Neuer Domain-Controller - DNS/Login-Probleme?

[mh91 0]

Guten Tag,

 

am Anfang vorweg; ich bin ein Student der sich privat mit dem Windows-Server-Umfeld beschäftigt, jedoch kenne ich mich dementsprechend nicht in allen Bereichen so gut aus.

 

Bisher hatte im Netzwerk lediglich ein DC existiert. Zur Ausfallsicherheit habe ich einen weiteren hinzugefügt. Dieser soll als Globaler Katalog und DNS-Server dienen. Das replizieren hat soweit funktioniert. Wenn DC01 ausfällt kann ich über "Active Directory-Benutzer und -Computer" auf dem DC02 weiterhin alle Objekte einsehen und neue erstellen. Wenn der DC01 wieder online kommt werden neu angelegte/gelöschte Objekte erfolgreich repliziert.

 

Wenn der alte DC (DC01) offline ist, ist es jedoch nicht mehr möglich sich mit einem AD-Account irgendwo anzumelden:

- Es ist nicht möglich sich auf der VM des zweiten DC mit einem neuen User einzuloggen. (Es bleibt bei Benutzerprofildienst hängen)

- Ein Synology-NAS nutzt die Domäne, hier ist es ebenfalls so, dass wenn der alte DC offline ist der Login nicht mehr funktioniert

- Auf zwei Exchange-VM's kann man sich ebenfalls nicht mehr einloggen wenn der alte DC offline ist

Die Exchange-VM's und der NAS haben natürlich die beiden DC's als DNS-Server angegeben.

 

Im Internet habe ich verschiedene Hinweise bezüglich fehlerhafter DNS-Einstellungen etc. gefunden. Bisher konnte ich jedoch keinen Fehler feststellen.

 

DC01 hat als primären DNS-Server DC02

DC01 hat als sekundären DNS-Server DC01

 

DC02 hat als primären DNS-Server DC01

DC02 hat als sekundären DNS-Server DC02

 

Zudem existieren verschiedene Nameserver und A-Records wie auf dem beigefügtem Bild. (DC02 heißt DC02; DC01 heißt dort WIN-jo6sbm.....     ja vergessen Computername vor ein paar Jahren umzuändern... ;))

 

Eine Sache die ich auch noch nicht verstehe: Wenn ich auf DC02 bin und DC01 offline ist, ich aber die Domäne anpinge erhalte ich abwechselnd die IP von DC01 und DC02 (wie gesagt: DC01 ist offline: es kommt also dann zur Zeitüberschreitung)

 

Zudem zeigt dcdiag auf dem Bild, dass scheinbar auf DC02 etwas falsch aufgelöst wird.

"Achtung: Bei dem Versuch, DC02 zu erreichen, wurden von DSGetDcName Informationen für \\WIN-JO6SBM.. (dies ist DC01) zurückgegeben"

 

Habe allerdings wie gesagt in den DNS-Einstellungen nichts gefunden.

 

Ich hoffe ihr könnt mir bei dem Problem weiterhelfen.

 

http://imgur.com/a/rGZc3

 

 

MfG

bearbeitet 4. November 2016 von mh91

[daabm 1.348]

Nur so als Tip: Kennst Du schon "clip"?

Das mit nslookup domain ist kein Fehler - da kriegst Du round robin die IP-Adressen aller DCs zurück.

Was passiert denn bei folgenden Befehlen?

nltest /dclist:
nltest /dsgetdc:
nltest /server:dc1 /dsgetdc:
nltest /server:dc2 /dsgetdc:
dsquery server

(Ja, hinter den ":" steht nichts mehr...)

 

Und eine Bitte: Ich hab nen 1600x1200 Monitor - Dein Screenshot ist dafür viel zu groß... Benutze Clip :)

[Sunny61 806]

Ist denn der neue DC auch schon Globaler Katalog?

