Frage zum DNS-Server

[Busch-Thomas 10]

Hallo Gemeinde :p ... ich hole mal etwas weit aus ... also :

 

ich melde mich mal wieder mit einer Frage zu meinem Server. Ich habe eine Windows2000-Domäne. In meiner Domäne gab es bisher nur einen DC. Nach ein paar Problemen, die ich mit einem neuen Server hatte (konnte aber mit Hilfe des MCSEboard´s geköst werden :) ), habe ich nun meinen neuen Server per dcpromo zum 2. DC machen können. Das hat auch alles nun soweit funktioniert. Das AD würde an den neuen Server übertragen. Bis heute bin ich auch schwer davon ausgegangen das beide Server brav nebeneinander her arbeiten. Jedenfalls wurde das AD auf den 2. Server übertragen. Nun wollte ich heute ein neues Konto erstellen, und da ist mir aufgefallen, die beide Server alles andere machen, als zusammen zu arbeiten ...

 

Nach dem Erstellen des Kontos wollte ich an einem Client gleich testen, ob es klappt. Der Nutzer konnte sich nicht an der Domäne anmelden, da das Konto unbekannt war. Ich dachte mir dann, das es evtl. sein kann das beide Server noch nicht repliziert haben und ich einfach mal ne Weile warte. Nun ist das Ganze aber schon etwa 4 Stunden her und es geht immer noch nix.

 

Deshalb liegt für mich der verdacht nahe, das es an Einstelleungen am DNS-Server liegen muss. Denn alles andere klappt soweit. Die GruRiLi´s greifen, alle Konten funktionieren ...

 

Deshalb meine Frage. Kann ich bedenkenlos an meinem alten DC den DNS-Server löschen und ihn neu erstellen? Oder hat das Auswirkungen auf meine AD-Konten? (Ausser evtl. kurzzeitige).

 

Bin für jede Hilfe dankbar !

Tom

[PIC 11]

Hallo Busch-Thomas,

 

wenn deine Domäne (mit Ausnahme der Replikation mit dem 2. DC) zur Zeit einwandfrei funktioniert, würde ich das zuerst einmal schön bleiben lassen. Die Funktion der AD setzt einen funktionierenden DNS-Server ZWINGEND voraus. So wie es aussieht, hast Du nur den einen. Wenn auf dem Einträge aktualisiert werden, dann scheint er ja zu funktionieren.

 

Du solltest nach der obigen Problembescheibung erst einmal die Replikation zwischen den DCs klären. Und nun kommen ein paar Fragen zur Auswahl. Da Du dcpromo anwenden konntest, haben die Server sich schon mal gesehen - trotzdem ganz banal: sehen sie sich jetzt immer noch (PING)? Wie sieht das Ereignisprotokoll beider Server aus? Irgendwelche Dienste ausgefallen? Welche Netzwerkkomponenten stehen zwischen den DCs - vielleicht eine Firewall?. In dem Fall könnte die RPC-Verbindung unterbrochen sein. Sind beide DCs als DNS-Server konfiguriert? Was ergibt das Tools dcdiag (gibts in den Support Tools oder im Resource Kit)

 

Fröhliche Suche und viel Erfolg ;)

Gruss Jan

[bienchen 10]

Hallo,

 

vordem DNS Debugen müssen wir erstmal klären, ob der Global Catalog richtig eingetragen ist? Stehen irgendwelche Fehlermeldungen bzw. Warnungen im Eventlog?

 

 

Ich wollte nichts wiederholen, war zu langsam mit schreiben....

[Busch-Thomas 10]

Hi Jan,

 

erst mal Danke für Deine fixe Antwort ! Dann versuche ich Dir mal zu antworten ...

 

wenn deine Domäne (mit Ausnahme der Replikation mit dem 2. DC) zur Zeit einwandfrei funktioniert, würde ich das zuerst einmal schön bleiben lassen. Die Funktion der AD setzt einen funktionierenden DNS-Server ZWINGEND voraus.

Ja, da gebe ich Dir natürlich Recht. AD und GruRiLi´s laufen super, ist also ein Indiz für ein funktionierenden DNS.

 

Du solltest nach der obigen Problembescheibung erst einmal die Replikation zwischen den DCs klären.

Ich dachte, das macht Win2kServer automatisch, wenn ich den 2. Server per dcpromo zum zusätzlichen DC herauf stufe?

