tabbbi 10 Geschrieben 23. März 2006 Melden Teilen Geschrieben 23. März 2006 Hallo, habe folgendes Problem: eine Root-Domäne mit mehreren Subdomainen. Jede Domäne hat 2DCs. DNS-Auflösung funktioniert (fast) gut, bis auf folgendes Problem: In einer Subdomäne ist ein DC von den anderen Domains aus nicht erreichbar. Ping bringt folgende Ergebnisse: Ping [iP] -> geht Ping server2.subdomain.domain.de -> geht Ping server2 -> geht nicht !!! Woran kann das liegen? Vom anderen DC der Domaine aus kann ich Ihn anpingen. Leider kenn ich mich mit DNS noch nicht so gut aus - Ihr habt da sicher schneller eine Idee! Danke schon mal! Tabbbi Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. März 2006 Melden Teilen Geschrieben 23. März 2006 Wenn Du nur PING SERVER angibst, werden die Regeln zur Auflösung unvollständiger Namen angewendet (findest Du in den Eigenschaften von TCP/IP - Erweitert - DNS) Standardmässig werden der primäre, der verbindungsspezifische und der übergeordnete des primären Suffixes angehängt. Machst Du beispielsweise solch eine Auflösung von einem Client, der Mitglied der AD-Domäne TEST.DE ist und demzufolge auch TEST.DE als primären Suffix hat, würde er fragen nach SERVER.TEST.DE und SERVER.DE Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 23. März 2006 Melden Teilen Geschrieben 23. März 2006 Ping server2.subdomain.domain.de -> geht Ping server2 -> geht nicht !!! ping auf FQDN geht, ping auf Netbios-Namen geht nicht. Klingelts? Wenn Du auf Netbios-Namen eine Ping-Antwort erhalten möchtest, sind die dazu notwendigen Regeln auch einzuhalten. Z.B. DNS-Namen zur WINS-Namensauflösung verwenden, WINS mit Partner-Replikation konfigurieren etc. Erschwerend kommt hinzu, dass Netbios standartmäßig nicht routbar ist. Ich persönlich würde hier ansetzen. grüße dippas Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. März 2006 Melden Teilen Geschrieben 23. März 2006 Wie kommst Du darauf, dass das ein NetBIOS-Name ist ? Eine angepasste DNS-Suffix Suchliste würde genügen ... Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 23. März 2006 Melden Teilen Geschrieben 23. März 2006 Naja, er pingt halt nur den Computernamen an, nämlich SERVER2. Und wie wir nachlesen können: http://de.wikipedia.org/wiki/NetBIOS-Name grüße dippas Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. März 2006 Melden Teilen Geschrieben 23. März 2006 Er pingt den Hostnamen an, der zwar genauso heissen kann wie der Computername (NetBIOS-Name) , aber nicht muss ... Korrektur: Es gibt den Computernamen (Hostname), den vollständigen Computernamen (FQDN) und den NetBIOS-Namen Zitieren Link zu diesem Kommentar
tabbbi 10 Geschrieben 23. März 2006 Autor Melden Teilen Geschrieben 23. März 2006 Ich glaube das Problem ist gelöst - ich weiß zwar nicht genau wie, weil ich verschiedenes gemacht habe: 1. im DNS bei Forward- und Lookupzonen fehlten teilweise die IPAdressen für den Server2 - es stand dann da "Unbekannt" -> ich habe sie hier mal manuell hinzugefügt 2. Ich habe bei seinem eingetragenen Wins-Server mal eine Push-Replikation zu den anderen WINS-Servern angeschoben (bei denen stand nämlich kein Eintrag auf Server2) Obwohl ich mir nicht erklären kann, dass das nicht automatisch gehen müsste! Danke Euch für Eure Mithilfe! Tabbbi Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. März 2006 Melden Teilen Geschrieben 23. März 2006 Der Server scheint sich nicht im DNS-System zu registrieren , da solltest Du nochmal nachschauen ... Die WINS-Namensauflösung alleine wird auf Dauer nicht reichen (wenn der Server ein DC ist). Du kannst mit NBTSTAT -r überprüfen, ob er den Namen mit Hilfe von WINS aufgelöst hat oder mit IPCONFIG /DISPLAYDNS, ob eine DNS-Anfrage die Antwort geliefert hat Zitieren Link zu diesem Kommentar
tabbbi 10 Geschrieben 24. März 2006 Autor Melden Teilen Geschrieben 24. März 2006 Hallo ihr, mh scheint da wirklich ein ernsteres Problem geben. Auf dem anderen DC in dieser Domäne gibt es jede Menge DNS und Verzeichnisdienst-Fehler. Ich nenne mal die IDs mit - vielleicht hatte jemand von euch schon mal so ein Problem. Klingt alles fast so als sei mein AD kaputt. DNS ID 4004 und 4015 (im Wechsel aller 3 Minuten) NTDS Replication 2108 und 1084 (minütlich) NTDS ISAM ID 474 (minütlich) Was man dazu bei eventid.net liest klingt nicht sehr erbaulich... Tabbbi Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 24. März 2006 Melden Teilen Geschrieben 24. März 2006 Das scheint mir hier aber hauptsächlich ein Problem von DNS zu sein. Das muss hundertprozentig in Ordnung sein, sonst gibts echt Probleme in AD, wie du siehst ;) Poste mal die Domänenstruktur (besonders den DNS Namensraum), und wie die DNS Auflösung konfiguriert ist und zwar serverseitig und clientseitig. Christoph Zitieren Link zu diesem Kommentar
