zusätzlichen Domänen-Controller ... ich komme einfach nicht weiter

[Busch-Thomas 10]

Hallo Gemeinde,

 

ich habe vor, unseren alten DC durch einen neuen, leistungsfähigen Server unterstützen zu lassen. Der alte DC soll dann nur noch als Datei-Ablage für die User fungieren. Vielleicht erst mal zu meiner Hardware-Konfiguration :

 

- jetziger DC mit Win2K Server

(AD und DNS laufen)

- etwa 30 angemeldete USER

- neuer, geplanter DC ebenfalls mit Win2K Server

ist Mitglied der Domäne

 

Beim Start von dcpromo und der Auswahl zusätzlicher DC für Domäne fängt der Server auch an und fragt mich nach die üblichen Berechtigungen ab. Doch dann bricht er die Installation mit der Meldung

"...Die erforderlichen Eigenschaften für das Computerkonto 1SERVER$ wurden nicht geändert.

'Zugriff verweigert ' "

 

Ich selber tippe ja mal ganz stark auf ein DNS-Problem. Ich versuche nun seit 2 Tagen alles mögliche, aber nihts will irgendwie klappen. Habe natürlich auch gegoogelt was das Zeug hält, aber auch hier irgendwie nichts für mich zutreffendes gefunden. Vielleicht fehlt mir ja auch nur der richtige Ansatz, wo ich beginnen sollte ...

 

Ich hoffe, mir kann hier jemand helfen !

Tom

[firefox80 10]

kann es was mit berechtigungen zu tun haben?

bist du ald domain-admin angemeldet?

[Busch-Thomas 10]

Hi firefox80,

 

ja, ich bin als Domänen-Admin angemeldet. Sowas in der Richtung habe ich mir auch schon gedacht. Das evtl. auf dem alten DC irgendwo eine Richtlinie liegt, die es verbietet einen unbekannten Server zum DC herauf zu stufen. Ich wüsste nur nicht, wo ich suchen soll.Es kann natürlich auch sein, dass es ganz was anderes ist. Also an den Benutzer-Rechten kann es eigentlich nicht liegen...

 

Fällt Dir sonst noch was ein ???

[lefg 276]

Hallo,

 

die Namensauflösung für den Member funktioniert?

 

Gruß

Edgar

[lefg 276]

Die erforderlichen Eigenschaften für das Computerkonto 1SERVER$ wurden nicht geändert.

'Zugriff verweigert ' "

Was mich verwundert, ist das an den Namen angehängte Dollarzeichen.

An einem Rechnernamen habe ich es noch nie gesehen.

[Busch-Thomas 10]

Was mich verwundert, ist das an den Namen angehängte Dollarzeichen.

An einem Rechnernamen habe ich es noch nie gesehen.

Stimmt! Habe ich so (zumindest nicht bewusst) auch noch nicht gesehen!?

 

Hmm ... also die Namensauflösung ... ich habe gerade mal an beiden Servern ein nslookup gemacht, und der Fehler scheint nun doch am DNS zu liegen. Denn es erscheint folgendes :

 

> nslookup

> DNS request Time out ...

> Der Servername für 159.130.xxx.1 konnte nicht gefunden werden ...

> Standardserver : Unknown

> Adress : 159.130.xxx.1

 

Also liegt es am DNS. Aber wo soll ich anfngen zu suchen? Kann ich denn eigentlich beim laufenden AD den DNS komplett löschen und neu erstellen?

[lefg 276]

Hallo,

 

Du kannst den DNS löschen.

 

Das muss aber nicht sein.

 

Wollen wir die Sache mal abklopfen? Ich habe es in den von mir betreuten Netzen laufen und habe ein wenig Erfahrung.

 

In den TCP/IP-Einstellungen des DC muss der bevorzugende DNS-Eintrag auf den Server selbst zeigen. An den Clients muss die Adresse auf den Server zeigen.

Unter Forward-Lookupzonen muss es eine Zone geben, die trägt den FQDN der Domäne.

Beispiel: Lubeca.local. Diese Zone kann man löschen und neu erstellen.

Die Zone sollte AD-Integriert sein, die dynamishe Aktualiserung erlaubt.

Dann die Reverse-Lookupzone einrichten. Sie bekommt die Netzwerksegmentnummer. Beispiel: 192.168.0

Auch diese Zone sollte AD-Integriert sein, die dynamische Aktualisierung erlaubt.

Falls alles richtig konfiguriert ist, tragen sich die Clients in die Zonen ein.

