helix 10 Geschrieben 18. September 2006 Melden Teilen Geschrieben 18. September 2006 Hallo, bei der Einrichtung von DNS auf meinen DC (2003) ist mir nicht ganz klar, wie ich es einrichten muss. Ich brauche das DNS nur für interne Windows/AD Zwecke und keinerlei öffentl. Internetgeschi9chten. Nach der Einrichtung einer Forward-Zone mit dem Assistenten bekomme ich immer die Meldung, dass die Stammhinweise nicht gefunden wurden. Wie richte ich nun DNS für meine Zwecke richtig ein? Müssen beide eingerichtet werden, oder gibt`s hier auch eine raplikation - d.h. ich richte einen ein und verweise mein DNS auf dem zweiten DC auf den ersten? Gruß, helix Zitieren Link zu diesem Kommentar
Alt+F4 10 Geschrieben 18. September 2006 Melden Teilen Geschrieben 18. September 2006 Erkläre doch mal detailiert, wie du deinen DNS aufgebaut hast. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 18. September 2006 Melden Teilen Geschrieben 18. September 2006 Mahlzeit Helix, erstmal grundlagen Artikel lesen, hier gibts nen aktuellen: DNS und Active Directory– richtig konfigurieren (Gastbeitrag tecCHANNEL) LG Gadget Zitieren Link zu diesem Kommentar
helix 10 Geschrieben 18. September 2006 Autor Melden Teilen Geschrieben 18. September 2006 Ich habe auf beiden Servern alles nach Installieren und Konfigurieren eines DNS-Servers in Windows Server 2003 eingerichtet - nur die Weiterleitungen nicht, da wir keinen externen DNS haben. Ist es überahupt richtig, dies so auf beiden DC einzurichten? Nun bekomme ich folgende Fehlermeldung: Ereignistyp: Warnung Ereignisquelle: NTDS Replication Ereigniskategorie: Verzeichnisdienst-RPC-Client Ereigniskennung: 2088 Datum: 18.09.2006 Zeit: 15:25:38 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: SERVER02 Beschreibung: Active Directory konnte DNS nicht zum Auflösen der unten aufgelisteten IP-Adresse des Quelldomänencontrollers verwenden. Active Directory wurde erfolgreich mit Hilfe von NetBIOS bzw. dem voll qualifizierten Computernamen des Quelldomänencontrollers repliziert, um die Konsistenz der Sicherheitsgruppen, der Gruppenrichtlinie, der Benutzer und Computer und deren Kennwörter zu erhalten. Eine ungültige DNS-Konfiguration kann andere wichtige Vorgänge auf Mitgliedscomputern, Domänencontrollern oder Anwendungsservern in dieser Active Directory-Gesamtstruktur, einschließlich der Anmeldeauthentifizierung bzw. den Zugriff auf Netzwerkressourcen, beeinflussen. Sie sollten diesen DNS-Konfigurationsfehler unverzüglich beheben, damit dieser Domänencontroller die IP-Adresse des Quelldomänencontrollers mit Hilfe von DNS auflösen kann. Alternativer Servername: server01.bxxdom.lan Fehlgeschlagener DNS-Hostname: 86635aa6-7f6d-4097-8cf6-989ffd3b0f70._msdcs.bxxdom.lan Anmerkung: Standardmäßig werden nur maximal 10 DNS-Fehler innerhalb eines Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler aufgetreten sind. Setzen Sie den folgenden Registrierungswert auf 1, um alle individuellen Fehlerereignisse zu protokollieren: Registrierungpfad: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client Benutzeraktion: 1) Wenn der Quelldomänencontroller nicht mehr funktioniert bzw. dessen Betriebssystem unter einem anderen Computernamen oder NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten des Quelldomänencontrollers mit dem Programm NTDSUTIL.EXE entsprechend der im MSKB-Artikel 216498 dargelegten Schritte. 2) Bestätigen Sie, dass auf dem Quelldomänencontroller Active Directory ausgeführt wird, und dass auf diesen über das Netzwerk zugegriffen werden kann, indem Sie "NET VIEW \\<Quell-DC-Name>" oder "PING <Quell-DC-Name>" eingeben. 