Probleme mit Verwaisten DNS Einträgen nach Demoting 2016er Server in 2008R2 Domäne

[PapaMo 10]

Hallo Allerseits,

wir haben ein seltsames Problem im Windows DNS mit verwaisten Einträgen. Folgendes ist passiert.

 

1) Vorgeschichte:

Auf dem Weg von einer Windows 2008R2 Domäne (8 DCs an unterschiedlichen Standorten, eine Domäne, kein Forest) nach 2016 haben wir den ersten 2016'er DC installiert zum AD DC heraufgestuft und alle FSMO Rollen übertragen. Dann noch DHCP rübergeschubst und das Ganz ein paar Tage so laufen lassen. Replikation lief normal uns sauber. Neu DC schnurrte wie ein Kätzchen. Dann haben wir den alten DC am Standort demotet und der Ärger fing an. Kein Client konnte sich mehr am Netzwerk anmleden, nur PCs mit fester IP hatten noch Zugriff. Wohlgemerkt, der DHCP Dienst auf dem neuen Server lief schon mehrere Tage und zwar nur auf diesem Rechner. Der alte DHCP war schon abgeschaltet. Da wir den Fehler nicht zeitnah finden konnten und das ganze während der regulären Arbeitszeit passierte haben wir einen Rollback auf den alten 2008R2 DC gemacht. Also wieder heraufgestuft zum DC, FSMO Rollen wieder zurück übertragen, DHCP wieder zurückgeschubst. 2016er DHCP abgeschaltet und der Spuk war vorüber. Dann haben wir den 2016'er sauber demotet und erst einmal komplett aus der Domäne entfernt.

 

2) Das Problem

Im DNS (AD basiert) finden sich nun unterhalb der _msdcs Zone immer noch Einträge unter dc, gc, domain etc. für den gelöschten 2016er Server. Wenn wir versuchen die Einträge zu löschen geht das scheinbar, sind aber nach Aktualisieruntg des jeweiligen Zweigs sofort wieder da. Nur der Eintrag direkt unter _mcdcs ließ sich löschen.

 

3) Was wir bereits Versucht haben

Gefühlte fünf Wochen gegoogelt.

Alle Standard Tools wie dcdiag, repladmin etc. ausgeführt. Diese zeigen keinen Probleme an.

AD-UC und AD-SS kontrolliert, keine Einträge zum 2016er Server.

Netzwerkeinstellungen diverse Server kontrollierte, keine Verweise zum 2016er Server.

DNS Einträge über Powershell Modul DNSServer versucht zu löschen, kein Erfolg.

 

4) Ziel

Wie wollen natürlich den neuen 2016'er DC endlich online bringen. Bevor die Einträge aber nicht gelöscht werden konnten möchten wir das ungern probieren.

 

Hat jemand so was schon durchlebt und vielleicht die Lösung in der Schublade?

 

 

 

 

 

[zahni 550]

Ist mehr als  ein Standort  definiert? Wenn ja, stimmt eventuell etwas mit der Replikationstopologie  nicht bzw. Das solltest Du mal  zuerst prüfen.

Du hast übrigens auch mit einer Domäne einen Forrest. Nur  so am Rande.

[PapaMo 10]

Hallo zahni, danke für Deine Antwort. Wie bereits geschrieben gibt es keine Replikationsprobleme. REPLADMIN zeigt keine Fehler an und jede Änderung im AD ist gemäß Replikationszeitplan (15min) an allen Standorten verfügbar.

Unser Forest hat nur einen einsamen Baum, wer will da von einem Wald reden

 

[zahni 550]

Und ich wiederhole mal: "Standorte und Dienste" aufrufen und mal prüfen, wer da mit wem repliziert und wie die Standorte definiert sind.

[PapaMo 10]

...da ist alles sauber. Jede Site, wir haben gemäß unserer Standorte 8 Sites, hat den FSMO Rolleninhaber als Replikationspartner und der FSMO Server hat wiederum alle anderen DCs als Replikationspartner. Der gelöschte Server taucht da nicht mehr auf. Die Einträge wurden alle automatisch generiert, da hat auch niemand dran verschlimmbessert. Die Subnetze stimmen auch. Mit repadmin /showrepl sehe ich das alle fein mit einander quasseln. Hätte ich Haare, würde ich Sie mir ausraufen.

[NorbertFe 2.027]

DC und DHCP haben aber auch nur bedingt miteinander zu tun. Insofern würde ich nicht von einem Problem im AD ausgehen, sondern vermutlich von IP Helpern usw.

[PapaMo 10]

@NorbertFe: was genau meinst Du mit IP Helpern?

[NorbertFe 2.027]

Also wenn ich Suchmaschine meiner Wahl eingebe, bekomme ich zurück, dass das für geroutete Netzwerke und DHCP benötigte Funktionen sind. ;) Da du oben zwar viel schreibst, aber wenig konkret wirst (welche IP Adresse hatte der alte und welche der neue DHCP Server? war der neue Server auch im AD autorisiert usw.?), kann man sich nur langsam vortasten.

[PapaMo 10]

@NorbertFe: OK. Das DHCP Problem war wie geschrieben nur die Vorgeschichte um zu Beschreiben was und warum. Der alte Server hatte die IP Adresse 192.168.1.2 und der neue Server die 192.168.1.28. Wir haben also nicht versucht den neuen Server unter der alten Adresse weiter zu betreiben. Der neue DHCP Server war auch im AD autorisiert. Aber nach dem Rollback macht uns das DHCP keine Probleme. Die Frage ist warum lassen sich verwaisten Einträge im DNS nicht löschen. Selbst wenn ich ein Replikationsproblem hätte müsste ich die Einträge auf einer Site löschen können aber es würde sich halt nicht in die anderen Sites replizieren oder siehst Du das anders?

[NorbertFe 2.027]

vor 13 Minuten schrieb PapaMo:

@NorbertFe: OK. Das DHCP Problem war wie geschrieben nur die Vorgeschichte um zu Beschreiben was und warum.

Mag sein, und mein Hinweis war, dass es sinnvoller gewesen wäre, das Problem zu lösen, anstatt sich ein neues aufzumachen. ;) Aber ja, das hilft dir jetzt nicht mehr. Wahrscheinlich ne Kleinigkeit, die sich im Forum ungünstig lösen läßt. So jedenfalls meine Erfahrung bei solchen Themen.

[PapaMo 10]

Es ist nicht so, dass wir das DHCP Problem nicht versucht hätte zu lösen. Aber nach zwei Stunden haben wir abgebrochen und den Rollback gestartet. Länger hätten wir 120 Kollegen nicht mit Ablage beschäftigen können.

[magheinz 110]

Sind die sites alle in eigenen Subnetzen und/oder vlans? Falls ja, wie wird der DHCP aus den verschiedenen Subnetzen angesprochen? 

[PapaMo 10]

@magheinz:  Nein, keine VLANs.

[NorbertFe 2.027]

Schön, wenn zwei Fragen gestellt werden aber nur eine beantwortet wird. 

[PapaMo 10]

Richtig, die Sites sind in eigenen Subnetzen.