soulseeker 13 Geschrieben 25. Juli 2018 Melden Teilen Geschrieben 25. Juli 2018 Hi@all, ich habe vor einigen Wochen unsere Zonen von einem alten Bind-Server zu einem Windows DNS-Server migriert. Primärer DNS ist nun ein Win2016-DC, sekundäre ein weiterer 2016-DC, sowie noch die beiden (alten) Bind-Server. Soweit läuft alles, ich möchte im letzten Step nun die Zonen im AD speichern (sichere Updates aktivieren), sowie Scavenging aktivieren. Die Zonenalterung ist schon aktiviert, es fehlt hier nur noch die globale Option "Veraltete Ressourceneinträge aufräumen". Die Speicherung im AD führt jedoch zu einem Problem. Ich habe dies zunächst bei einer (nicht ganz so wichtigen) Reverse Lookupzone durchgeführt. Dabei erscheint die Fehlermeldung: "der Replikationsbereich konnte nicht gesetzt werden. Weitere Informationen erhalten Sie unter ... . Ein Serverfehler ist aufgetreten". Danach stützt der DNS-Service dankenswerterweise ab. Wenn ich den Service neu starte, ist die Option "im AD speichern" zwar aktiv, aber mit der Win2000-Kompatibilitätsoption. Sobald ich die mittlere Option "auf allen DNS-Servern, die in dieser Domäne ausgeführt werden" anklicke, erscheint der gleiche Fehler. Ich habe allerdings Zweifel, ob mit der Win2000-Kompatibilität wirklich eine AD-Replikation erfolgt, da immer noch das Zonenfile unter c:\windows\system32\dns liegt. Auf meinem Testserver verschwindet das bei einer Änderung auf AD-Replikation. Kennt jemand dieses Problem? Ich finde bislang keine einfache Lösung, nur sowas wie hier: https://social.technet.microsoft.com/Forums/windowsserver/en-US/29025d19-e542-4821-a0ea-8bc178de61d3/issue-creating-adintegrated-dns-zones?forum=winserverDS Grüße Marcel Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 25. Juli 2018 Melden Teilen Geschrieben 25. Juli 2018 vor 7 Minuten schrieb soulseeker: habe allerdings Zweifel, ob mit der Win2000-Kompatibilität wirklich eine AD-Replikation erfolgt, Ja, allerdings in der „falschen“ Partition, deswegen wurde das ab 2003 ja konfigurierbar. Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 25. Juli 2018 Autor Melden Teilen Geschrieben 25. Juli 2018 Ach so - fun fact - Bedingte Weiterleitungen kann ich im AD speichern. Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 25. Juli 2018 Melden Teilen Geschrieben 25. Juli 2018 Moin, wenn es wichtig ist und nicht nur eine Testumgebung oder eine Kleinst-Domäne, mach einen Case bei Microsoft auf. Der Fehler ist exotisch und vermutlich "nur mit Internet" nicht mit ausreichender Erfolgsaussicht zu lösen. Gleichzeitig kann er für eine Produktionsumgebung kritisch sein. Gruß, Nils Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 25. Juli 2018 Autor Melden Teilen Geschrieben 25. Juli 2018 Hi, ja, ist schon wichtig und ist eine mittelständische Umgebung. Auch wenn man sich jahrelang mit Bind begnügt hat, will ich das unbedingt gerade ziehen. Hier registriert sich z. B Lieschen Müllers Iphone fröhlich selber im DNS, ein ziemliches Chaos. Ich habe leider auch nichts brauchbares ergoogelt und bei solchen Fehlern im Zusammenhang mit dem Ad ist mir nicht wohl dabei, selber zu fummeln. Trotzdem Danke und Gruß Marcel Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 26. Juli 2018 Melden Teilen Geschrieben 26. Juli 2018 Case per incident kost glaube ich noch 300 €, wenne s nicht zeitkritisch sollten die Reaktionszeiten reichen Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 26. Juli 2018 Autor Melden Teilen Geschrieben 26. Juli 2018 Ich mache mal einen auf ... ich werde dann mal hier berichten, was dabei rauskommt. Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 26. Juli 2018 Autor Melden Teilen Geschrieben 26. Juli 2018 (bearbeitet) Ok, einen Schritt bin ich weiter - es fehlt offenbar die Standard-Verzeichnispartition im Namenskontext DC=ForestDNSZones,DC=Domain,DC=DE Die kann ich ja über den DNS-Server erstellen. Ich werde vorher aber testweise mal einen prod. DC klonen und in einem isoliertem Netz hochfahren ... dann führe ich die Änderung durch und schaue, ob ich die Zonen danach AD integrieren kann. bearbeitet 26. Juli 2018 von soulseeker Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 26. Juli 2018 Autor Melden Teilen Geschrieben 26. Juli 2018 (bearbeitet) Ok, das mit der Standard-Verzeichnispartition war wohl falsch. Was bei meinem DNS-Server auf jeden Fall "anders" ist, ist der msdcs-Eintrag. Dieser existiert nur als Unterordner unter meiner root-Namenszone contoso.de Ich habe diesen auf dem geklonten DC gelöscht und versucht, neuzuerstellen: Delete the _msdcs subfolder under contoso.com Create a zone called _msdcs.contoso.com, allow Secure Updates, and set the Replication Scope to Al DCs in the Forest. Right-click contoso.com, create New Delegation, type in _msdcs, then give it itself as the IP address, then run: ipconfig /registerdns restart the netlogon service (whether in Services, or net stop netlogon && net start netlogon) Hat augenscheinlich geklappt, aber das ändert leider nichts am Grundproblem. Der DNS-Server crasht immer noch, wenn ich die mittlere Option wähle (nur im AD der eigenen Domäne). Wähle ich aber die Option "auf allen DNS-Servern der Gesamtstruktur", dann klappt es übrigens (auch ohne das Neuanlegen von mcds). Ist aber ungünstig, da ich nicht möchte, das unser DNS in die Subdomains repliziert wird. Mal schauen, ob dem Support noch was einfällt. Nebenbei - haltet ihr die Neuerstellung des msdcs-Eintrages für wichtig und sinnvoll? Das der so aufgebaut ist, wie aktuell, liegt vermutlich am bind-Import. bearbeitet 26. Juli 2018 von soulseeker Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 30. Juli 2018 Melden Teilen Geschrieben 30. Juli 2018 Hallo, Lege die _msdcs.xxxx.xxx an. Ich hatte so etwas auch mal. Hat sich mit anlegen der Zone von selbst korrigiert. Dum kannst in der Zone, rechtsklick, Eigenschaften, Zonenreplikation, einstellen auf welche Server repliziert werden soll. Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 30. Juli 2018 Autor Melden Teilen Geschrieben 30. Juli 2018 Hi, Ich habe mir einen DC geclont und _msdcs neu angelegt ... danach kann ich DNS trotzdem nur für die Gesamtstruktur replizieren. In den Subdomains steht die Option übrigens überall auf dem mittleren Setting "... in dieser Domäne". Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 30. Juli 2018 Melden Teilen Geschrieben 30. Juli 2018 Deine _msdcs.xxxx.xxx sieht ungefähr so aus? Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 30. Juli 2018 Autor Melden Teilen Geschrieben 30. Juli 2018 Ja, so sieht es (jetzt) nach Neuerstellung aus. Vorher war mcds nur als Unterordner/Subdomain unter meiner root-Domain zu finden. Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 6. August 2018 Autor Melden Teilen Geschrieben 6. August 2018 (bearbeitet) Hi, Ich habe mir einen DC geclont und _msdcs neu angelegt ... danach kann ich DNS trotzdem nur für die Gesamtstruktur replizieren. In den Subdomains steht die Option übrigens überall auf dem mittleren Setting "... in dieser Domäne". [edit] So, heute hatte ich eine Remotesession mit MS und jetzt funktioniert es. Ursache: Die AD-Verzeichnispartition DefaultDomainDNSZones war korrupt - diese wurde gelöscht und neu angelegt. ntdsutil ntdsutil: partition management server connections: connect to server localhost server connections: q list delete nc DC=DomainDNSZones,DC=contoso,DC=local Danach DNS Server-Dienst neu starten, die Partition wird neu erstellt repadmin /syncall Anschließend kann man die Zone ins AD schicken VG Marcel bearbeitet 6. August 2018 von soulseeker Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 6. August 2018 Melden Teilen Geschrieben 6. August 2018 Moin, prima, danke für die Rückmeldung! Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.