3) Stellen Sie sicher, dass der Quelldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, und dass der Host- bzw. CNAME-Eintrag des Quelldomänencontrollers richtig registriert ist, indem Sie die für den DNS erweiterte Version von DCDIAG.EXE, verfügbar unter Windows 2000 Domain Naming System (DNS), ausführen. dcdiag /test:dns 4) Stellen Sie sicher, dass dieser Zieldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, indem Sie die für den DNS erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der Konsole ausführen: dcdiag /test:dns 5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie unter KB 824449: Troubleshooting Active Directory replication failures that occur because of DNS lookup failures, event ID 2087, or event ID 2088 Zusätzliche Daten Fehlerwert: 11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten des angeforderten Typs gefunden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Würde mich über Tipps hierzu freuen. Gruß, helix Zitieren Link zu diesem Kommentar
helix 10 Geschrieben 18. September 2006 Autor Melden Teilen Geschrieben 18. September 2006 schieb hoch ... bevor hier die ersten Feierabend machen ;-) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. September 2006 Melden Teilen Geschrieben 18. September 2006 Du hast also Active Directory integrierte Zonen, die nur sichere, dynamische Updates zulassen. Auf beiden Domänencontrollern ist der DNS-Dienst installiert und jeder hat sich selbst als bevorzugten und den anderen als sekundären DNS-Server eingetragen ? Auf beiden Servern kannst Du die Zonen sehen ?! Lade Dir mal die Windows 2003 Supporttools SP1 herunter und führe auf beiden NETDIAG durch ... Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 18. September 2006 Melden Teilen Geschrieben 18. September 2006 Gern gemachter Fehler ist auch fologendes: Bei zwei oder mehr aktiven DNS Servern, sollten die Server selbst in Ihren Netzwerkeinstellungen alle auf denselben (i.d.r. ertsen) DNS Server zugreifen. Dann registrieren sich alle beim gleichen DNS und die Änderungen können von da aus sauber in alle Richtungen repliziert werden. Zitieren Link zu diesem Kommentar
helix 10 Geschrieben 19. September 2006 Autor Melden Teilen Geschrieben 19. September 2006 Bin jetzt hoffentlich dem Fehgler auf der richtigen Spur: Bei der Implementation vom AD hatte ich Probleme - es dauerte alles wahnsinnig lange. Die Server haben jeweils 2 LAN Karten, wovon ich aber nur jeweils eine benutze und die andere zwar mit einer IP-Adresse versorgt hatte, aber nicht deaktiviert hatte. Ich vermute hier den Fehler, weil er definitiv Probleme mit der Replikation hat. Kann das sein? Entferne gerade das AD und DNS von den beiden Servern, so dass ich beides immer noch auf meinem temporären (dritter Server im Bunde) Server habe. Dann lösche ich mal die betroffenen Server aus AD Standorte und Dienste und werde dann mal - mit deaktivierter 2. LAN-Verbindung - das AD und DNS noch einmal aufsetzen. Spricht was dagegen oder gibt es noch mehr zu beachten? @weg5st0 Wie meinst Du das? Ich habe in verschiedenen Dokumentationen gelesen, dass die Server zuerst sich selbst als bevorzugter Server in den TCP/IP Eigenschaften eingetragen haben sollten und dann als alternativen DNS-Server einen anderen. Gruß, helix Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Gern gemachter Fehler ist auch fologendes: Bei zwei oder mehr aktiven DNS Servern, sollten die Server selbst in Ihren Netzwerkeinstellungen alle auf denselben (i.d.r. ertsen) DNS Server zugreifen. Dann registrieren sich alle beim gleichen DNS und die Änderungen können von da aus sauber in alle Richtungen repliziert werden. Hast Du nen Link, Best Practice oder sowas ? Ich habe das anders gelernt ... Zitieren Link zu diesem Kommentar
