DNS-Phänomen im W2K-Domain-Netz

[JPC-Joerg 10]

Ich begrüße alle Teilnehmer dieses Forums und bedanke

mich bereits vorab für Ihre Unterstützung bei meinem

Problem.

 

Netzwerkumgebung:

 

- 2 Windows-Domain-Server (1x Master / 1x BDC)

- 2 Teilnetze, dieses sind über den Routing und RAS-Dienst

des Masters verbunden

- Auf beiden Servern läuft die Active Directory und DNS-Server-Dienst

Die Informationen werden untereinander 4x / Stunde repliziert

- Der Master dient gleichzeitig als Fileserver

 

Nun haben wir seit kurzer Zeit ein sehr seltsames DNS-Phänomen:

 

Bei manchen Rechner wird nur ein Teilnetz (Teilnetz B) in der

Netzwerkumgebung gelistet, seltsamerweise ist dies aber nicht

das Teilnetz (Teilnetz A) dem der betroffene Rechner angehört.

Eine Überprüfung der IP ergibt aber, das der Rechner eindeutig

dem Teilnetz A angehört.

 

Wird der Rechner neugestartet, werden nach dem Neustart wieder

alle Rechner beider Teilnetze gelistet, verschwinden aber nach

ca. 30 Minuten wieder aus der Netzwerkumgebung!

 

Wer hat eine Idee, woran das liegen könnte?

 

Gruß und Dank

 

Jörg Hoffmann

[Velius 10]

Hi JPC-Joerg

 

Das liegt daran:

 

http://www.mcseboard.de/showthread.php?postid=253935#post253935

 

Die Netzwerkumgebung wird noch mit dem Computer Browser Service von MS abgewickelt, dieser jedoch benötigt eine funktionierende WINS/NetBIOS Umgebung für den fehlerfreien Betrieb!

 

Gruss

Velius

[JPC-Joerg 10]

Danke Velius,

 

Der Microsoft-Eintrag konnte mir in diesem Fall leider nicht helfen.

Am Master läuft bereits der __MSBROWSE__, sowie laufen auf beiden Servern auch die WINS-Server-Dienste.

 

Ist es in diesem Zusammenhang eventuell schädlich, den WINS-Server-Dienst auf zwei Servern laufen zu lassen?

 

Eine Anzeige im WINS-Serverdienst nach Besitzer zeigt ohne hin lediglich auf dem Server alle Rechner an. Allerdings sollte erwähnt werden, daß im gleichen Netzwerk ebenfalls zwei separate Arbeitsgruppen betrieben werden, die Eigenständig sind und keine Daten untereinander austauschen müssen. Allerdings zeigt diese WINS-Liste auch einen weiteren __MSBROWSE__ an, allerdings an einer IP-Adresse, die zur Zeit nicht im Netz aktiv ist. Es handelt sich hierbei um einen Windows XP Prof. Rechner, der nur sporadisch ans Netz angeschlossen wird.

 

Kann man in diesem Zusammenhang nicht den Server oder die Server fest für diesen Dienst __MSBROWSE__ hinterlegen, sodaß eine neue Aushandlung dieses Services unterbunden wird??

 

Gruß

Jörg

[Velius 10]

Replizierenn denn die beiden Server untereinander?

[JPC-Joerg 10]

Die Replizierung unter den Servern funktioniert, soweit ich das Beurteilen kann fehlerfrei!

 

Wenn in der ADS eine Änderung auf Server A durchgeführt wird, ist diese Änderung spätestens 15 Minuten später auch auf Server B zu finden.

[Velius 10]

Meinst du die AD Replikation, oder die WINS? Ich habe mich auf die WINS bezogen.

[JPC-Joerg 10]

Hallo Velius,

 

ich habe bei beiden Servern im WINS-Dienst unter Replikationspartner den jeweils anderen Server mit Pull/Push eingetragen!

 

Wenn ich nun auf Server A mir die Liste nach Besitzer anzeigen lasse, so sehe ich alle Maschinen aus beiden Teilnetzen. Wenn ich diese Abfrage auf Server B mache, so sehe ich unter Besitzer Server B nur den Server plus drei andere Einträge, aber auch dort unter Besitzer Server A alle Maschinen beider Teilnetze.

 

Gruß

 

Jörg

[Velius 10]

Dann müsste das eigentlich klappen.......hmmmh, vielleicht nochmals den Artikel anschauen gehen, ich dachte, da steht was drin bezüglich Broadcast Bekanntmachungen, des Master Browser Servers.

 

Es könnte sein, dass die Broadcast beim Router hängen bleiben, da es das Ziel ist, so wenig Broadcast wie möglich in einem Netz zu haben....

[Velius 10]

Andere Frage:

 

Für was brauchst du eigentlich die Netzwerkumgebung? Die empfohlene Variante ist bei AD, die ressourcen, die den Usern bereitstellen möchtest, über die veröffentlichte Freigabe zu realisieren.

 

So sehen sie ausserdem nur, was sie sehen sollen. Für den Admin gibt es eh andere Wege, als die Netzwerkumgebung.....

[JPC-Joerg 10]

Hi Velius,

 

Grundsätzlich ist dies richtig! Je weniger der normale User sieht, desto weniger bricht der Forscher und Entdecker Drang aus!

 

Aber in diesem Fall sind wir leider auf eine ordentliche Anzeige der Netzwerkumgebung angewiesen. Wir nutzen die Enterprise Version von Norton Antivirus. der Installations-Agent zieht sich die Rechnernamen der verfügbaren Clients über die Netzwerkumgebung. Wird diese demnach nicht ordentlich angezeigt kann ich über das zentrale Tool keinen Virenschutz installieren.