 

Da Du dcpromo anwenden konntest, haben die Server sich schon mal gesehen - trotzdem ganz banal: sehen sie sich jetzt immer noch (PING)? Wie sieht das Ereignisprotokoll beider Server aus? Irgendwelche Dienste ausgefallen? Welche Netzwerkkomponenten stehen zwischen den DCs - vielleicht eine Firewall?. In dem Fall könnte die RPC-Verbindung unterbrochen sein. Sind beide DCs als DNS-Server konfiguriert? Was ergibt das Tools dcdiag (gibts in den Support Tools oder im Resource Kit)

 

Also das gegenseitige 'anpingen' klappt. Im Ereignisprotokoll sehe ich nichts auffälliges was auf einen Fehler schließen lässt ...

Und zwischen beiden Rechnern (Servern) ist auch keine Hardware wie Firewall oder ähnliches. Im Prinzip hängen beide am gleichen SWITCH. Beide DC´s als DNS-Server ... ? Naja, da habe ich so meine Bedenken... Grundsätzlich läuft auf beiden Servern das ADintegrierte DNS. Aber irgendwie glaube ich, dass es auf dem neuen Server nicht wirklich läuft. Denn das Problem das ich im ersten Posting geschrieben jabe, würde mich sofort auf DNS schließen lassen !

Und zu dem Tool, das probiere ich jetzt sofort mal aus. Musste nur meine CD suchen ...

 

Aufgefallen ist mir im übrigen auch, als ich die FSMO´s übertragen wollte, kam folgende Fehlermeldung : "Die Übertragung der Funktion des aktuellen Betriebsmasters konnte nicht durchgeführt werden. Grund : Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar"

 

Ich gebe zu, ich bin jetzt verwirrt !

[Busch-Thomas 10]

Hallo bienchen :-)

 

also der Global Catalog liegt noch dort wo er sein sollte. Noch immer auf dem Server-Alt. Fehlermeldungen im evenllog

 

[prüfe]

 

... moment ...

 

[/prüfe]

 

Also Fehler kann ich nicht wirklich entdecken, bzw. es wurden keine im Zusammenhang gemeldet. Einzig eine Fehlermeldung mit ID 1202

Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. ... u.s.w.

hat er mir ständig gemeldet. Aber das hat wohl eher damit zu tun, das der bisherige Admin seine Konten nicht sauber geführt hat :nene:

[PIC 11]

Aufgefallen ist mir im übrigen auch, als ich die FSMO´s übertragen wollte, kam folgende Fehlermeldung : "Die Übertragung der Funktion des aktuellen Betriebsmasters konnte nicht durchgeführt werden. Grund : Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar"

 

Ja, das überrascht mich auch. Wenn Du in einer Domäne mit dcpromo einen zusätzlichen DC erstellst, wird an den vorhandenen FSMO-Rollen überhaupt nichts geändert. Wieso wolltest Du denn die FSMO-Rollen übertragen - das ist keine normale dcpromo-Prozedur! :suspect:

 

Beide DCs als DNS-Server - das ist normal und gute Praxis (Redundanz!). Da Du dein DNS AD-integriert eingerichtet hast, wird (wenn es denn funktioniert) der Inhalt des DNS bei der Replikation mit gesichert.

 

Ich habe einmal Probleme beim Hinzufügen eines weiteren DCs in einer Domäne damit gelöst, den Unruhestifter wieder zum Mitgliedsserver herunterzustufen und den Vorgang zu wiederholen. Grob, aber wirksam. Wenn Dein neuer DC noch keine wichtigen Aufgaben hat, würde ich mir das in der Hinterhand halten - erspart vielleicht eine Menge Kopfschmerzen und Sucherei.

 

Gruss Jan

[Busch-Thomas 10]

Wieso wolltest Du denn die FSMO-Rollen übertragen - das ist keine normale dcpromo-Prozedur!

Ich hatte eigentlich vor, beide Server auf Dauer nebeneinander her laufen zu lassen. Nun hatte ich mich aber dazu durch gerungen, den alten Server Platt zu machen und ihn als "Ersatzteil-Spender" zu vergewaltigen :-) Also muss ich ja die FSMO-Rollen von alt auf neu übertragen und natürlich auch den GC. Und das will er nicht, der alte Server.

 

:p vielleicht ahnt er ja, das es ihm an den Kragen gehen soll :p

[Busch-Thomas 10]

Habe gerade mal das Ereigniss-Protokoll des (alten) Servers gecheckt ... Jetzt bringt er mir die Fehlermeldungen EVENT ID 7001 und ID 7022

 

Kann das was damit zu tun haben ???

[bienchen 10]

qucke doch bei http://www.eventid.net