2K3 Server - Gehäuft DNS Probleme

[herakles99 10]

Hallo,

ich möchte hier eine allgemeine Frage stellen und als Diskussion führen, wobei es für mich

wichtig wäre, viele Meldungen zu bekommen, damit ich nicht ramdösig werde!

Wer Lösungen hat, gerne; allein der Glaube fehlt mir.

 

Mir kommt es so vor, als würden in der letzten

Zeit vermehrt DNS Probleme innerhalb der Server 2003 Familie auftreten.

In nur 11 Arbeitstagen wurde ich mit 3 gleichen/ähnlichen Problemen konfrontiert.

Gleiches höre ich von Kollegen. Viele davon waren der Ansicht, daß dieses Ärgernis

schon lange vorherrschen würde, entweder hätte ich bisher nur Glück gehabt oder zu wenige

Fälle auf den Tisch bekommen. Einige Kollegen sind zudem im gleichen Kurs (MCSE)

eingeschrieben und teils langjährig erfahren. Hier sind heiße Diskussionen im Gange!

 

 

Fakten aus 3 verschiedenen Kundendomänen:

Die Server waren zwischen 4 und 17 Monate im Einsatz und liefen bis vor wenigen

Wochen (Anfang 15. September, 22.9. und 26.9.) bezüglich DNS wie auch bei der Replikation

absolut rund. Alle DC sind ausnahmslos auf dem aktuellen Patchstand vom September 06.

Bei allen Servern gemeinsam, es gibt im Netz mindestens 2 DC.

Festgestellte Probleme in jeder Domäne auftretend:

- Fehler bei der Replikation Fehler NTDS 2087

- Fehler NTDS KCC Fehler 1926

- Netlogon Fehler 5782

- ntfrs Fehler 13508

Namensauflösung mal ja, mal nein, Ping bei allen ok, FQDN wird meist aufgelöst.

netdiag /test:dns gibt bei allen 3 Domänen aus -> DNS Test: failed

So viel an Gemeinsamkeiten.

 

Diese Fehler sind bei allen 3 Domänen zu finden.

Die verwendete Hardware differiert. Ich kann keinen Zusammenhang finden zwischen den

Herstellern (HP, FSCF und Wortmann Geräte).

Hardwaredefekte können ganz ausgeschlossen werden.

Alle 3 Domänen funktionieren ohne Einschränkung, bis auf eine, die gelegentlich die Skripte

nicht abarbeitet. Wo zudem Notebooks im Einsatz sind, funtkionieren die Skripte ausnahmslos

erst nach manuellem anstoßen über \\Server\netlogon\logniscript. So was schon gehört?

Bei allen 3 Domänen ist Veritas, entweder 9.1 oder 10.0 installiert.

Auf einigen gestreamerten DC kommt die Veritas Meldung:

- die Registry ist beschädigt

- Endgültiger Fehler: 0xe000fedf - Beim Lesen eines Objekts trat ein Fehler auf

 

Der Versuch, das mit beutility zu managen, brachte kein anderes Ergebnis.

Die DC wurden bis zum vergasen mit Virenscannern, Spyware Scannern, Hijack, Rootkit usw

untersucht. Teilweise mittels online Scan (Kaspersky). Nichts gefunden.

 

Alle 3 Domänen wurden entweder Kunden seits installiert oder von einem externen

Dienstleister, die Kunden sind für mich somit neu. In einem Fall wurde dem vorherigen

Dienstleister das Vertrauen entzogen, weil er das nicht in den Griff bekam!?

Daher die Frage, alles nur purer Zufall? Ist jemandem ein Patch bekannt das Ärger macht?

Gibt es was zu beachten, was mir entgangen ist? Ich hätte gerne einen Ansatz.

Oder habe ich da mal wieder ins Klo gegriffen?

[Stoni 10]

hi,

 

reihe mich mal bei Dir ein, allerdings nur mit

- Fehler NTDS KCC Fehler 1926

- Netlogon Fehler 5782

- ntfrs Fehler 13508

 

seit wann müßte ich noch mal erroieren.

 

Stoni

[herakles99 10]

Hi stoni,

anscheinend sind wir beide die einzigen hier mit diesem Prob. Kann ich fast nicht glauben.

Sonst niemand involviert?:suspect:

[blub 115]

Hi,

naja, dns ist halt auch nicht so einfach...Wenn deine Kollegen meinen, dass dieses Ärgernis schon lange vorherrscht, dann sollten sie in die gelben Seiten schauen. Von alleine löst sich dieses Ärgernis nur selten auf

 

aber konkret: Hast du mal einen Netzwerktrace gezogen, warum DNS-Anfragen nicht oder falsch beantwortet werden (access denied, entry not found, ungültiger Request .. gibt ja dutzende Möglichkeiten. Sagt das dns-Eventlog etwas? Was ist die Ausgabe von "dcdiag /test:dns /s:<dnsserver> /e /q" ?

 

cu

blub

[herakles99 10]

Hallo blub,

hat sich etwas verändert.

