Rest angehen. Ich hoffe, dass hier eventuell jemand ein paar Tipps hat, damit das Suchen nicht unnötig lange ausfällt. Vielen Dank auf jeden Fall schon mal im Voraus für eure Mühe. mfg MrBasemann bearbeitet 28. September 2009 von MrBasemann falschen Link korrigiert Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 28. September 2009 Melden Teilen Geschrieben 28. September 2009 Die Serverlandschaft bestand aus zwei englischsprachigen Windows Server 2000 SP4 DCs, zwei linuxbasierten DNS-Servern (mit statisch gepflegten Einträgen) und einem linuxbasierten Fileserver für Profil- und Home-Verzeichnisse. Gibt es einen Grund wieso DNS nicht auf den DCs läuft? In den meisten kleineren Deployments (und in vielen grösseren Deployments) ist dies die empfohlene Variante. Seperate DNS Server geben deutlichen Mehraufwand. Eine einfache Art das umzustellen ist indem ihr einfach eure AD Zone von den Linux-DNS Servern an Windows delegiert - die Linux DNS Server könnt ihr dann weiterhin als Resolver benutzen. DNS wurde in der Testumgebung durch die beiden DCs realisiert Damit habt ihr eine der grössten Fehlerquellen nicht getestet. Das ist schon keine optimale Vorgehensweise. Der erste Fehler der regelmäßig auf beiden DCs erscheint ist der folgende Link Wenn die Fehlermeldung im Board nicht auffindbar ist, können andere mit demselben Fehler nicht suchen. Die Fehlermeldung deutet nicht auf ein Problem mit DNS hin, sondern mit einer Gruppenrichtlinie, die einen Registry-Wert nicht anpassen kann. Der Registry-Key selbst bezieht sich allerdings darauf wie Netlogon seine DNS SRV RRs registrieren soll. Das IPv6-Protokoll haben wir durch entfernen des Hakens deaktiviert und dort ansonsten keine Änderungen vorgenommen. Dies ist nicht die richtige Vorgehensweise zum deaktivieren von IPv6. How to disable certain Internet Protocol version 6 (IPv6) components in Windows Vista, Windows 7 and Windows Server 2008 Der zweite Eintrag wegen DNS ist der folgende: Link Was meint denn dcdiag? Nun ein sehr hartnäckiger Eintrag. Link Nochmal die SiteCoverage Story. Hast du evtl. eine Fehlermeldung falsch gepastet? Mein Allgemeiner Tip: Nehmt DNS für die AD Zone auf die DCs, erspart euch jede Menge arbeit und gewinnt zusätzlichen Komfort. Zitieren Link zu diesem Kommentar
MrBasemann 10 Geschrieben 28. September 2009 Autor Melden Teilen Geschrieben 28. September 2009 Oben war der erste Eintrag falsch. Habe ich jetzt korrigiert. Habe die Meldungen nur als Links eingefügt, weil ich ansonsten nicht mit der maximalen Zeichenbegrenzung für einen Post hingekommen bin. Gibt es einen Grund wieso DNS nicht auf den DCs läuft? Ich werde diesbezüglich morgen noch mal bei den Verantwortlichen nachhaken. Soweit mir aber bisher zu Ohren gekommen ist wurde damals diese Lösung gewählt, damit die Rechnerpools über Nacht und einige nicht in der Domäne vorhandene zusätzliche Rechner immer in einem Cluster Simulationen durchführen können. Was meint denn dcdiag? Das Ergebnis von dcdiag werde ich morgen posten, weil ich das gerade nicht hier habe. Ich versuche hier jetzt noch mal die Fehlermeldungen zu posten. Der erste Fehler, der oben noch fehlte. Log Name: System Source: NETLOGON Date: 28.09.2009 09:12:39 Event ID: 5782 Task Category: None Level: Warning Keywords: Classic User: N/A Computer: dc1.domain.local Description: Dynamic registration or deregistration of one or more DNS records failed with the following error: No DNS servers configured for local system. Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="NETLOGON" /> <EventID Qualifiers="0">5782</EventID> <Level>3</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2009-09-28T07:12:39.000Z" /> <EventRecordID>24969</EventRecordID> <Channel>System</Channel> <Computer>dc1.domain.local</Computer> <Security /> </System> <EventData> <Data>%%9852</Data> <Binary>7C260000</Binary> </EventData> </Event> Zitieren Link zu diesem Kommentar
MrBasemann 10 Geschrieben 28. September 2009 Autor Melden Teilen Geschrieben 28. September 2009 Der zweite Fehler: Log Name: Directory Service Source: Microsoft-Windows-ActiveDirectory_DomainService Date: 25.09.2009 14:36:04 Event ID: 2088 Task Category: DS RPC Client Level: Warning Keywords: Classic User: ANONYMOUS LOGON Computer: dc1.domain.local Description: Active Directory Domain Services could not use DNS to resolve the IP address of the source domain controller listed below. To maintain the consistency of Security groups, group policy, users and computers and their passwords, Active Directory Domain Services successfully replicated using the NetBIOS or fully qualified computer name of the source domain controller. Invalid DNS configuration may be affecting other essential operations on member computers, domain controllers or application servers in this Active Directory Domain Services forest, including logon authentication or access to network resources. You should immediately resolve this DNS configuration error so that this domain controller can resolve the IP address of the source domain controller using DNS. Alternate server name: dc2.domain.local Failing DNS host name: a69d05ea-7d4d-46d8-8a62-f3f191fe57e4._msdcs.domain.local ... Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" /> <EventID Qualifiers="32768">2088</EventID> <Version>0</Version> <Level>3</Level> <Task>22</Task> <Opcode>0</Opcode> <Keywords>0x8080000000000000</Keywords> <TimeCreated SystemTime="2009-09-25T12:36:04.082Z" /> <EventRecordID>81</EventRecordID> <Correlation /> <Execution ProcessID="612" ThreadID="2484" /> <Channel>Directory Service</Channel> <Computer>dc1.domain.local</Computer> <Security UserID="S-1-5-7" /> </System> <EventData> <Data>dc2.domain.local</Data> <Data>a69d05ea-7d4d-46d8-8a62-f3f191fe57e4._msdcs.domain.local</Data> <Data>11001</Data> <Data>No such host is known.</Data> <Data>System\CurrentControlSet\Services\NTDS\Diagnostics</Data> <Data>22 DS RPC Client</Data> </EventData> </Event> und der dritte Fehler: Log Name: System Source: NETLOGON Date: 28.09.2009 09:33:59 Event ID: 5803 Task Category: None Level: Warning Keywords: Classic User: N/A Computer: dc1.domain.local Description: The following error occurred while reading a parameter 'SiteCoverage' in the Netlogon Group Policy registry section: Illegal operation attempted on a registry key that has been marked for deletion. Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="NETLOGON" /> <EventID Qualifiers="0">5803</EventID> <Level>3</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2009-09-28T07:33:59.000Z" /> <EventRecordID>25082</EventRecordID> <Channel>System</Channel> <Computer>dc1.domain.local</Computer> <Security /> </System> <EventData> <Data>Group Policy</Data> <Data>SiteCoverage</Data> <Data>%%1018</Data> <Binary>FA030000</Binary> </EventData> </Event> Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 28. September 2009 Melden Teilen Geschrieben 28. September 2009 Das hier sollte beim ersten Fehler helfen: Net Logon Dynamic DNS Registration Functionality Changes After Installing Windows 2000 SP1 Zitieren Link zu diesem Kommentar
MrBasemann 10 Geschrieben 29. September 2009 Autor Melden Teilen Geschrieben 29. September 2009 Hier dann mal der neue Stand. IPv6 wurde jetzt wie im KB-Artikel abgeschaltet und hat auch in den dcdiag-Test sofort ein paar Fehler behoben. Zur Sache mit dem DNS kann ich jetzt soviel sagen. Das Rechenzentrum der Universität betreibt einen zentralen DNS-Server (unter Unix), in dem auch unsere Domäne verwaltet wird. Dort sind alle Server und Clients fest eingetragen. Diese Lösung wurde damals so gewählt, damit die Domäne auch aus anderen Fakultäten erreicht werden. Die beiden linuxbasierten DNS-Server, die hier im Netz hängen dienen als Cache, falls mal die Verbindung zum DNS-Server des Rechenzentrums ausfallen sollte und ermöglichen es Rechner, die von außen nicht erreichbar sein sollen, zu betreiben (insbesondere die reinen Cluster-Rechner). Der Fehler mit der Event-ID 2088 ist nicht mehr aufgetreten, obwohl dieser zuvor mehrmals am Tag geloggt wurde. Dafür sind nach wie vor jede Menge Fehler von Netlogon mit der Event-ID 5803 zu verzeichnen, die sich im Abstand von ein paar Stunden wiederholen. Ich habe jetzt mal die Parameter der Meldungen rausgeschrieben. RefusePasswordChange AvoidSamRepl AvoidLsaRepl SignSecureChannel SealSecureChannel RequireSignOrSeal RequireStrongKey SysVolReady UseDynamicDns RegisterDnsARecords AvoidPdcOnWan AutoSiteCoverage AvoidDnsDeregOnShutdown DnsUpdateOnAllAdapters Nt4Emulator DisableNTLMOnDC EnableChainSetClientAttributes DisablePasswordChange NeutralizeNt4Emulator AllowSingleLabelDnsDomain AllowExclusiveSysvolShareAccess AllowExclusiveScriptsShareAccess AvoidLocatorAccountLookup NeverPing RegisterSiteSpecificDnsRecordsOnly TryNextClosestSite DisableNTLMOnServer AllowNT4Crypto BreakOnShareFailure IgnoreIncomingMailslotMessages SysVol Scripts RpcDacl SiteName SiteCoverage Hier auch die angeforderten Ausgaben von dcdiag. Als erstes von dcdiag /test:dns: Directory Server Diagnosis Performing initial setup: Trying to find home server... Home Server = dc1 * Identified AD Forest. Done gathering initial info. Doing initial required tests Testing server: site\dc1 Starting test: Connectivity ......................... dc1 passed test Connectivity Doing primary tests Testing server: site\dc1 Starting test: DNS DNS Tests are running and not hung. Please wait a few minutes... ......................... dc1 passed test DNS Running partition tests on : ForestDnsZones Running partition tests on : DomainDnsZones Running partition tests on : Schema Running partition tests on : Configuration Running partition tests on : domain Running enterprise tests on : domain.local Starting test: DNS Test results for domain controllers: DC: dc1.domain.local Domain: domain.local TEST: Basic (Basc) Warning: The Active Directory zone on this DC/DNS server was not found (probably a misconfiguration) TEST: Dynamic update (Dyn) Warning: Failed to add the test record _dcdiag_test_record in zone domain.local dc1 PASS WARN PASS n/a WARN PASS n/a ......................... domain.local passed test DNS und gleich noch von dcdiag ohne Parameter. Zitieren Link zu diesem Kommentar
