Jump to content

Hyper V Replica - Failover für AD / DC (PDC ) ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mittlerweile zeigt jeder DNS Server erst auf sich und dann auf den "Partner", also den anderen DNS Server . Hatte ich bereits umgestellt so das der jeweilige DNS Server erst auf seinen Partner und dann auf sich selbst verweist. BPA ist glaube ich erst auf den anderen dann auf sich selbst - aber da herrschen wohl unterschiedliche Ansichten im "Netz". Hab jedenfalls beides bereits probiert. Was ist denn deine Empfehlung dazu ? 

 

Du kannst Dir die Screenshots weiter oben ansehen - das siehst du das

bearbeitet von r-t-b
Link zu diesem Kommentar

Mittlerweile zeigt jeder DNS Server erst auf sich und dann auf den "Partner", also den anderen DNS Server . Hatte ich bereits umgestellt so das der jeweilige DNS Server erst auf seinen Partner und dann auf sich selbst verweist.

Wenn das der Default ist, dann solltest du es umstellen. ich dachte eher an die Tatsache, wenn der eine DC nicht erreichbar ist, dann umstellen und den funktionierenden DC als 1. DNS eintragen. Reboot. Jetzt probieren.

 

 

BPA ist glaube ich erst auf den anderen dann auf sich selbst - aber da herrschen wohl unterschiedliche Ansichten im "Netz". Hab jedenfalls beides bereits probiert. Was ist denn deine Empfehlung dazu ?

Wenn Du nur auf den eigenen zeigst, hast Du einen Insel. 

Link zu diesem Kommentar

Moin,

 

ich meinte, dass du in nslookup explizit den einen oder den anderen DNS-Server angeben sollst. Deine bisherigen Ausgaben haben immer denselben Server gefragt.

Ruf dazu "nslookup" ohne Parameter auf, dann gibt mit "server 1928.168.1.x" den jeweils gewünschten Server an. Dann mach die Abfragen.

 

Die DNS-Zone ist als "Active Directory-integriert" eingerichtet?

 

Die FSMO-Rollen der DCs haben mit der normalen Funktion nichts zu tun und beeinflussen nicht die Redundanz.

 

Ist auf dem zweiten DC evtl. die Windows-Firewall falsch konfiguriert? Verändert sich das Verhalten, wenn du testweise alle Windows-Firewalls abschaltest?

 

Wie ist der vSwitch in Hyper-V konfiguriert?

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Wenn das der Default ist, dann solltest du es umstellen. ich dachte eher an die Tatsache, wenn der eine DC nicht erreichbar ist, dann umstellen und den funktionierenden DC als 1. DNS eintragen. Reboot. Jetzt probieren.

 

 

 

Wenn Du nur auf den eigenen zeigst, hast Du einen Insel. 

Also - ich denke - wenn der eine DNS Server nicht erreichbar ist dann wird der nächste abgefragt - so sollte das funktionieren. Andernfalls macht die Eintragung mehrerer DNS Server wenig Sinn.  Das sollte schon automatisch klappen....aber bitte ich probiere das - aber das kann´s ja auch nicht sein. Wenn der Client startet weis der ja von dem Ausfall nichts - fänd ich ziemlich aufwendig dann erst auf jedem Client den DNS Server zu ändern - na für unseren Test ist das natürlich kein Ding.

Wenn Du nur auf den eigenen zeigst, hast Du einen Insel. 

Das tue ich ja nicht - alternativ ist ja der andere DNS eingetragen - aber auch hier sage ich : kein Problem mache ich ( hab ich schon gemacht - Ergebnis gleich null ) . Okay aber: Ich mach das

Danke

Link zu diesem Kommentar

Moin,

 

ich meinte, dass du in nslookup explizit den einen oder den anderen DNS-Server angeben sollst. Deine bisherigen Ausgaben haben immer denselben Server gefragt.

Ruf dazu "nslookup" ohne Parameter auf, dann gibt mit "server 1928.168.1.x" den jeweils gewünschten Server an. Dann mach die Abfragen.

 

Hallo Nils, ich beantworte gleich hier : vorab DANKE !!!

Hab ich und mach ich auch ständig so richtig "old School" auf jeden angemeldet - von jedem aus immer wieder gegenseitig gepingt - nslookup ausgeführt anderen DNS Server abgefragt - Client abgefragt  - repadmin/showreps -dcdiag-

alle diese Dinge prüfe ich fortwährend - ich kann, solange beide Server laufen in alle Richtungen von jedem Server aus korrektes Verhalten bzgl. DNS feststellen - ich denke wir haben hier definitiv kein Problem mit der Erreichbarkeit / Namensauflösung.

Die DNS-Zone ist als "Active Directory-integriert" eingerichtet? - Natürlich !!!!!

 

Die FSMO-Rollen der DCs haben mit der normalen Funktion nichts zu tun und beeinflussen nicht die Redundanz.

