Windows Server 2016 AD und Replikation einrichten?

[fireblade2000 11]

Hallo zusammen,

 

ich verzweifel gerade mal wieder. Ich richte gerade in einem Testnetz auf unserer VM-Ware ein ganz normales AD mit zwei DCs ein. Klappt nicht. Ich hab das jetzt schon 100erte mal gemacht und jetzt scheitere ich gleich am Anfang und weiß nicht warum. Es ist das erste reine 2016er Testnetz, vielleicht fehlt mir hier der Trick!?. Mittlerweile habe ich schon zum dritten Mal komplett neuinstalliert und lasse nun sogar alles erstmal auf Standard, lande aber immer wieder beim gleichen Endergebnis.

 

1. Installation zweier Server 2016 Standard

2. zur Sicherheit erstmal alle Updates laufen lassen.

3. Jeweils ne feste IPv4 eintrage (aber ohne Gateway)

3. Server 1 nun per Servermanager zum AD hochstufen mit automatischer DNS-Server Installation

4. DNS, DFRS, AD, Logs prüfen, alles i.o.

5. Server 2 zur Domäne hinzufügen

6. Server 2 hochstufen

7. Ab hier Problem: nach Neustart keine Replikation möglich. Standard DSA Fehlermeldung wenn man Repadmin /replsum eingibt. Finden sich nicht

 

Ich versteh nicht warum. Jemand ähnliches gehabt oder einen heißen Tipp?

 

Einzig was mir auffählt, sobald Server 1 grundinstalliert ist, sieht der DNS Server komisch aus. Vermutlich hier schon das Problem? Ich weiß aber nicht woher das kommt, da absolut nix händisch konfiguriert wurde und nur per ServerManager der Standard abgelaufen wurde.:

 

Im DNS stehen an vielen stellen, anstatt dem Domainname oder des DCs nur Nummern!? Noch nie sowas gesehen. Eben diese Verbindung wird dann auch später beim repadmin /replsum angemeckert....

 

Ich weiß grad nicht weiter.... hoffe nur, dass hier das schonmal jemand hatte und weiß woher diese DNS Phänomen kommt. Besonders da, bevor der zweiter Server hochgestuft wird, auch jegliche DNS Anfragen funktionieren... trotz dieser komischen Nummern im DNS-Server

 

kleines EDIT: Kann mir zwar nicht vorstellen, dass es damit was zu tun hat, aber ich als Hyper-V jünger arbeite das erste mal mit nem ESXi Server (als ich hab den nicht eingerichtet, sondern arbeite nur damit). Hab hier komischerweise nach neuinstallation das Problem, das ich erstmal keine feste IP Adressen vergeben kann und hier nach WSUSPraxis Anleitung, dass erstmal grade biegen muss. Kannte ich bis dato auch noch nicht das Phänomen der AutoIP: http://www.wsuspraxis.de/windows-server-bekommt-apipa-trotz-fester-ip-adresse/

 

Alles irgendwie komisch, dass kann doch nicht nur an mir liegen...  :confused: 

[NilsK 2.930]

Moin,

 

lass den ersten DC mal die Namenseinträge neu generieren:

ipconfig /registerdns && net stop netlogon && net start netlogon

Stehen nun die erwarteten Einträge im DNS? Wichtig natürlich, dass der DC auch bei sich selbst im DNS nachsieht, ebenso auch der zweite. Geändert hat sich mit 2016 natürlich nichts, der Fehler muss also woanders liegen.

 

Gruß, Nils

[XP-Fan 216]

Hi,

 

hast du die VMWare Tools installiert ?

[fireblade2000 11]

Danke,

 

teste ich gleich. Hoffentlich liegt der Fehler doch irgendwie bei mir, dann müsste man es ja finden... :-)

 

Was mir noch auffällt ist, dass öfters bei nem Ping die selbstgenerierte IPv6 zurück kommt.

 

Muss man seit 2016 bzgl. IPv6 etwas einstellen, wenn man es nicht aktiv nutzt?

 

VMware Tools sind installiert, hier steht interessanter weiße auch die IPv6 an erster Stelle

 

 

also durch das RegisterDNS hat sich im DNS-Manager leider nichts verändert. Die hex-Nummereinträge sind weiterhin da.

bearbeitet 25. Dezember 2017 von fireblade2000

[NorbertFe 2.027]

Trag doch mal ein Gateway ein. Wäre nicht das erste mal, dass sich Windows dann anders verhält.

[fireblade2000 11]

Stimmt, das hatte ich ja erst bei Exchange und Outlook im anderen Testnetz.

 

Jetzt wird aber doch erstmal ein wenig Weihnachten mit Familie gefeiert.... essen steht gleich auf dem Tisch.