 

Viel Erfolg

Edgar

[lefg 276]

Ich hatte in einem Versuchfeld mal den Fall, da erschien der Clienteintrag nicht in der Liste. Das Problem lag aber nicht am Server, es lag am Client. Die Auflösung funktionierte trotzdem.

[Busch-Thomas 10]

Hi lefg

 

Wollen wir die Sache mal abklopfen?

Liebend gern :-)

 

In den TCP/IP-Einstellungen des DC muss der bevorzugende DNS-Eintrag auf den Server selbst zeigen. An den Clients muss die Adresse auf den Server zeigen.

Das ist der Fall. Einstellungen sind genau so! Am Server und an den Clients (und natürlich auch an dem neuen Server!

 

Unter Forward-Lookupzonen muss es eine Zone geben, die trägt den FQDN der Domäne.

Beispiel: Lubeca.local. Diese Zone kann man löschen und neu erstellen.

Die Zone sollte AD-Integriert sein, die dynamishe Aktualiserung erlaubt.

ich prüfe ... also in der Forward-Lookupzone steht genau ein Eintrag mit dem Namen der Domäne! Und die ist AD-integriert.

 

Dann die Reverse-Lookupzone einrichten. Sie bekommt die Netzwerksegmentnummer. Beispiel: 192.168.0

Auch diese Zone sollte AD-Integriert sein, die dynamische Aktualisierung erlaubt.

In meiner Reverse-Lookupzone stehen mehrere Einträge :

> 0.in-addr.arpa -> primär (standard)

> 110.159.130.in-addr.arpa -> AD integriert

> 127.in-addr.arpa -> Primär (standard)

> 255.in-addr.arpa -> Primär (Standard)

 

Soweit scheinen alle Einstellungen richtig, oder ???

[lefg 276]

Da ist etwas oberfaul. Wurde da eventuell ein Stammserver installiert? Gibt es eine Punktzone?

[Busch-Thomas 10]

Hmmm ... wie meinst Du das mit dem Stamm-Server ???

Nein eine "."-Zone gibt es nicht.

 

Wieso ist da was oberfaul ???

[lefg 276]

Ich habe die von Dir angegeben Einträge in der Reverse mit denen in zwei Domänen hier vor Ort verglichen. Derartige Einträge sind nicht vorhanden.

 

In der DNS-Struktur gibt es unterhalb des Servernamens zwei Ordner: Forwardloolupzonen und Reverselookupzonen.

 

Ist das so, oder gibt es da noch etwas anderes?

[Busch-Thomas 10]

In der DNS-Struktur gibt es unterhalb des Servernamens zwei Ordner: Forwardloolupzonen und Reverselookupzonen.

Ja, das ist so richtig. Zusätzlich gibt es noch den Ordner :

Zwischengespeicherte Lookupvorgänge.

[lefg 276]

Zusätzlich gibt es noch den Ordner :

Zwischengespeicherte Lookupvorgänge.

 

Und damit kann ich nichts anfangen.

Ich wiess nicht, wozu das letzlich gut ist, ob das die Fehlfunktion hervorruft und ob der Ordner gefahrlos löschbar ist.

 

Dazu brauchen wir den Rat eines Experten. Bitte um Hilfe.

 

Aber der DNS funktioniert ja sowieso nicht.

 

Im Ordner Forward-Lookupzonen. gibt es einen Ordner mit einer Eintragsliste.

Die ersten vier Objekte sind Ordner und heissen:

 

_msdcs

_sites

_tcp

_udp

 

Dann kommt ein Eintrag:

(identisch mit mit übergeordnten Ordner) Autoritätssprung [xxxx] FDQN-Servername, admin

Der nächste ist:

(identisch mit mit übergeordnten Ordner) Nameserver FDQN-Servername

 

Der Terminus FDQN-Servername ist hier nur Platzhalter für den Namen des Servers.

 

Beispiel: 1fs-lubeca.wak.local

 

Der Nächste:

(identisch mit mit übergeordnten Ordner) Hosts IP-Adresse des Servers

 

Weiter:

Servername Host Ip-adresse des Servers

1fs-lubeca Host IP-adresse

 

oder

 

1fs-lubeca.wak.local Host IP-Adresse

 

Tscha, wie sieht es denn aus in deiner Liste?

[Busch-Thomas 10]

Genau so sieht das bei mir auch aus! Ich denke auch, das der DNS vielleicht doch stimmt. Denn ich habe auf meinem Server auch Gruppenrichtlinien hinterlegt. Und diese funktionieren auch alle. Und funktionierende GruRiLi´s sind immer schon mal ein gutes Zeichen für einen funktionierenden DNS !!!!

 

Mir raucht schon der Kopf hier ...