FSMO-Rollen Verteilung / AD-Replikation / 2DC Probs

[Windowsazubi 0]

Hallo, liebes Forum, 

ich bin ganz frisch hier und habe eine Windows Server 12 Infrastruktur in meiner Schule stehen, welche ich als Schulprojekt führe.

Ich habe 2 Domaincontroller und mehrere WinSRV12 Server.

 

Bzgl. AD hätte ich mehrere Fragen:

1) Wie kann ich die FSMO-Rollen verteilen?

 

2) Welche Verteilung für diese wäre sinnvoll? 

Beide DCs sind GC was ich weiß, aber ich weiß nicht  wo man die FSMO Rollen generell verteilen würde? :(

 

3) Wie kann man die AD-Replikation zwischen den beiden DCs verändern im Sinne von Timern? Beide DCs replezieren voneinander wurde getestet durch AD-Objekte und DNS Einträge, jedoch muss ich immer 2-5min warten, wo kann ich den Replikationstimer einsehen?

 

4) Wenn der 1DC down ist und der 2aktiv ist können sich verschiedenste Useraccounts nicht mehr in der Domain anmelden:-( 

Ich bilde mir ein, dass das mal funktioniert hat :-/

 

Ich weiß, dass sind jetzt viele Fragen und diese sind nicht perfekt beschrieben, ich hoffe jedoch jemand kann damit was anfangen und mir Ratschläge/Tipps geben:-)

Wäre super wenn ich das fixxen könnte!

 

[NorbertFe 1.981]

Wenn man nicht weiß, wie man die fsmos verteilen soll, dann sollte man es auch nicht tun, sondern alle auf einem dc belassen.

 

Bye

Norbert

[Sunny61 804]

ich bin ganz frisch hier und habe eine Windows Server 12 Infrastruktur in meiner Schule stehen, welche ich als Schulprojekt führe.

Ich habe 2 Domaincontroller und mehrere WinSRV12 Server.

Ist das ein Test oder eine Live Umgebung?

 

Bzgl. AD hätte ich mehrere Fragen:

1) Wie kann ich die FSMO-Rollen verteilen?

Findest Du in diesen Artikeln: http://www.faq-o-matic.net/?s=fsmo+rollen 

2) Welche Verteilung für diese wäre sinnvoll? 

Beide DCs sind GC was ich weiß, aber ich weiß nicht  wo man die FSMO Rollen generell verteilen würde? :(

Gar nicht verteilen. ;) Ansonsten die Artikel hier lesen: http://www.faq-o-matic.net/?s=fsmo+rollen

3) Wie kann man die AD-Replikation zwischen den beiden DCs verändern im Sinne von Timern? Beide DCs replezieren voneinander wurde getestet durch AD-Objekte und DNS Einträge, jedoch muss ich immer 2-5min warten, wo kann ich den Replikationstimer einsehen?

Active Directory Standorte- und Dienste. Hier gibt es Artikel: http://www.faq-o-matic.net/?s=standorte+und+dienste

 

4) Wenn der 1DC down ist und der 2aktiv ist können sich verschiedenste Useraccounts nicht mehr in der Domain anmelden:-( 

Ich bilde mir ein, dass das mal funktioniert hat :-/

 

 

Zeig ein ipconfig /all von beiden DCs und von einem betroffenen Client.

[Windowsazubi 0]

Ist das ein Test oder eine Live Umgebung?

--> eine Testumgebung :-)

 

Findest Du in diesen Artikeln: http://www.faq-o-matic.net/?s=fsmo+rollen 

 

Gar nicht verteilen. ;) Ansonsten die Artikel hier lesen: http://www.faq-o-matic.net/?s=fsmo+rollen

--> Ok wenn ich sie nicht verteile sind alle FSMO-Rollen default am 1 beigetreten DC? :-)

 

Active Directory Standorte- und Dienste. Hier gibt es Artikel: http://www.faq-o-matic.net/?s=standorte+und+dienste

 

Zeig ein ipconfig /all von beiden DCs und von einem betroffenen Client.

--> Sobald ich morgen in der Schule bin, mache ich das, die Server befinden sich nämlich auf 3 geclusterten HP basierenden ESXi-Servern, und da lauft die ganze Virtualisierung..

ich bilde mir ein, dass es einmal funktioniert hat. Da ich das Projekt am Montag abgeben muss, habe ich eine Checkliste geschrieben und einer Der Punkte lautet: Clients können sich trotz 1ADDS(prim DC) in Domäne anmelden..das wollte ich dann sicherheitshalber nochmals teste als ich in der Schule war, und zack ging nicht mehr..wenn ich mich als Client anmelden wollte meinte er in der Art: diese Anmeldemethode ist nicht zulässig, melden sie sich bei ihren Administrator...obwohl der 2ADDS(sec DC) in Betrieb war..deswegen wollte ich die die Administrative Ereignisanzeige ansehen, nur diese konnte ich nicht öffnen da das Tool beim öffnen herummeckerte da der prim DC down ist :-(

[Daniel -MSFT- 129]

Ist denn der zweite DC auch als Global Catalog-Server konfiguriert? Wozu willst Du die Timer verändern - damit erhöhst Du nur die Replikationslasten?