 

Weitere Tipps gerne posten. Ich melde mich dann wieder und danke an Euch wie immer.

 

Euch noch schöne Weihnachten

bearbeitet 25. Dezember 2017 von fireblade2000

[fireblade2000 11]

So bin nochmal zum Anfang zurückgerollt: DC 1 bevor er hochgestuft wird zum ersten DC

 

- Gateway eingetragen

- Desktopfirewall erstmal komplett deaktiviert

 

Dann zum DC hochgestuft. Gleiches Spiel. DNS-Manager zeigt wieder die Einträge mit den hexZahlen.

 

Einen Eintrag im Ereignisprotokoll konnte ich finden, der zumindest genau in den Bereich passt. Weiß aber aktuell nicht ob der beim Installieren normal sein kann:

 

Ereignis ID: 1014

Quelle: DNS Client Events

 

Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.bzwvw.local., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

 

In dem Forenbeitrag schreibt jemand: wenn man das Problem mit dem GUID Eintrag hat und ipconfig /dnsregister nicht funktioniert kann man den Eintrag auch manuell machen...kann ich ja morgen mal testen wenn nix dagegen spricht: https://social.technet.microsoft.com/Forums/windowsserver/en-US/3573db98-7da4-493d-9406-924e2f942e82/how-to-fix-missing-cname-record-guidmsdcsmydomain?forum=winserverDS

bearbeitet 26. Dezember 2017 von fireblade2000

[DocData 85]

Du suchst Fehler wo keine sind. Wenn das bei dir nach X Versuchen von Beginn an nicht funktioniert, dann machst du schlicht etwas falsch.

 

Punkt 1: Lass die Firewall an. Ich krieg immer Pickel, wenn Leute die ausmachen. Vor allem dann um zu verhindern, dass ausgehender Verkehr geblockt wird. DER WIRD PER DEFAULT NICHT GEBLOCKT. Alles was inbound benötigt wird, bohren sich die Programme unfassbar Rollen selber frei. Und sonst kann man die FW super per GPO verwalten. Es gibt keinen, nicht einen Grund die abzuschalten, auch nicht für das Troubleshooting. Da macht man das Logging an, dann sieht man was geblockt wird. Nur Leute, die absolut nicht verstanden haben wie Netzwerke und Firewalls funktionieren, oder vom Knowhow her Anfang der 90er Jahre stehengeblieben sind machen die aus. Das gilt auch für IPv6 oder „PDC und BDC“.

 

Punkt 2: DC1 > Feste IP, gleiche IP als DNS eintragen. Hochstufen.

 

Punkt 3: DC2 > Feste IP, als DNS die IP vom DC1 eintragen. Hochstufen.

 

Punkt 3: DC1 > Erster DNS die IP vom DC1, zweiter DNS die IP vom DC2. DC2 > Erster DNS die IP vom DC2, zweiter DNS die IP vom DC1.

 

Fertig.

bearbeitet 26. Dezember 2017 von DocData

[fireblade2000 11]

Morgen,

 

die Firewall wird bei uns normal nie abgeschalten, sondern von mir sogar komplett per GPO und auf blocken/blocken gestellt mit kompletten Regelwerk. War nur ein kläglicher versuch hier nach dem Fehler zu suchen. Bitte deswegen keine Pickel kriegen und ich bin auch nicht in den 90er stehen geblieben.

 

So wie von dir beschrieben bin ich auch genau verfahren. Genau darum nervt es ja auch, weil es eben so trivial ist und eigentlich immer funktioniert.

 

Ich suche aber vermutlich wirklich einen Fehler den es nicht gibt zumindest am Anfang... die GUIDs im DNS sind ja normal. Zumindest sind diese genau so in unserem ECHT System ja auch vorhanden.

 

Dann muss ich den Fehler wohl doch nur später bei der Replikation suchen bzw. vlt. lag es ja wirklich am fehlenden Gateway. Hab gestern ja hier nicht bis zur Replikation weiter gemacht. Das probier ich nun erstmal aus.

bearbeitet 26. Dezember 2017 von fireblade2000

[Sunny61 806]

Was mir noch auffällt ist, dass öfters bei nem Ping die selbstgenerierte IPv6 zurück kommt.

 

Muss man seit 2016 bzgl. IPv6 etwas einstellen, wenn man es nicht aktiv nutzt?

Was heißt selbst generierte IPV6? Wenn Du nicht damit arbeitest, nichts anfassen, einfach so lassen wie es ist.

 

Zeig doch einfach mal ein ipconfig /all vom DC1 frisch nach der Installation und kurz vor dem DCPROMO. Auf der Commandozeile ein ipconfig /all | clip [ENTER] und hier in einen Code Tag einfügen.