 

Bzw. ich müsste über ein unattended Setup diese Installation laufen lassen! (Soweit bin ich noch nicht :D )

Dieses Installationstool macht dies automatsich für mich!

 

Gruß

Jörg

[zuschauer 10]

Hi JPC-Jörg !

Da hast Du echt eine etwas knifflige Konfig !

 

Wie es aussieht hast Du nur einen DC im Netz und der hat 2 Netzwerkkarten - für jedes Teilnetz - richtig ?

 

Ist einer (oder sind beide) WinServer am DC eingetragen ?

 

Eine Variante wär, dem DC sind die WinsServer nicht bekannt, dann versucht er per Broadcast zu ermitteln, wen es so gibt - aber immer nur in einem Teilnetz, welches er nimmt - da liegen die Chancen 50/50 laut MS.

 

Eine 2. Variante wär, Dein Server, wo die Symantec Security Console (oder wie das Ding heißt) drauf ist, bekommt einen anderen Masterbrowser zugewiesen.

 

Da Ihr (auch) noch mit WinsServern bzw. Netbios arbeitet, ist das wichtigste, daß die WinsServer und deren Datenbanken ok sind, die Replikation zwischen den WinsServern läuft und kein Server mit 2 Netzwerkkarten den Masterbrowser macht.

 

Der hier:

Wird der Rechner neugestartet, werden nach dem Neustart wieder

alle Rechner beider Teilnetze gelistet, verschwinden aber nach

ca. 30 Minuten wieder aus der Netzwerkumgebung!

läßt vermuten, daß bei Dir der Masterbrowser wechselt, weil er neu ausgehandelt wurde.

Im ResKit gibt es ein Tool, mit dem kannst Du feststellen, welcher Masterbrowser aktuell auf dem Server akzeptiert wird (entweder browmon oder browstat - weiß ich nicht mehr genau). Irgendwas ist da faul ! :suspect:

[JPC-Joerg 10]

Hallo Zuschauer,

 

das stimmt, an unserem DC (Betriebsmaster) zwei 1000MBit Netzwerkkarten betrieben werden, an denen jeweils das Subnetz A bzw. B angeschlossen sind.

 

Die WINS-Server sind im DNS automatisch eingetragen worden.

Ob die Einträge richtig sind, kann ich nicht beurteilen.

 

Ich habe am Server A das Programm Browstat gestartet und folgende Rückmeldung erhalten:

 

"C:\Programme\Support Tools>browstat getmaster NetBIOS RAIBA.LOACL

The browser is not bound to transport NetBIOS

 

List of transports currently bound to the browser

 

1 \Device\NetBT_Tcpip_{29AC27C1-416B-4BBB-98C7-BD114DC93A0A}

2 \Device\NetBT_Tcpip_{E5BFEFD5-4A6A-408C-B225-CAFB9C103539}

 

BROWSTAT accepts any of the following forms for transport name:

1, \device\XXX, XXX"

 

Was diese Zeilen jetzt im einzelnen mir sagen, speziell die beiden Zeilen 1 und 2, weiß ich nicht. dafür fehlt mir das Wissen. Ich vermute, daß es sich hierbei um die SID's der Server handelt, kann dies aber nicht überprüfen, weil ich nicht weiß wie ich die Server-SID's auslesen kann.

 

Vielleicht kann man mir hierbei kurz erklären, was ich aus diesen Information jetzt erkenn kann, bzw. wie ich heruabekomme, welche Rechner sich hinter den vermutlichen SID's verbergen.

[Velius 10]

Ich habe dir da noch was von möglichem Interesse für dich:

 

Beschreibung von Problemen bei mehrfach vernetzten Suchdiensten

 

 

Kuckst du 'mal! ;)

 

Gruss

Velius

 

 

P.S.:

 

Der PDC darf nicht mehrfach vernetzt sein, wenn eine domänenweite Serverliste erfasst werden soll, da der Suchdienst eine gesonderte Serverliste für jeden Netzwerkadapter und jede Protokollkombination führt.

[JPC-Joerg 10]

1. Kann ich den Betriebsmaster ohne Gefahr für meine Domaine über die "dcpromo"-Funktion verändern?

 

2. Zur Zeit lufen folgende Dienste auf dem Betriebsmaster

DHCP-Server

DNS-Server

WINS-SERVER

Routing-Dienste zwischen den zwei Teilnetzen

zukünftig sollte dieser Rechner auch noch die RAS-Einwahl zur

Verfügung stellen.

 

a) Sind diese Dienst auch zu verlagern?

b) Laufen alle Dienste nach der Verlagerung des

Betriebsmasters noch fehlerfrei?

c) Kann die RAS-Einwahl auf diesem Server dann noch

eingerichtet werden, oder muß diese auf dem Betriebsmaster

laufen?

d) Sollte der Betriebsmaster ein RAID-System haben? Höhere

Festplattenzugriffe?

[Velius 10]

Hi

 

Ich würde den Betreibsmaster verlagern, und zwar damit:

 

Übertragen von FSMO-Funktionen auf einen Domänencontroller mithilfe des Programms "Ntdsutil.exe"

 

 

Ausserdem würde ich dir Raten, längerfristig auf einen Hardware-Router zu wechseln, denn die Kombination von DC und RAS ist nicht die günstigst! ;)

 

 

Gruss

Velius

 

P.S.: Gib dabei besonders auf folgenden Satz acht:

 

Sollte der Domänencontroller mit den FSMO-Funktionen noch online sein, übertragen Sie die Funktionen. Geben Sie transfer Funktion ein.