IThome 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Wir verfahren aber bei der Neuinstallation eines DC so, dass wir die DNS-Clienteinstellungen zunächst in jedem Fall auf einen anderen DC zeigen lassen, der zuverlässig repliziert, damit sich die Info über den neuen DC auch im DNS verbreitet. Danach kannst du es ja umstellen. Da hast Du natürlich absolut recht. Wenn ich einen DC umziehe z.B., mache ich es auch so. Im laufenden Betrieb (nachdem einmal vollständig registriert und repliziert wurde), lasse ich immer bevorzugt auf den eigenen DNS-Server und sekundär auf einen anderen zeigen. Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Hallo, ganz kurz, Woiza hat das Problem ja schon beschrieben... hier noch eine Info mehr: DNS Eintrag verweist zuerst auf eigenen DNS-ServerWenn Sie mehrere DCs haben, und jeder DC zuerst sich selbst fragt und dann trägt dieser natürlich auch seine Adressen in seiner eigenen Zone ein. Nur wie "findet" der DC dann die anderen DCs, die sich auch alle bei sich selbst eintragen ?. Ohne diese Information kann sich aber das AD auch nicht replizieren und damit die im AD hinterlegten DNS-Zonendaten. Daher sollte in einer Umgebung mit mehreren DCs der DNS-Eintrag auf einen anderen DC verweisen, da sie ansonsten jede Menge kleine "Inseln" bekommen. Siehe auch MSXFAQ.DE - DNS. Und das steht hier: MSXFAQ.DE - Die häufigsten Fehler des Administrators Es sollte später (bei einer ersten erfolgreichen Replikation) nicht zu einem Problem kommen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Aha, also gilt es eigentlich in erster Linie für den Fall, wenn ein zweiter DC zukommt , der auch DNS-Server ist (was dann ja auch nachvollziehbar ist) ?! Ist einmal vollständig registriert/repliziert, verweist jeder zuerst auf sich selbst . Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Aha, also gilt es eigentlich in erster Linie für den Fall, wenn ein zweiter DC zukommt , der auch DNS-Server ist (was dann ja auch nachvollziehbar ist) ?! Ist einmal vollständig registriert/repliziert, verweist jeder zuerst auf sich selbst . Genau so machen wir das, mit dem kleinen Unterschied, dass wir die Dinger in jedem Standort überkreuz zeigen lassen. Unter 2000 gab es das Problem beim Reboot, dass sich der Netlogon in den DNS eintragen wollte, dies geht erst, wenn der DNS-Dienst läuft, der seinerseits auf das Anspringend es Netlogon wartet... Und dann ging das Spielchen bis zum Timeout. Teilweise dauerte so ein Reboot mehrere Minuten. Mit den Einträgen überkreuz kein Problem. Außer, man bootet beide gleichzeitgig. ;) Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Si! Normalerweise ist das eh so, da sich der dcpromo i.d.r. nur sauber machen lässt, wenn das bestehende AD gefunden wird, also über dns gesucht werden kann. Sprich beim Dcpromo steht normalerweise nicht der eigene Server sondern der bereits bestehende DNS als erster Server drin. Wenn das dann später geändert wird sollten keine Probleme entstehen, aber um ehrlich zu sein sehe ich keinen Grund einen solchen Server zu ändern... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Gern gemachter Fehler ist auch fologendes: Bei zwei oder mehr aktiven DNS Servern, sollten die Server selbst in Ihren Netzwerkeinstellungen alle auf denselben (i.d.r. ertsen) DNS Server zugreifen. Dann registrieren sich alle beim gleichen DNS und die Änderungen können von da aus sauber in alle Richtungen repliziert werden. Das kann ich jetzt nicht nachvollziehen.... Die DNS Einträge in den IP Eigenschaften des DC sind vor allem dafür da, damit seine eigene DNS Auflösung in Gang kommt, und natürlich auch damit er seine Einträge aktualisieren kann. Nun, wird ein weiterer DC