MrBasemann 10 Geschrieben 29. September 2009 Autor Melden Teilen Geschrieben 29. September 2009 hier jetzt von dcdiag ohne Parameter Directory Server Diagnosis Performing initial setup: Trying to find home server... Home Server = dc1 * Identified AD Forest. Done gathering initial info. Doing initial required tests Testing server: site\dc1 Starting test: Connectivity ......................... dc1 passed test Connectivity Doing primary tests Testing server: site\dc1 Starting test: Advertising ......................... dc1 passed test Advertising Starting test: FrsEvent ......................... dc1 passed test FrsEvent Starting test: DFSREvent ......................... dc1 passed test DFSREvent Starting test: SysVolCheck ......................... dc1 passed test SysVolCheck Starting test: KccEvent ......................... dc1 passed test KccEvent Starting test: KnowsOfRoleHolders ......................... dc1 passed test KnowsOfRoleHolders Starting test: MachineAccount ......................... dc1 passed test MachineAccount Starting test: NCSecDesc ......................... dc1 passed test NCSecDesc Starting test: NetLogons ......................... dc1 passed test NetLogons Starting test: ObjectsReplicated ......................... dc1 passed test ObjectsReplicated Starting test: Replications ......................... dc1 passed test Replications Starting test: RidManager ......................... dc1 passed test RidManager Starting test: Services ......................... dc1 passed test Services Starting test: SystemLog An Warning Event occurred. EventID: 0x00001696 Time Generated: 09/29/2009 13:13:25 EvtFormatMessage failed, error 15100 Win32 Error 15100. (Event String (event log = System) could not be retrieved, error 0x3afc) ......................... dc1 passed test SystemLog Starting test: VerifyReferences ......................... dc1 passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Running partition tests on : DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Running partition tests on : Schema Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Running partition tests on : Configuration Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Running partition tests on : domain Starting test: CheckSDRefDom ......................... domain passed test CheckSDRefDom Starting test: CrossRefValidation ......................... domain passed test CrossRefValidation Running enterprise tests on : domain.local Starting test: LocatorCheck ......................... domain.local passed test LocatorCheck Starting test: Intersite ......................... domain.local passed test Intersite Der angemeckerte Fehler ist der oben genannte von Netlogon mit der Event-ID 5803. Morgen gehts weiter mit der Suche. Zitieren Link zu diesem Kommentar
zahni 562 Geschrieben 29. September 2009 Melden Teilen Geschrieben 29. September 2009 Du musst auf Deinen Linux-DNS Servern dann schon die ganzen Zonen-Einträge für Deine Windows-Domäne vornhemen. Ein paar Host-Recors reichen nicht. Oder Du bringst den Linux-Kisten DDNS (geht seit irgendeiner BIND-Version) bei. Alternative: DNS-Server von Windows nehmen und auf den Linux-Servern eine Zonen-Delegation machen. Dann ist alles vom Linux-DNS auflösbar. Baer das hatte LukasB schon geschrieben. -Zahni Zitieren Link zu diesem Kommentar
MrBasemann 10 Geschrieben 29. September 2009 Autor Melden Teilen Geschrieben 29. September 2009 Du musst auf Deinen Linux-DNS Servern dann schon die ganzen Zonen-Einträge für Deine Windows-Domäne vornhemen. Ein paar Host-Recors reichen nicht. Oder Du bringst den Linux-Kisten DDNS (geht seit irgendeiner BIND-Version) bei. Alternative: DNS-Server von Windows nehmen und auf den Linux-Servern eine Zonen-Delegation machen. Dann ist alles vom Linux-DNS auflösbar. Baer das hatte LukasB schon geschrieben. -Zahni Was für Einträge wären das denn, die zusätzlich da eingetragen werden müssen? Am DNS wurde während der Umstellung nichts geändert und vor der Umstellung hatten die beiden Windows 2000 Server diese Probleme nicht. Hat Windows Server 2008 da vielleicht zusätzliche Einträge gegenüber Windows 2000 Server, die wir nicht bedacht haben? Zitieren Link zu diesem Kommentar
zahni 562 Geschrieben 29. September 2009 Melden Teilen Geschrieben 29. September 2009 Mein Tip: Schaue Dir einfach mal den DNS-Server aus Deiner Testumgebung an. -Zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.