AD - Migration 2003 ->2008R2 & DNS Fehler

[tsaenger]

Hallo Daim,

Vielen Dank für deine Antwort.

ich hoffe ich kann dir auf all deine Antworten/Fragen auch ein Antwort liefern.

Zitat von Daim Merke dir für die Zukunft: Man stuft ohnehin nicht in der nächsten Sekunde den "alten" DC herunter. Diesen lässt man noch einige Tage mitlaufen und bevor man diesen endgültig herunterstuft, schaltet man ihn für ein paar Tage erstmal aus um zu überprüfen ob auch alles noch so funktioniert wie es soll.

Alles klar. Im Nachhinein habe ich mich auch gefragt, warum ich ihn direkt heruntergestuft habe.

Das kommt evtl. daher. da sich der alte und neue DC noch nicht abschließend repliziert haben. Steht denn nun in den TCP/IP-Settings des neuen DC, der neue DC selbst drin?

Ja dort habe ich localhost eingetragen. Im DNS dieses Servers habe ich die Weiterleitung die auf den alten defekten Server zeigte entfernt und auf unseren externen DNS gesetzt. Somit löst der Neue DC die DNS anfragen wieder auf.

Die DNS-Einträge muss und tätigt der DC selbst. Denn wenn er das nicht tut, liegt ohnehin ein Problem vor. Hast du mal mittlerweile den neuen DC neugestartet? Falls nicht, dann jetzt. Zumindest starte den Anmeldedienst neu.

Ja ich habe Ihn nun mehrfach neu gestartet.
Im DNS steht unter _msdcs der kaputt konfigurierte DC3 drin.

Ich weiß das lässt sich jetzt so einfach schreiben, aber gerade in schwierigen Situationen wie diese sollte man zuerst einen kühlen Kopf bewahren. Erst dann, sofern man sich das zutraut, sich an die Analyse wagen.

Jap ich habe nun etwas Abstand bekommen. Und wie gesagt der DNS läuft mittlerweile wieder.


Dann trage in den TCP/IP-Settings des neuen DCs diesen zweiten DC als primären DNS-Server ein. Denn auf dem zweiten DC sollte ja alles in Ordnung sein.



Das kannst du zwar machen, aber noch gibt es brechtigte Hoffnung den anderen (neuen) DC zum fliegen zu bringen. Abgesehen davon, die Rollen spielen bei einem DC wechsel keine so große Rolle.

Was hast du denn jetzt mit NTDSUTIL durchgeführt und warum? Du solltest nicht voreillig "irgendetwas" tun.

Also ich habe wie geschilder mitlerweile 3 DC's:

DC2 (alter DC der zur Zeit der w2k3 Domain noch lief)
DC3 (neuer DC auf den ich die Rollen übertragen hatt, den ich aber dann durch meine vorschnellen Handlungen zerstört habe; Er hat mitlerweile keine Rollen mer)
BAK (aktuell neuer DC auf dem nun alle Rollen übertragen sind)

[tsaenger]

Hallo,

also nach einem Neustart konnte ich im eventvwr unter DNS folgenden Eintrag finden:

Code:

Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde.

und anschließend

Code:

Das Laden von Zonen im Hintergrund ist abgeschlossen. Alle Zonen sind nun für DNS-Aktualisierungen und Zonenübertragungen verfügbar, sofern ihre jeweilige Konfiguration dies zulässt.

Der Dateireplikationsdienst teilt mir folgendes mit:

Code:

Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "BAK" zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann. 
 
Geben Sie "net share" ein, um die SYSVOL-Freigabe zu überprüfen.

Der Verzeichnisdienst:

Code:

Die Active Directory-Domänendienste haben den globalen Katalog in folgendem Standort gefunden. 
 
Globaler Katalog:
\\BAK.name.domain.de 
Standort:
Standardname-des-ersten-Standorts

und weiter:

Code:

NTDS (596) NTDSA: Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank 'C:\Windows\NTDS\ntds.dit' abgeschlossen.

Abschließend würde ich sagen, das von den Eventlogs das gar nicht mal so schlecht aussieht oder?

Was mich einwenig stutzig macht ist folgendes:

Code:

Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server LDAP/BAK festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
 (0xc000005e)".

und

Code:

Die dynamische Registrierung oder das Löschen einer oder mehrerer DNS-Einträge, die mit der DNS-Domäne "name.domain.de." verknüpft sind, ist gescheitert. Diese Einträge werden von anderen Computern verwendet, damit diese Server entweder als Domänencontroller (wenn die angegebene Domäne eine Active Directory-Domäne ist) oder als LDAP-Server (wenn die angegebene Domäne eine Anwendungspartition ist) ermittelt werden können   

Mögliche Ursachen für den Fehler:  
- TCP/IP-Eigenschaften der Netzwerkverbindungen des Computers enthalten falsche IP-Adressen der bevorzugten und alternativen DNS-Server. 
- Die angegebenen bevorzugte und alternative DNS-Server werden nicht ausgeführt. 
- DNS-Server, die primär für die zu registrierenden Einträge vorgesehen sind, werden nicht ausgeführt. 
- Bevorzugte oder alternative DNS-Server sind mit falschen Stammhinweisen konfiguriert. 
- Übergeordnete DNS-Zone enthält falsche Delegierung auf die untergeordnete autorisierende Zone für die DNS-Einträge, bei deren Registrierung ein Fehler aufgetreten ist.  

BENUTZERAKTION  
Beheben Sie die oben angegebenen Konfigurationsfehler (sofern vorhanden), und initiieren Sie das Registrieren oder Löschen der DNS-Einträge, indem Sie "nltest.exe /dsregdns" an der Eingabeaufforderung des Domänencontrollers ausführen oder indem Sie den Anmeldedienst auf dem Domänencontroller starten.

ein nltest.exe /dsregdns ergabe

Code:

Fehler bei I_NetLogonControl: Status = 5 0x5 ERROR_ACCESS_DENIED

Gruß

Tobias

[tsaenger]

Guten morgen Forum,
[Offtopic]
so nun hab ich mal zwischendurch 6 St. gepennt.
[/Offtopic]

Am liebsten würd ich ja den alten DC03 einfach ausschalten.
Problem dabei ist aber, das im DNS dieser noch relativ oft wie zb. im Eintrag _msdcs drin steht. Beim reboot dieses DC03 erhalte ich auch von exchange ne Fehlermeldung. Soweit ich recht informiert bin liegt das genau daran.

Wie soll ich nun am Besten vorgehen?

Gruß und Danke

Tobias

[tsaenger]

Den Fehler nltest.exe /dsregdns habe ich gelöst. Hier war die console nicht als admin gestartet.

Code:

Flags: 0
Verbindung Status = 0 0x0 NERR_Success
Der Befehl wurde ausgeführt.

[tsaenger]

Hallo,

es scheint so als ob ich das Problem nun gelöst habe.
In den Eventprotokollen kann ich keine Fehler mehr feststellen.

Vielen Dank.

Tobias