helix 10 Geschrieben 19. September 2006 Autor Melden Teilen Geschrieben 19. September 2006 @IThome Wie hast Du es gelernt? Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Wenn du auf zwei Servern jeweils den eigenen DNS angibst, kann es zu folgendem Problem kommen. Jeder Server trägt sich in seiner Zone ein, diese müssten dann abgeglichen werden. Da bei AD-integrierten Zonen die AD-Replikation für den Abgleich zuständig ist und diese erst funktioniert, wenn sich die DCs über DNS auflösen können, bekommst du hier ein Henne-Ei Problem. Lesen kannst du übrigens alle möglichen empfohlenen Configs für DNS. Wir hatten unsere Server z.B. überkreuz konfiguriert, dies beschleunigte bei 2000 den Startvorgang erheblich. Wir verfahren aber bei der Neuinstallation eines DC so, dass wir die DNS-Clienteinstellungen zunächst in jedem Fall auf einen anderen DC zeigen lassen, der zuverlässig repliziert, damit sich die Info über den neuen DC auch im DNS verbreitet. Danach kannst du es ja umstellen. WIr hatten übrigens letzte Woche Healthcheck unseres ADs durch MS. Vom MS Consultant wurde uns empfohlen, die DCs alle gemeinsam auf einen DNS zeigen zu lassen, um den obigen Schwierigkeiten aus dem Weg zu gehen. Da wir aber teilweise recht dünne Leitungen haben, belassen wir alles beim Alten und stellen die DNS-Einträge nur im Störungsfall um. Gruß woiza Zitieren Link zu diesem Kommentar
Squire 272 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 jeder DNS sollte sich selbst als DNS drin stehen haben - der Abgleich erfolgt über den DNS Server selbst - Active Directory integrierte DNS Zonen werden nach dem Multimaster Prinzip bearbeitet. Sprich wenn der DNS sauber konfiguriert ist, dann ist es völlig egal an welchem DNS sich ein Client registriert! BTW - Du kannst bei der DNS Zone angeben wo sie überall repliziert wird (Forest, Domain, nur auf DNS Servern, auf allen DCs) Wichtig - man sollte die DNS Server auch als Nameserver auf dem entsprechenden Karteireiter hinzufügen und auch jeweils den NS Servicerecord setzen Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Hallo Squire, es ist natürlich egal, an welchem DNS sich der Client registriert, das ist ja das Tolle an den AD-integrierten Zonen. Wenn ich aber ein Problem mit der Replikation habe, werden sich diese Zonen eben nicht angleichen. Dann kann es schon helfen, dass alle DCs, die ihrerseits ja auch DNS-Clients sind, auf den Selben DNS zeigen. Dann registrieren sie sich alle in einer gemeinsamen Kopie der Zone und bekommen über diese dann auch die Infos über die Replikationspartner. Ein Beispiel: Wir hatten im Testlan einen DC an einem anderen Standort, der aufgrunf von diversen Routerproblemen drei Wochen vom Netz war. Durch die Alterung sind in seiner Kopie der Zone alle Einträge der Replikationspartner rausgeflogen, ebenso ist er aus dem DNS in der zentralen Site rausgeflogen. Der hätte nie wieder repliziert. Für die Replikation muss er im DNS zunächst die GUID des Pertners finden, über diese bekommt er den Namen und über den Namen die IP. Er schreibt sich jetzt immer fleißig in "seine" Zone und bleibt da alleine. Wenn ich diesen jetzt auf einen DNS in der zentralen Site zeigen lasse, den netlogon neu starte und noch nen ipconfig /registerdns vornehme "sieht" er wieder die anderen und wird auch selbst von den anderen gesehen. Dann kriegt er wieder einen aktuellen Stand seiner DNS-Zone. Danach kann er gerne wieder auf sich zeigen. Das gleiche Phänomen kann es bei einer Neuinstallation auch geben. Gruß woiza Zitieren Link zu diesem Kommentar
helix 10 Geschrieben 19. September 2006 Autor Melden Teilen Geschrieben 19. September 2006 Moin Ihr Zwei! Liege ich denn nun mit meiner Vermutung bzgl. meines Problems richtig? Habe jetzt einfach mal damit angefangen (so wie ich es beschrieben habe). Werde weiterhin erst einmal jeden Server auf sich selbst zeigen lassen und als alternativen DNS einen anderen eingetragen lassen. Gruß, helix Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Hi, zwei Lankarten sind prinzipiell für die Replikation kein Problem. Allerdings solltest du die Karte ohne Kabel nicht in den DNS eintragen lassen. Am besten deaktivierst du sie, wenn du sie nicht brauchst. Gruß woiza Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.