AD Rollen nicht klar verteilt?!

[MoC88 2]

Hallo zusammen,

 

bei uns ist ein Problem aufgetreten, dass das AD nicht richtig funktioniert z.B. von externen Programmen können keine AD Infos abgerufen werden. Anmeldung und DNS funktionieren aber.

 

Das komische ist, dass ein alter Server, der jetzt als Backupserver im Einsatz ist und auch AD+DNS installiert wohl als erster AD angesprochen wird, obwohl der Betriebsmaster ein neuer Server ist. Ich habe mal einige Infos gesammelt. Vielleicht könnt ihr mir helfen...Ich vermute, dass damals bei der Migration ziemlich scheiße gebaut wurde.

 

Schema owner                W2008SRV.*.lan

Domain role owner           W2008SRV.*.lan

PDC role                    W2008SRV.*.lan

RID pool manager            W2008SRV.*.lan

Infrastructure owner        W2008SRV.*.lan
_________________________________
set

logonserver = backupsrv
________________________________
C:\Dokumente und Einstellungen\administrator>nltest /dclist:*
Get list of DCs in domain '*.lan' from '\\BACKUPSRV.*'.
     W2008SRV.*.lan [PDC] [DS] Site: Standardname-des-ersten-Standort
    BACKUPSRV.*.lan       [DS] Site: Standardname-des-ersten-Standort
The command completed successfully
_______________________________
C:\Dokumente und Einstellungen\administrator>nltest /dnsgetdc:*.lan
List of DCs in pseudo-random order taking into account SRV priorities and weigh
s:
Non-Site specific:
   backupsrv.*.lan  192.168.101.8:389
The command completed successfully

_____________________________

dcdiag auf w2008srv

 Verzeichnisserverdiagnose
 
Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = W2008SRV
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.
 
Erforderliche Anfangstests werden ausgeführt.
 
   Server wird getestet: Standardname-des-ersten-Standorts\W2008SRV
      Starting test: Connectivity
         Der Host 4bac7f99-3503-4657-82cd-f189829c0f60._msdcs.*.lan konnte
         nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie DNS-Server,
         DHCP, Servername, usw.
         Fehler beim Überprüfen der LDAP- und RPC-Konnektivität. Überprüfen Sie
         die Firewalleinstellungen.
         ......................... W2008SRV hat den Test Connectivity nicht
         bestanden.
 
Primärtests werden ausgeführt.
 
   Server wird getestet: Standardname-des-ersten-Standorts\W2008SRV
 
      Starting test: DNS
 
         DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige
         Minuten...
         ......................... W2008SRV hat den Test DNS bestanden.
 
   Partitionstests werden ausgeführt auf: ForestDnsZones
 
   Partitionstests werden ausgeführt auf: DomainDnsZones
 
   Partitionstests werden ausgeführt auf: Schema
 
   Partitionstests werden ausgeführt auf: Configuration
 
   Partitionstests werden ausgeführt auf: *
 
   Unternehmenstests werden ausgeführt auf: *.lan
      Starting test: DNS
         Testergebnisse für Domänencontroller:
 
            Domänencontroller: W2008SRV.*.lan
            Domäne: *.lan
 
 
               TEST: Basic (Basc)
                  Fehler: Keine LDAP-Konnektivität
                  Für diesen Domänencontroller wurden keine Hosteinträge (A
                  oder AAAA) gefunden.
 
               TEST: Dynamic update (Dyn)
                  Warning: Failed to delete the test record dcdiag-test-record i
n zone *.lan
 
               TEST: Records registration (RReg)
                  Netzwerkadapter [00000007] vmxnet3 Ethernet Adapter:
                     Warnung:
                     Fehlender CNAME-Eintrag beim DNS-Server 192.168.101.10:
                     4bac7f99-3503-4657-82cd-f189829c0f60._msdcs.*.lan
 
                     Fehler:
                     Fehlender SRV-Eintrag beim DNS-Server 192.168.101.10:
                     _ldap._tcp.gc._msdcs.*.lan
 
                     Fehler:
                     Fehlender SRV-Eintrag beim DNS-Server 192.168.101.10:
                     _gc._tcp.Standardname-des-ersten-Standorts._sites.*.lan
 
                     Fehler:
                     Fehlender SRV-Eintrag beim DNS-Server 192.168.101.10:
                     _ldap._tcp.Standardname-des-ersten-Standorts._sites.gc._msd
cs.*.lan
 