tabbbi 10 Geschrieben 24. März 2006 Autor Melden Teilen Geschrieben 24. März 2006 Hallo Christoph, gut ich will mal versuchen dass etwas zu erklären (vielleicht versteh ich DNS dann selbst auch besser) Ich habe einen Domain-Forest mit einer Root-Domaine : root.com -> in dieser Domaine gibt es nur die beiden DCS: dc1.root.com und dc2.root.com (beide sind DNS-Server), keine weiteren Clients -> leiten Anfragen ans Inet weiter -> Delegierungen zu allen Subdomains Die Subdomains haben die Form sub1.root.com sub2.root.com etc. - jede Subdomaine (SD) hat 2 DCs die beide DNS-Server sind - in den SD liegen die Clients - haben jeweils eine Weiterleitung an die Root-Domaine Die Clients sind so configuriert, dass als DNS-Sever die beiden DCs ihrer eigenen Domaine angegeben sind. Für Auflösung unvollständiger Namen ist Primäre- und verbindungsspezifische DNS-Suffixe anhängen" angehakt, außerdem "Übergeordnete Suffixe des primären DNS-Suffixes anhängen" und "Adressen dieser Verbindung im DNS registrieren" Die DNS-Zonen sind AD-integriert und lassen sicher und nicht sichere Updates zu. Ich hoffe ich habe nicht allzuviele Begriffe durcheinander gebracht. Brauchst du noch mehr Infos? Danke für Eure Hilfe Tabbbi PS: neues Problem: Ich kann in einer der Subdomainen eine der Reverse-Lookup-Zonen nicht mehr anzeigen (das ist die in deren Netz die DCs der Root-Domaine liegen) Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 24. März 2006 Melden Teilen Geschrieben 24. März 2006 Und jeder DC hat sich selbst als 1. DNS eingetragen und den jeweils anderen DC einer Domain als 2. DNS Server? Klappt die Namensauflösung von einer Subdomain zu den anderen Subdomains? Wie ist die Verteilung der GC Server? Je 1 pro Domain? Oder sind alle DCs auch GC Servers? Und handelt es sich um W2K oder W2K3 Server? Wird die _msdcs.root.com-Zone an alle DCs im ganzen Forest repliziert? Ne Menge Fragen, ich weiß, aber sie helfen uns, Licht in die Problematik zu bringen. Christoph Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. März 2006 Melden Teilen Geschrieben 24. März 2006 Die DNS-Einrichtung sieht vom Grundsatz her ok aus. Mir scheint, du hast ein dickes Problem mit deinem AD. Wo kommen die o.g. Fehler. Ich helfe da nur ungerne, weil so ein Problem von hier aus im Board mit den paar Infos zu beurteilen, und dir beim Reparieren helfen wollen ..... :suspect: Und wenn du dich nicht fit genug in der Materie fühlst, würde ich dir eigentlich raten, einen guten Externen ins Haus zu holen. Ansonsten ist jetzt Wochenende, eine gute Zeit zum Basteln :D Du solltest nach diversen Standardtests und einer DC-Sicherung dir diesen Artikel ansehen und durcharbeiten: http://support.microsoft.com/kb/837932/en-us Vielleicht gibt sich das dann mit dem DNS-Problem und den AD-integrierten Zonen, ansonsten musst du den teilw. auch neu machen. Alles ohne Gewähr ;) Viel Erfolg grizzly999 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 24. März 2006 Melden Teilen Geschrieben 24. März 2006 Ich hätte vielleicht doch auch mal EventID reinschauen sollen... :rolleyes: Grizzly hat absolut recht. Die AD-Datenbank scheint beschädigt zu sein, und daher rühren dann wohl auch die DNS-Fehler. Christoph Zitieren Link zu diesem Kommentar
tabbbi 10 Geschrieben 24. März 2006 Autor Melden Teilen Geschrieben 24. März 2006 Gut, ich werd mal versuchen sie zu beantworten Und jeder DC hat sich selbst als 1. DNS eingetragen und den jeweils anderen DC einer Domain als 2. DNS Server? fast, bei beiden DCs ist DC1 der 1.DNS-Server, und DC2 der 2.DNS-Server Klappt die Namensauflösung von einer Subdomain zu den anderen Subdomains? ja prinzipiell schon. Was mir auffällt (ich weiß nicht ob das normal ist), wenn ich ping sub1-dc1 aus der Subdomäne sub2 ausführe bringt er mir als Antwort: Ping wird ausgeführt für sub1-dc1.sub2.root.com -> sub1-dc1 befindet sich ja nicht in der Domäne sub2 - wie kommt dann diese Antowrt zustande? Wie ist die Verteilung der GC Server? Je 1 pro Domain? Oder sind alle DCs auch GC Servers? einer pro Domain Und handelt es sich um W2K oder W2K3 Server? W2k3 Server, allerdings ist der Domainmodus Windows 2000 pur bzw. Windows 2000 gemischt Wird die _msdcs.root.com-Zone an alle DCs im ganzen Forest repliziert? An alle DNS-Server im Forest Ne Menge Fragen, ich weiß, aber sie helfen uns, Licht in die Problematik zu bringen. Fragen sind immer gut, da versteh ich auch selbst alles besser... @grizzly999: Du hast schon Recht, wahrscheinlich ist es echt schwierig mit hier zu helfen - das Problem ist doch sehr komplex. Aber vielleicht bringen mich eure Hinweise doch etwas weiter. lg Tabbbi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.