[fireblade2000 11]

das meinte ich mit selbst generiert: Nicht angefasst. :cool:

 

Bin leider schon wieder weiter.... also kann grad die ipconfig vorm DCPROMO nimmer posten.

 

Eigentlich wollte ich auch nur wissen, ob irgendwas bekannt ist in meiner Kombination/Konstellation. Da aber eigentlich alles wie immer laufen müssten, werde ich den Fehler nachher hoffentlich auch finden.

 

Danke fürs helfen.

 

Hier die ipconfig vom DC 1 nach dem DCPROMO. 

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : BZWVW-DC1
   Primäres DNS-Suffix . . . . . . . : bzwvw.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : bzwvw.local

Ethernet-Adapter BZW:

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
   Physische Adresse . . . . . . . . : 00-0C-29-82-E6-90
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::14d4:3411:10de:596%14(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 192.168.10.1(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.10.254
   DHCPv6-IAID . . . . . . . . . . . : 50334761
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-21-D2-85-EC-00-0C-29-82-E6-90
   DNS-Server  . . . . . . . . . . . : ::1
                                       192.168.10.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{F9D143FC-F83A-4E8C-A6C4-6C312A9F4CFD}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Microsoft ISATAP Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

so leider wieder das gleiche,... was mir noch aufgefallen ist. Gerade auch schon vor dem Hochstufen des zweiten DCs...

 

Pinge ich den Domainname an, kommt am Anfang nicht gleich ne Antwort. Erst beim zweiten oder dritten Ping...

 

Ist hier auf dem ESXi das interne Testnetz falsch eingestellt!? Kann man da was falsch machen?

 

 

 

EDIT:

 

OK, ich glaub wir können hier abbrechen. Hab mir gerade mein TEST VM-Switch angeschaut. Irgendjemand hat da 2 Linuxmaschinen mit reingehängt. Keine Ahnung was die tun und überhaupt was die in meinem TEST Netz tun. Ich habe mir gerade noch mal ein virtuellen Switch erstellt und meine VMs reingepackt. Jetzt geht's, Ping sofort da, Replikation da... keine Ahnung was das war...

 

Ich glaub, da muss ich morgen mal fragen wer das war und was die Linux VMs machen.

 

EDIT die letzte:

 

So ein ****, das gibt  morgen aber ärger. Da hat doch tatsächlich jemand in MEINEM Testnetz zwei VMs installiert mit GENAU den gleichen IP Adresse: 192.168.10.1 und 192.168.10.2

 

da brauch ich mich nicht wundern, dass es net geht...

 

Tote Zeit sag ich da nur!

bearbeitet 26. Dezember 2017 von fireblade2000

[DocData 85]

Hm... da sag ich mal ganz frech: Da hat dann aber auch jemand seine Hausaufgaben beim Troubleshooting nicht gemacht. Auch solche Basics sollten überprüft werden.

[NilsK 2.930]

Moin,

 

immer, wenn du die Angabe "bevorzugt" in der ipconfig-Ausgabe siehst, solltest du aufmerksam werden. Dann ist praktisch immer etwas damit im Busch - entweder gibt es lokal noch eine Konfig im Konflikt (z.B. von einer früher vorhandenen Karte) oder im LAN.

 

Gruß, Nils

PS. Bei der Gelegenheit solltest du auch noch mit einigen mythologischen Verständnissen der Windows-Mechanismen aufräumen, denen du anscheinend anhängst, etwa bei der Replikation, der Firewall, der IPv6-Einbindung ...

[fireblade2000 11]

Jaaa, mit dem bevorzugt hatte es ja begonnen. Nur denkt man, wenn man vor einer Woche eine eigenes Testnetz macht, dass da einer dran rum schraubt.

 

Die Mythologien sind eigentlich schon lange weg. Für was besucht man sonst die Cim oder deine AD Best Practices Workshops.

 

Aber wenn man total verzweifelt ist und sich es nicht mehr logisch erklären kann, probiert man halt auch mythisches

 

Jetzt läuft's es wieder wie es soll inkl.meiner GPO eingestellten Firewall.

 

@DocData

Wieso? Ich hab das Problem letztendlich gefunden. Mein Fehler war halt, zu früh in diesem Forum zu fragen und nebenher war halt au Weihnachten und nicht Bürozeit

bearbeitet 26. Dezember 2017 von fireblade2000

[NilsK 2.930]

Moin,

 

na, immerhin gut, dass es jetzt läuft. Danke für die ehrliche Rückmeldung! Und noch schöne Feiertage.

 

Gruß, Nils