AD integrierten DNS Zonentransfer

[speer 19]

Hallo zusammen,

im Moment finde ich den Wald vor lauter Bäumen nicht. In einer AD 2012 Umgebung mit AD DNS integrierten Zonen soll eine sekundäre Zone quasi als Backup fungieren. Auf einem 2012 Server die DNS Rolle installiert. auf diesem Server neue sekundäre Zone erstellt. Versucht bei einem AD Kontroller diesen 2012 als Nameserver zu hinterlegen. Dabei kommt die Meldung: "the server with this IP address is not authorative for the required Zone".

Jetzt die saublöde Frage, ich verstehe die Fehlermeldung. Doch wo trägt man im DNS dies ein?

[NorbertFe 2.097]

Im AD kannst du keine sekundäre Zone anlegen. Und wozu willst du nen Zonentransfer der AD Zone auf einen Memberserver durchführen? Das was vorher "sicher" war unsicher machen? ;)

bearbeitet 28. September 2016 von NorbertFe

[speer 19]

Hintergrund der Sache ist ein kleines Unglück in der Firma. Ein Kollege hat bei einem AD Server (2008R2) das SP1 eingespielt. Beim Neustart blieb der Server hängen. Auch nach zig Neustarts keine Besserung. Weil keine Linderung kam, entschied er sich auf die zuletzt funktionierende Stand zu gehen. Der Server kam prompt wieder hoch doch mit einem unkonfigurierten DNS! Dank funktionierender AD Replikation machte es kurz rums und der Laden stand.

Zum Glück gab es ein funktionierendes Backup.

Jetzt möchte der IT-Leiter unbedingt einen DNS Server der quasi als Backup Server nur Daten annimmt. Mit dem obigen Szenario bei einem Windowsupdate hatte niemand gerechnet.

[NorbertFe 2.097]

Naja, und das SP1 ist ja total aktuell. Ich würd mir ja eher Gedanken darum machen, warum euer Recovery nicht sinnvoll funktioniert hat, sondern "Rums der Laden stand". Jetzt einen buckligen Workaround für ein sinnvoll lösbares Problem zu basteln, halte ich für keine zielführende Lösung.

 

Bye

Norbert

[magheinz 110]

Das bedeutet ihr habt einen restore eines DC gemacht obwohl es noch andere, funktionierende DCs in der Domäne gab?

[NilsK 2.969]

Moin,

 

zumal das SP1 für 2008 R2 bekannt dafür ist, dass es schon mal "ewig" dauert. Vielleicht hätte etwas mehr Warten ausgereicht ...

 

Gruß, Nils

[magheinz 110]

Das Szenario hätte so halt nicht stattfinden dürfen.

Ich wurde da eher für einen entsprechenden Satz im Betriebshandbuch, doku oder wo auch immer sorgen: "kein restore iems dc solange noch ein funktionierender läuft."

Nicht jedes Problem muss technisch gelost werden. Manchmal ist eine organisatorische Lösung besser...

[Doso 77]

Ihr habt nicht wirklich einen DC aus dem Backup geholt obwohl ihr noch funktionierende DCs hattet? Da ist nicht funktionierendes DNS wohl noch das geringste Problem...

 

Wenn das noch akut ist solltet ihr da mal Profis (Microsoft Support) hinzuziehen.

[speer 19]

Hallo zusammen,

wie bereits geschrieben, war nach dem fehlgeschlagenen Servicerpack und reboot des 2008R2 Servers der DNS Server leer. Alle Zonen weg, somit funktioniert keine Namensauflösung mehr, keine Dienste, keine Aliase, etc! Warum auch immer replizierten sich die anderen DC aber von diesem einen Server. Somit war innerhalb von 5 Minuten der komplette Betrieb lahmgelegt. Eine Zonensicherung über dnscmd existierte nicht. Keines der Desaster Szenarien behandelte bei uns solch einen Fehler.

Die AD Wiederherstellung war fix erledigt da wir alle 6 Monate dies üben müssen.

Die Idee mit dem Standalone DNS Server kam aufgrund des 24/7 Betriebs. Die IT ist halt nur von 7:30 - 18 Uhr besetzt.

bearbeitet 28. September 2016 von speer

[NorbertFe 2.097]

Dann war eure fixe Wiederherstellung eben falsch. ;) ich bleibe bei meiner Aussage.

[Doso 77]

Dann ist eure Wiederherstellung schlicht falsch gemacht worden und all die Übung war hier umsonst. Da hilft jetzt auch kein Standalone DNS Bastelei etwas.

 

Wieso hat man eigentlich alle 6 Monate Disaster Recovery Übungen, aber gleichzeitig kein SP1 auf den Servern? Das find ich irgendwie merkwürdig.

bearbeitet 28. September 2016 von Doso

[speer 19]

Hallo zusammen,

die Serverversion wird uns vom Softwarehersteller vorgeschrieben. Die Wiederherstellung löste im übrigen das Problem, es existiert also nicht mehr! Firma läuft wieder rund und fehlerfrei. Das Ereignis liegt jetzt ca. 1 Woche zurück.

Aufgrund der Industrie-Maschinen ist es wichtig mögliche Ausfälle gering zu halten. Somit müssen bei uns Wiederherstellungen durch min. >2 Personen im bestimmten Intervall geübt werden.

[Dunkelmann 96]

Moin,

 

schön das der Betrieb wieder läuft.

Anstatt in Aktionismus zu verfallen und am DNS rumzuwerkeln, würde ich etwas Mühe in eine RCA investieren.

 

Einen DC aus einem Backup oder auch einem Snapshot wiederherzustellen _kann_ funktionieren. Das ist jedoch kein Garant für ein integeres AD; die Nebenwirkungen zeigen sich u.U. erst zu einem späteren Zeitpunkt.

Vielleicht war das fehlgeschlagene SP1 eine Nebenwirkung vorheriger (Test-)Recoveries? Habt ihr darüber schon einmal nachgedacht?

[NilsK 2.969]

Moin,

 

Ihr habt nicht wirklich einen DC aus dem Backup geholt obwohl ihr noch funktionierende DCs hattet?

 

das allein wäre kein Problem, solange es sich um ein Non-Authoritative Restore handelt.

 

Gruß, Nils

[NorbertFe 2.097]

Womit wir wieder bei "falsch" wären. ;)