Aha - also kann man sich auch an einer Domäne anmelden wenn es keine FSMO Halter gibt? Dann frag ich mal ganz dämlich wie das geht? Ich lernte ( nur angelesen natürlich ) das die FSMO notwendig seien...hier nehmen wir doch mal exemplarisch den PDC Emulator......da heißt es doch "der PDC Emulator muss ständig erreichbar/ verfügbar sein" . Ganz ehrlich Nils - ich hab da vom Grundsatz her irgendwas nicht mitgekriegt - wie geht denn das - der zweite DC bekommt über die Replikation doch keine Zuweisung FSMO, richtig ? Vielleicht kannst Du mir ja ein Buch dazu empfehlen wo das genau erklärt wird - bei den MS-Press Büchern steht das so genau nicht drin. 

 

Ist auf dem zweiten DC evtl. die Windows-Firewall falsch konfiguriert? Verändert sich das Verhalten, wenn du testweise alle Windows-Firewalls abschaltest?

Das kann ich nicht beantworten - das probiere ich aber gerne aus . Auch hier: vielen Dank

 

Wie ist der vSwitch in Hyper-V konfiguriert? -

Kannst Du deine Frage etwas spezifizieren - nix Besonderes / Standard - über den HV-Manager 

 

Sag Nils - kann es nicht möglich sein das dieses Problem aus der Historie des ursprünglichen 2008R2 DC stammt? Oder aus dem Umstand das ich den ja per Export und Neuanlage (nicht Import) in Hyper-V gebracht habe?

Kannst Du mir bitte noch einmal ganz klar sagen wie das normale Verhalten ist? Ist es so das normalerweise so das auch bei Ausfall des DC der alle FSMO hält völlig problemlos alles weiterläuft solange ich einen weitern DC verfügbar habe?

 

Gruß, Nils

 

Gruß zurück , Thomas

 

 

Ist das eine Testumgebung oder eine Produktiv Umgebung?

Wie viele AD Umgebungen hast du schon aufgebaut?

 

Evtl. würde ich die Umgebung neu installieren.

Hallo - vielen Dank für deine Antwort.

Zu deinen Fragen: Das ist eine Produktivumgebung !! :jau:

  :cool:  neee. nur Spaß . Das ist selbstredend eine Testumgebung  - so nen Affen würde ich produktiv nicht machen. Aber das Ganze ist einer Produktivumgebung entnommen, bzw. nachgestellt.

Oha warte mal - also ein paar waren es schon in den letzten 15 Jahren, allerdings keine sehr komplexen AD Umgebungen, alles so im Bereich bis 50 User etwa, keine Umgebungen mit mehr als zwei DC wenige mit mehreren Standorten.

Allerdings habe ich das hier vorgestellte Szenario bisher weder erlebt noch diesen Fall zuvor einmal simuliert. Erschreckend was???

Das alles kam nur zustande weil ich gelesen habe das die Hyper-V Replica Funktion "Ausfallsicherheit für kleinere Umgebungen" gewährleisten könne. Zugegeben ich habe wenige Installationen mit mehreren DC´s und Replikation draußen. Das liegt einfach in den verfügbaren Budgets begründet - zudem habe ich trotz ständigem Gemecker und all der Lobeshymnen auf mindestens zwei DC je Domäne nie Probleme gehabt - auf jeden Fall aber weniger als mit diesem Szenario.

Ich wäre sehr dankbar wenn mir mal jemand vernünftig den Sinn der Replikation erklären könnte - zudem den Vorteil - wenn denn der erste DC wirklich mal die "Grätsche" macht.

Ach so - ja klar kann ich die Umgebung neu aufbauen - ist kein Ding. Werde ich ohnehin nochmal komplett neu machen um eine Referenz zu haben.

Im Übrigen: Mir geht es hier nicht zwanghaft darum dieses eine Ding zu klären - vielmehr geht's mir darum grundsätzlich mal abzufragen was es nun tatsächlich mit der Replikation im Falle eines Falles auf sich hat, da die vielen "Fachkompetenzen" und die umfangreiche  "Fachliteratur"  die tollsten "Offenbarungen" bereit halten. Das ist für mich teilweise hochgradig widersprüchlich - gerade das Thema Replikation - immer wieder als das Maß der Dinge zur Redundanz der AD daherkommend - in Verbindung mit den FSMO Haltern, die ja notwendig sind -  eröffnet sich mir nicht. Wenn ein Replikationspartner keine FSMO hält und alle Rolleninhaber ( in kleinen Umgebungen eben der erste DC) nicht mehr verfügbar ist - wie wird dann die Redundanz  , bzw. reibungslose Funktion der Umgebung / Domäne erreicht ? 

Wo liegt mein Gedankenfehler ????   

Gruß

Thomas

bearbeitet von r-t-b
Link zu diesem Kommentar

Lieber Thomas,

 

mal ganz ehrlich - ich schätze einen informellen Umgangston. Da wir uns hier aber in einem technischen Troubleshooting-Prozess befinden, wäre es nett von dir, wenn du deine Beiträge so formulierst, dass man eine Chance hat, sie nachzuvollziehen. Vor lauter Kraftausdrücken und Ausrufezeichen findet man bei dir den Inhalt kaum wieder. Das ist jetzt das zweite Mal, dass ich dich darauf aufmerksam mache. Bitte gib uns eine Chance.