 

Und ja, Du kannst natürlich jetzt ein DC umbenennen. Nach der Umbenennung natürlich neu starten und das DNS und Standorte und Dienste beobachten, bzw. auch mal manuell etwas anschieben. Wenn Du das am Freitag machst, sollte über Nacht alles in Ordnung sein.

[NilsK 2.930]

Moin,

 

in der Tat lässt sich dein Screenshot praktisch nicht lesen. Ich meine aber erkannt zu haben, dass der Test "Advertising" für DC02 fehlgeschlagen ist. Das kann mehrere Ursachen haben. Eine davon sind verwaiste DC-Objekte. Hattest du vielleicht vorher schon mal versucht, einen DC namens DC02 zu installieren?

 

Bevor wir jetzt lange troubleshooten: Es handelt sich ja vermutlich um eine Testumgebung. Ich würde den DC02 plattmachen und alle Verweise darauf aus dem AD sowie aus DNS löschen. Auch unter "AD-Standorte und -Dienste" löschen. Dann würde ich den Server als DC03 neu installieren (um erneute Namensprobleme zu vermeiden). Sofern die DNS-Einstellungen korrekt sind, sollte es dann funktionieren.

 

Gruß, Nils

[mh91 0]

Hi,

 

vielen Dank für die Antworten.

 

Ich habe jetzt den DC02 mal komplett entfernt und einfach einen neuen DC03 erstellt. Ich habe bei dem Erstellvorgang neben DNS-Server auch wieder Globaler Katalog aktiviert. Jedoch ist immer noch das selbe Problem vorhanden, dass wenn der alte DC offline ist man sich nirgends (auch auf dem neuen DC03 mit neuen Usern) einloggen kann (Warte auf Benutzerprofildienst). Fahre ich den alten DC wieder hoch funktioniert der Login umgehend überall wieder.

 

Folgende Befehle wurden alle auf dem neuen DC03 ausgeführt:

C:\Users\Administrator.Platzhalter>nltest /dclist:
Liste der Domänencontroller (DCs) in Domäne '' von '\\WIN-JO6SBM9F53V.Platzhalter.de' abrufen.
    WIN-JO6SBM9F53V.Platzhalter.de [PDC]  [DS] Standort: Default-First-Site-Name
               dc03.Platzhalter.de        [DS] Standort: Default-First-Site-Name

C:\Users\Administrator.Platzhalter>nltest /dsgetdc:
           Domänencontroller: \\WIN-JO6SBM9F53V.Platzhalter.de
      Adresse: \\192.168.2.200
     Domänen-GUID: d9236b64-62b4-4ff6-9941-
     Domänenname: Platzhalter.de
  Gesamtstrukturname: Platzhalter.de
 DC-Standortname: Default-First-Site-Name
Unserer Standortname: Default-First-Site-Name
        Kennzeichen: PDC GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8
Der Befehl wurde ausgeführt.

dsgetdc liefert den anderen DC?

C:\Users\Administrator.Platzhalter>nltest /server:win-jo6sbm9f53v /dsgetdc:
           Domänencontroller: \\WIN-JO6SBM9F53V.Platzhalter.de
      Adresse: \\192.168.2.24
     Domänen-GUID: d9236b64-62b4-4ff6-9941-
     Domänenname: Platzhalter.de
  Gesamtstrukturname: Platzhalter.de
 DC-Standortname: Default-First-Site-Name
Unserer Standortname: Default-First-Site-Name
        Kennzeichen: PDC GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8
Der Befehl wurde ausgeführt.

C:\Users\Administrator.Platzhalter>nltest /server:dc03 /dsgetdc:
           Domänencontroller: \\WIN-JO6SBM9F53V.Platzhalter.de
      Adresse: \\192.168.2.200
     Domänen-GUID: d9236b64-62b4-4ff6-9941-
     Domänenname: Platzhalter.de
  Gesamtstrukturname: Platzhalter.de
 DC-Standortname: Default-First-Site-Name
Unserer Standortname: Default-First-Site-Name
        Kennzeichen: PDC GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8
Der Befehl wurde ausgeführt.