Es ist nur noch 1 Domäne übrig, die restlichen konnten mit viel Aufwand (waren recht klein) wieder erweckt werden.

Jetzt ist noch 1 übrig.

Da ist es gestern wohl zum GAU gekommen. Da war auf einmal das Netlogon weg und es kamen nur noch Userenv 1006 und 1030, sowie massenhaft andere Fehler, die ich nicht mehr einsehen kann, weil der Zugriff immer wieder weg ist und neu gestartet werden muss. Dann kann das Ereignis nicht mehr ausgelesen werden, weil der DC hängt.

Ein neuer Check mit F-Secure hat dort doch einen massiven Befall mit Trojanern ergeben. Der Versuch, die Mistdinger zu entfernen, hat wohl alles zerschlagen (hat der Kunde selbst gemacht).

Man kann nirgends mehr zugreifen. "Anmeldeserver nicht vorhanden". Remote Zugriffe werden jetzt bereits beim Öffnen des Fensters mit Fehlern beendet. Der installierte Scanner von Trend Micro der drauf war, beendet sich praktisch stündlich und muss neu gestartet werden.

Ich meine, dass man die Dom auf jeden Fall neu aufsezten muss, kann mich da aber nicht durchsetzen. Die Admins wollen lieber noch versuchen.... Das liegt daran, dass etwa 3 Arbeitstage einzuplanen sind, die will man umgehen.

Dabei bringt der Exchange inzwischen DS Meldungen im Minutentakt.

Was ist Eure Meinung dazu? Kann man dazu noch eine andere haben als platt machen?

Um so mehr Meinungen dazu um so besser als Argument für mich beim Kunden.

 

... PS:

Exchange online ist jetzt auch nicht mehr möglich. Kein Trust usw. Also doch. Die ÄDom muß geplättet werden.

[blub 115]

hallo herakles,

mir fallen 2 Möglichkeiten ein:

a) restore der Domäne auf einen funktinierenden Stand. Setzt natürlich Backups voraus.

b) man analysiert den Virus auf seine Schadensfunktion. Daran kann man erst entscheiden, ob eine Reparatur möglich ist

 

cu

blub

[herakles99 10]

hallo herakles,

mir fallen 2 Möglichkeiten ein:

a) restore der Domäne auf einen funktinierenden Stand. Setzt natürlich Backups voraus.

b) man analysiert den Virus auf seine Schadensfunktion. Daran kann man erst entscheiden, ob eine Reparatur möglich ist

 

cu

blub

Hallo,

da haben wir alle gewisse Bauchschmerzen. Die Daten restaurieren ok, aber den Rest?

Ich möchte gerne eine nagelneue AD ohne irgendwelche DNS registrierungsprobleme.

Ist es sinnvoll bei einer Domäne die den Katalog nicht mehr findet und weder Sysvol noch Netlogon Verzeichnisse hat, zu restaurieren?

Was meinst Du?

[blub 115]

wenn du dir bzw. deinen Anwendern ein nagelneues AD zumuten kannst, ist das natürlich die sauberste Variante. Wir z.B. könnten zumachen, wenn alle User, Gruppenmitgliedschaften, Berechtigungen etc. verloren wären.

 

Ansich hört sich ja alles nach DNS-Problemen an. Die bekommt man normalerweise schon wieder in den Griff.

 

cu

blub

[herakles99 10]

Ansich hört sich ja alles nach DNS-Problemen an. Die bekommt man normalerweise schon wieder in den Griff.

cu

blub

Hallo, blub,

ich möchte an die DNS Probleme allein nicht mehr glauben. Es gibt in dieser Dom keinen Zugriff mehr auf die Gruppenrichtlinien, der Globale Katalog kann nicht gefunden werden, nltest gibt aus ->kein Anmeldeserver vorhanden<, netdom findet keine Domäne mehr und so weiter und so fort.

Natürlich könnte man versuchen, die Rollen zu seizen - und ein Stoßgebet gen Himmel richten

Veritas Backup kann die AD vom Band ebenfalls nicht mehr herstellen, da "rot" gekennzeichnet, also tot?

Ich bin wirklich froh, wenn am Freitag wieder die Leute eintrudeln die davon mehr Ahnung haben als ich.

Mittlerweile glaube ich schon, daß mich bei MS irgend einer nicht mag, weil nur bei mir die miesen Sachen hängen bleiben.

[blub 115]

Mittlerweile glaube ich schon, daß mich bei MS irgend einer nicht mag, weil nur bei mir die miesen Sachen hängen bleiben.

 

Microsoft bist du wahrscheinlich ziemlich egal.

Du musst hauptsächlich denjenigen in den Hintern treten, der diese AD-Umgebung

- ohne Backup/ Restorekonzept

- ohne funktionierenden Virenschutz

- ohne einfachstes Monitoring

 

eingerichtet hat.

 

Versuch beim nächsten Versuch dieses Konzepte mit den Betriebsbeschreibung von den Fachleuten einzufordern.

 

cu

blub