Zudem: Wenn wir dir Fragen stellen, dann haben die einen Hintergrund. Wir wollen dich nicht bloßstellen oder so, sondern im Gegensatz zu dir kennen wir die Umgebung nicht und sitzen nicht davor.

 

Was die Betriebsmaster/FSMO angeht: Die hast du offenbar gründlich missverstanden. Es gibt für nahezu alle Vorgänge im AD keine Abhängigkeit von einem bestimmten DC. Das ist ja gerade der Witz an der Multi-Master-Replikation. Sind die Betriebsmaster nicht erreichbar, dann stört das im Tagesbetrieb praktisch überhaupt nicht. Siehe hierzu:

 

[AD: Betriebsmaster-Ausfall – was tun? | faq-o-matic.net]
http://www.faq-o-matic.net/2010/09/09/ad-betriebsmaster-ausfall-was-tun/

 

Zu deinen Grundlagenfragen: Wirklich, das ist in einem Forum nicht zu leisten. Investiere etwas Zeit und Recherche, dann wirst du Informationen zu den Grundlagen finden.

Wie schon mehrfach erwähnt, ist das Normalverhalten, dass Clients es nicht bemerken, wenn einer von mehreren DCs ausfällt. Genau darum hat man ja mehrere. Da das bei dir nicht funktioniert, machen wir uns ja hier den Aufwand.

 

Wenn du deinen DC tatsächlich per Export/Import erzeugt hast, kann das tatsächlich ein Grund für die Fehler sein. Sowas sollte man nicht tun. In solchen Fällen ist es z.B. oft so, dass die Netzwerkkarte und deren Konfiguration aus der ursprünglichen VM noch im System vorhanden sind. Durch das Neuerzeugen auf Basis des Exports hat die neue VM eine neue Netzwerkkarte, die sich aber manchmal mit der Konfiguration der alten Karte nicht verträgt.

 

Da es sich um eine Testumgebung handelt, ist meine Empfehlung: Mach die platt und setze sie koordiniert neu auf. Ohne VM-Exporte, VM-Kopien, VM-Vorlagen oder was auch immer.

 

Gruß, Nils

Link zu diesem Kommentar

Okay - vielen Dank. Das ist angekommen- das klärt meine grundsätzliche Fragestellung. Habt Dank.

Entschuldigt meine vielen, umständlichen Worte. tut mir Leid - ich will es euch bestimmt nicht unnötig schwer machen. Nur Fragen muss ich halt - wie du richtig sagst, die haben einen Grund.  

Gut - ich bin ebenfalls der Auffassung das die festgestellten Problem mehr in der Historie zu suchen sind. Einigen wir uns darauf das ich das Szenario komplett neu aufbaue und dann erneut wie gehabt teste.

Ich möchte mich noch einmal recht herzlich bei allen bedanken - und hoffe darauf das ich auch weiterhin hierzu berichten bzw. fragen darf.

 

Gruß an alle

Thomas


So Nils - nun noch ein Wort speziell an Dich - 

Der Beitrag (bei faq-o-,matic) ist absolut aufschlussreich. So hätte ich das gerne mal vorher irgendwo gelesen.  

Prädikat: absolut wertvoll. 

Noch 100 Punkte auf der Sympathieskala ! (richtig das verdient ein Ausrufezeichen)

Gruß

Thomas

Link zu diesem Kommentar
  • 2 Wochen später...

Hallo zusammen.

Leider hat es ein bissl gedauert bis ich dazu gekommen bin das o.g. Szenario  noch einmal komplett - mit "jungfräulich" installierten Systemen bereitzustellen und

alles durchzutesten - halt wie oben beschrieben.

Das ist jetzt geschehen und dich darf sagen mit umwerfendem und überzeugendem Erfolg.

Alles - aber auch wirklich alles klappt absolut reibungslos. Sogar ein Failover bei Totalausfall ( simuliert ) aller DC´s ist anstandslos möglich. Alles läuft wie am schnürchen.

Wie ich bereits vermutete - irgendetwas ist in der ursprünglichen Konfiguration gehörig daneben gegangen. Ich konnte das aber wie gesagt im normalen Betrieb nur daran erkennen das  

es auf keinem weiteren DC die Freigaben "sysvol" und "netlogon" gab - ansonsten schien es das alles toll funktionierte.

Nun habe ich die vermisste Freigabe auch auf dem zweiten DC und ich kann sagen das wirklich alle denkbaren Szenarien mit dem gewünschten Ergebnis abschließen.

Geht doch nichts über eine solide Neuinstallation.

An dieser Stelle noch einmal vielen Dank an alle die sich mir hier angenommen haben und mich so fantastisch unterstützt haben.

Bis bald also .....

Thomas

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...