[Windowsazubi 0]

@Daniel, Ja wenn ich das GUI Tool Active Directory Benutzer und Computer öffne  und in die Rubrik "Domain Controllers" klicke werden mir meine beiden Server adds.test.local und adds-2.test.local als GC markiert.

Ich dachte mir das die Replikationslast relativ gering wäre und ich so nicht so lange warten müsste (naja lange ist es ja nicht maximal 3-5min..wollte dies jedoch auf 1min runter schrauben, wenn ich den Timer verändern würde steigt die Last exponentiell an?) 

Danke schonmal für all die Antworten bringt mich einen Schritt weiter :-)

[lefg 276]

Eine Replikation ist bei Bedarf händisch einleitbar. Google nach repadmin!

4) Wenn der 1DC down ist und der 2aktiv ist können sich verschiedenste Useraccounts nicht mehr in der Domain anmelden:-( 

Ich bilde mir ein, dass das mal funktioniert hat :-/

 

Das mag ja sein.

 

Wurde schon in die Ereignisprotokolle geschaut?

 

Wurde schon dcdiag /q ausgeführt?

[Windowsazubi 0]

@lefg, ich habe UPDATES zu diesem Thread:  also sobald der 1ADDS also der prim. DC heruntergefahren wird können sich mittlerweile wieder verschiedene Useraccounts in die Domain anmelden, das funktioniert also.. mein prim DC hat die ip Adresse 192.168.10.1 und der sec die IP 192.168.10.11

 

der 1 DC: hat sich selbst als bevorzugten DNS Server und als alternativen den 2DC

der 2 DC: hat sich selbst 127.0.0.1 als bevorzugten DNS Server und als alternativen den prim DC.

dcdiag /a wurde auf beiden getestet..er sagt bei manchen Teilrubriken bestanden bei manchen nicht..^^

 

wenn der 1DC aktiv ist gibt es in der gesamten Domain keine Probleme..sprich nslookup funktioniert auf jede IPv4 Adresse welche innerhalb der domain ist..externe namensauflösung wird mittels Weiterleitung behandelt.. jedoch haben wir keinen Internetzugang..daher fällt das flach..wenn der 1DC down ist und der 2DC nun die Namensauflösung übernehmen sollte, funktioniert das ganze nicht mehr.. in der windows Ereignisanzeige habe ich dann bei der Administrativen Ereignissen jede Menge rote Fehlermeldungen.. ich habe deshalb unter Tools "Dienste" gestartet und "DNS-Server" neugestartet.. jetzt funktioniert gar nichts mehr..nichtmal der 2DC kann jz noch lokal auflösen.. bevor der Dienst beendet wurde konnte wenigstens dieser noch lokal auflösen!

alle Server haben als primären DNS-Server den 1DC und als alternativen den 2DC.. auf beiden DC ist ADDS installiert worden.. Replikation von eintragen funktioniert jedoch..

[Daniel -MSFT- 129]

Poste mal ein ipconfig /all von allen DCs und einem Client.

 

Wenn Du keinen Internetzugang hast, dann trägt man keine Weiterleitung ein, sondern konfiguriert eine Rootzone.

[lefg 276]

Hallo,

 

ich nehme mal an, Du bist daheim und nicht in der Schule?

 

Hast Du die IPConfigs der beiden DC present und kannst sie hier posten?

 

Hast Du die Ergebnisse von dcdiag /q analysiert?

 

Ist DNS auf beiden DC vorhanden und ist DNS im AD-integriert?

bearbeitet 3. Mai 2014 von lefg

[Daniel -MSFT- 129]

Und konfiguriere die DNS-Server auf den DCs überkreuz und sich selbst als zweiten DNS: http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

Hast Du bei den Clients auch beide DNS-Server eingetragen?

bearbeitet 3. Mai 2014 von Daniel -MSFT-

[Windowsazubi 0]

also ich bin daheim aber ich kann die ipconfig /a so circa auswendig im Kopf:

 

Bei meinen 1 DC also ADDS1:

IPv4-Adresse: 192.168.10.1

SNM: 255.255.255.0

Default Gateway: 192.168.10.254

Bevorzugter DNS-Server: 127.0.0.1

Alternativer DNS-Server: 192.168.10.11

--> besitzt nur eine NIC

 

Bei meinen zweiten DC also ADDS-2:

IPv4-Adresse: 192.168.10.11

SNM: 255.255.255.0

Default Gateway: 192.168.10.254

Bevorzugter DNS-Server: 127.0.0.1

Alternativer DNS-Server: 192.168.10.1

--> Besitzt nur eine NIC

 

Die Clients habe ich nicht statisch konfiguriert sonder via DHCP & DHCP-Failover im Modi Load Balancing.