                     Fehler:
                     Fehlender SRV-Eintrag beim DNS-Server 192.168.101.10:
                     _ldap._tcp.pdc._msdcs.*.lan
 
                     Warnung:
                     Fehlender CNAME-Eintrag beim DNS-Server 192.168.101.8:
                     4bac7f99-3503-4657-82cd-f189829c0f60._msdcs.*.lan
 
                     Fehler:
                     Fehlender SRV-Eintrag beim DNS-Server 192.168.101.8:
                     _ldap._tcp.gc._msdcs.*.lan
 
                     Fehler:
                     Fehlender SRV-Eintrag beim DNS-Server 192.168.101.8:
                     _gc._tcp.Standardname-des-ersten-Standorts._sites.*.lan
 
                     Fehler:
                     Fehlender SRV-Eintrag beim DNS-Server 192.168.101.8:
                     _ldap._tcp.Standardname-des-ersten-Standorts._sites.gc._msd
cs.*.lan
 
                     Fehler:
                     Fehlender SRV-Eintrag beim DNS-Server 192.168.101.8:
                     _ldap._tcp.pdc._msdcs.*.lan
 
               Fehler: Eintragsregistrierungen können nicht für alle
               Netzwerkadapter gefunden werden.
 
         Zusammenfassung der DNS-Testergebnisse:
 
                                            Auth. Bas. Weiterl. Entf.  Dyn.
            RReg. Erw.
            _________________________________________________________________
            Domäne: *.lan
               W2008SRV                     PASS FAIL PASS PASS WARN FAIL n/a
 
         ......................... *.lan hat den Test DNS nicht bestanden.

__________________

bearbeitet 18. Dezember 2013 von MoC88

[lefg 276]

Hallo,

 

ich vermisse das Wort Ereignisanzeige und ein paar Worte über Einträge darin?

 

Nachi den Ausgaben von dcdiag ist die Namensauflösung für mich hauptverdächig.

bearbeitet 18. Dezember 2013 von lefg

[MoC88 2]

Am Backupserver ist sehr häufig diese Meldung drin

Diese Verzeichnispartition wurde mindestens seit der folgenden Anzahl an Tagen nicht mehr gesichert.

Verzeichnispartition:
DC=ForestDnsZones,DC=*,DC=lan

"Sicherungslatenzintervall" (Tagen):
30

Es wird empfohlen, dass Sie eine Sicherung so oft wie möglich durchführen, um eventuell verloren gegangene Daten wiederherstellen zu können. Wenn Sie keine Sicherung seit der im "Sicherungslatenzintervall" festgelegten Anzahl an Tagen durchgeführt haben, wird diese Meldung jeden Tag protokolliert, bis eine Sicherung durchgeführt wird. Sie können eine Sicherung von jedem Replikat durchführen, das diese Partition enthält.<br />

Standardmäßig ist das "Sicherungslatenzintervall" auf die Hälfte des "Tombstone-Lebensdauerintervalls" festgelegt. Sie können den Standartwert des "Sicherungslatenzintervalls" ändern, indem Sie den folgenden Registrierungsschlüssel hinzufügen.

Registrierungsschlüssel für "Sicherungslatenzintervall" (Tagen):
System\CurrentControlSet\Services\NTDS\Parameters\Backup Latency Threshold (days)

 

Im DNS sind schon seit einiger Zeit keine Einträge mehr in der Ereignisanzeige. Im "Best Pracitce Analyser" sind folgende Fehler (siehe Bild)
<p><a href="http://www.dropbox.com/s/e7be5sac2yq9lis/DNS%20Best%20Practice.JPG">http://www.dropbox.com/s/e7be5sac2yq9lis/DNS%20Best%20Practice.JPG</a></p>

<p>Beim AD sind eine Menge Fehler (siehe Bild). Die SRV-Einträge die im DNS drin sind, beziehen sich wohl auf den Backupsrv. Unter den _msdcs Einträge steht er zumindest überall drin

<p><a href="http://www.dropbox.com/s/wlmi40fxndquv37/AD%20Best%20Practice.JPG">http://www.dropbox.com/s/wlmi40fxndquv37/AD%20Best%20Practice.JPG</a></p>

bearbeitet 18. Dezember 2013 von MoC88