promotet muss der natürlich auf einen bestehenden DNS zeigen da er auch sonst nicht promotet werden könnte. Nachher sollte er aber auch auf sich selbst zeigen, denn der erste DNS könnte ausfallen, und dann ist Sense mit Auflösung. Die DCs werden übrigens über die _MSDCS Zone gefunden, und die Einträge dazu werden ja beim promoten erstellt. Somit wissen alle wer, wo, und was ist. Natürlich ist es aber sinnvoll als sekundären DNS auf einen anderen zeigen zu lassen, denn der DC könnte ja Probleme mit seinem eigenen DNS Dienst bekommen. P.S.: Ausserdem könnte es zu performance Problemen kommen, sollte der primäre DNS auf einen anderen als sich selbst Zeigen, z.B. wenn der erste DNS schwächere Hardware hat, usw.. Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Hi weg5st0, eigentlich gibts wenig Grund, da sich die Clientanfragen der DCs ja in Grenzen halten. Deshalb empfiehlt ja MS heute auch, alle DCs/DNS auf einen zeigen zu lassen. Das ist definitiv die Config, bei der ich am wenigsten beachten muss und die am unempfindlichsten gegen Replikationsstörungen ist. Aber, wenn ich weiß, was ich tue, dann gehen auch die anderen Modelle, ist dann eher ne Philosophiefrage. Und vor vier Jahren hat MS uns noch das Überkreuz empfohlen. Gruß woiza Zitieren Link zu diesem Kommentar
helix 10 Geschrieben 19. September 2006 Autor Melden Teilen Geschrieben 19. September 2006 was heißt das nun für mich? Was soll ich tun? Liegt hier der Hund begraben? Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Hi Velius, du hast recht, wenn alles funktioniert, kein Problem. Dann ist die Redundanz größer, wenn jeder auf sich zeigt. Wobei trotzdem jeder zunächst auf den "zentralen" zeigen könnte und sekundär auf sich. Aber sobald du Inkonsistenzen in den Zonen hast, wird es interessant. Ich habe ja schon ein Beispiel gebracht, dass uns viel Kopfzerbrechen bereitet hat. Ich hätte noch eins: Wir mussten einen DC mit ntdsutil rauswerfen. Leider waren wir etwas ungeduldig und haben die Maschine wieder reingeholt, ohne vorher die DNS-Zonen zu kontrollieren. In der msdcs stand der GUID-Eintrag noch drin... Jetzt haben wir bei der neuinstallierten Maschine den DNS-Eintrag erst auf sich und dann auf eine andere Maschine zeigen lassen. Alles kein Problem, DCPromo tut, weil er selbst die Zone noch nicht hat, nimmt er den zweiten für die Auflösung. Nach dem Reboot will er sich mit allen Records im DNS registrieren und nimmt dann aber seine eigene Zonenkopie. Im ganzen Forest steht er also noch mit der alten GUID, nur auf sich selbst mit der neuen. Wie soll die Maschine je replizieren? Und der sekundäre Eintrag wird ja nur dann verwendet, wenn der primäre Server nicht erreichbar ist. Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Hallo Helix, ich würde dir empfehlen, alle DCs primär auf einen DC zeigen zu lassen. Wenn alles tut, kannst du gerne wieder zurückstellen. Normalerweise müsste deine dritte Maschine schon lange eine Zone bekommen haben, weil diese ja AD-integriert ist. Also hast du ein Replikationsproblem. Können wir uns irgendwie übrigens auf einen Thread einigen, das ist so ein wenig anstrengend. Ich würde dann ab jetzt zu deinem Problem nur noch im anderen posten, ok? Gruß woiza Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. September 2006 Melden Teilen Geschrieben 19. September 2006 Puh, und ich hab schon gedacht, ich hab irgendeinen Kram gelernt ... :D Das habe ich das erste Mal gehört, dass alle auf einen zeigen sollten (mit Ausnahme einer Swing-Migration oder dem Zufügen eines DCs) ... Aber die Erklärung dafür macht Sinn, ist also wohl eine Frage des Geschmacks, wie man es macht ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.