IPv4-Pool: 192.168.100.5 - 192.168.100.15

SNM: 255.255.255.0

Default Gateway: 192.168.100.254

1 DNS-Server: 192.168.10.1

2 DNS-Server: 192.168.10.11

(die Client befinden sich in einen anderen Subnetz also nicht wundern warum die .100 haben)

 

Bzgl. -->Weiterleitung, ich habe diese daweil eingetragen wegen externer Namensauflösung und habe 3 DNS-Server eingetragen..den public google dns server und unsere Beiden Schul-Dns-Server..Mein Teamkollege ist für den Aufbau des Netzwerkes zuständig und sobald er mich ans Internet anschließt sollte das klappen (denke ich :P )

bei den dhcp-Clients wurden die DNS-Server eingetragen.

 

Nochmals so als kleinen Überblick: Meine 2 DCs funktionieren wenn sie beide aktiv sind. Wenn der 1 abgedreht wird und nur noch der 2 Server aktiv ist funktioniert die namensauflösung nicht mehr, obwohl beide Server ADDS als Serverrolle installiert haben sprich AD + DNS ( Replezierung der AD-Objekte & DNS-Einträge funktioniert)..ich schalte den 1 DC nur ab, weil meine Lehrer das so sehen wollen sozusagen als Test :/

 

Ich war gerade eben noch in der Schule, aber der Hauswart hat mich rausgeschmissen, weil ich ohne Betreuer nicht im Labor sein darf ( da will man arbeiten und kann nicht tztztz^^) Ich habe einige Scherens gemacht mit den Fehlermeldungen ich hoffe diese geben einen kleinen Einblick :

Wenn ich bei Tools auf Active Directory Standort  und Dienste Rechtsklick auf die Domäne mache und Domänencontroller ändern klicke sieht es wie folgt aus: http://de.tinypic.com/view.php?pic=qzltgp&s=8#.U2TSel5aJN4

der zweite DC steht als Status "nicht Verfügbar" was mich recht stutzig macht..

(Entschuldigung, dass das Bild aufeinmal verkehrt ist  :nene: )

 

Des weiteren wenn der 1 DC heruntergefahren wurde und ich am 2DC also den ADDS-2 in die Administrative Ereignisanzeige wechsle bekomme ich nur noch Fehlermeldungen wie: http://de.tinypic.com/r/15zqbee/8

 

Danke nochmals für alle Unterstützer :-)

Am Montag habe ich die Abnahme, eig steht alles, sprich File- & Druckserver, Exchange Server, DHCP-DHCPfailoverserver und mein IIS-Server..nur das AD buggt wiedermal rum jipie :schreck:

 

[lefg 276]

dcdiag /a wurde auf beiden getestet..er sagt bei manchen Teilrubriken bestanden bei manchen nicht..^^

 

Wesentlich zur Fehlersuche sind die nicht bestandenen Tests.

 

Ich schrieb deshal auch dcdiag /q

[Windowsazubi 0]

@lefg ..achmensch ich habe mich verlesen :-((

ich komm bis Montag leider nicht mehr zur Infrastruktur :-(

[Sunny61 804]

 

Bei meinen 1 DC also ADDS1:

IPv4-Adresse: 192.168.10.1

SNM: 255.255.255.0

Default Gateway: 192.168.10.254

Bevorzugter DNS-Server: 127.0.0.1

Alternativer DNS-Server: 192.168.10.11

--> besitzt nur eine NIC

Wie Daniel schon schrub, trag jeweils den anderen DC als ersten DNS ein, als zweiten den eigenen.

 

Nochmals so als kleinen Überblick: Meine 2 DCs funktionieren wenn sie beide aktiv sind. Wenn der 1 abgedreht wird und nur noch der 2 Server aktiv ist funktioniert die namensauflösung nicht mehr, obwohl beide Server ADDS als Serverrolle installiert haben sprich AD + DNS ( Replezierung der AD-Objekte & DNS-Einträge funktioniert)..ich schalte den 1 DC nur ab, weil meine Lehrer das so sehen wollen sozusagen als Test :/

Trag das so ein wie von Daniel und mir geschrieben.

 

Wenn ich bei Tools auf Active Directory Standort  und Dienste Rechtsklick auf

Dort kannst Du auch die einzelnen Sites aufklicken, und mittels Rechtsklick auf einen DC die Synchronisierung forcieren.

 

 

Am Montag habe ich die Abnahme, eig steht alles, sprich File- & Druckserver, Exchange Server, DHCP-DHCPfailoverserver und mein IIS-Server..nur das AD buggt wiedermal rum jipie :schreck:

Das AD ist hier nicht der Fehler, wie so oft ist der Fehler wo anders zu suchen. ;)