C:\Users\Administrator.Platzhalter>dsquery server
"CN=WIN-JO6SBM9F53V,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Platzhalter,DC=de"
"CN=DC03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Platzhalter,DC=de"

Sind also Einstellungen im DNS-Server falsch? Nach was könnte ich da Ausschau halten? Es existieren (In der Forward-Lookupzone der Domäne) 2 Host (A)-Einträge für die Hauptdomain auf die beiden IP-Adressen der DC's und zwei Nameserver-Einträge wobei bei beiden Einträgen beide DC's eingetragen sind, jedoch in jeweils unterschiedlicher Reihenfolge.

 

Zudem muss ich leider sagen, dass mit 'Clip' nichts sagt.

 

MfG

[NorbertFe 2.027]

Clip sollte dir sagen, Textausgaben in der cmd in die Zwischenablage zu kopieren, damit du nicht überflüssige Screenshots brauchst.

[blub 115]

ich kanns mangels Testumgebung mit 2 DCs nicht nachbauen:

merkwürdig finde ich, dass laut Ausgabe von dsgetdc beide DCs das "PDC"-Flag gesetzt haben.

Kennzeichen: PDC GC DS...

[mh91 0]

Sowie ich das sehe bekomme ich bei dsgetdc "immer" den gleichen DC (unzwar den ersten DC mit dem Namen WIN-JO6SBM9F53V) zurückgegeben. Daher steht dort auch immer PDC -> weil es immer derselbe (unzwar der wirkliche PDC) ist.

bearbeitet 7. November 2016 von mh91

[zahni 550]

 WIN-JO6SBM9F53V?  Echt jetzt?

Hast Du den Computernamen nicht geändert?

[mh91 0]

Wie ich schon in meinem ersten Post geschrieben hatte: Ich bin Student, beschäftige mich gerne (relativ neu) mit dem Windows Server Umfeld und hatte bei dem ersten DC (als ich praktisch noch keine Erfahrung mit AD hatte) vergessen den Namen umzuändern. Fehler passieren (schon klar das solche Fehler nicht passieren sollen/dürfen) und ja ich ändere es demnächst; ist aber momentan für mich nicht relevant weil verschiedene Zertifikate dann ebenfalls geändert werden müssen.

 

MfG

bearbeitet 7. November 2016 von mh91

[mh91 0]

Hi,

 

hat hier jemand noch einen Tipp? Gibt es eine Möglichkeit den DNS-Server zu rebuilden damit alles wieder auf Standardeinstellungen ist und "normal" funktionieren sollte?

 

MfG

[Reingucker 3]

Gibt es eine erfolgreiche Replikation zwischen den DC?

 

https://technet.microsoft.com/en-us/library/cc794749(v=ws.10).aspx

 

Auch mal nachschauen auf dem DC02 ob die DNS-Partition auf ihm zu erreichen ist. Also auf dem DC02 das AD abfragen und schauen ob der eine DNS-Partition hat.

 

http://www.it-zeugs.de/active-directory-und-dns-partitionen-verstehen.html

bearbeitet 5. Dezember 2016 von Reingucker

[0lli 0]

Schau mal mit net share auf dem neuen DC ob SYSVOL und NETLOGON da sind. Hört sich so an, als wäre die Erstsynchronisation des AD nicht gelaufen.

Check auch mal ob der netlogon Dienst läuft und welches Netzwerkprofil in den Netzwerkeinstellungen angezeigt wird. Wenn das auf Privat oder Öffentlich steht, wird das nix. Dann also DNS Einstellungen in der TCP/IP überprüfen und ggf. mal NLASVC neu starten.

 

EDIT: dcdiag durchlaufen lassen und gucken ob der PDC Emulator sauber ist, dann wäre w32time auf dem primären DC noch ein Kandidat. Liegen alle Betriebsmasterrollen auf dem primären DC und laufen? KCC ok?

bearbeitet 13. Dezember 2016 von 0lli