Zum Inhalt wechseln


Foto

Zusätzlicher Domäncontroller in bestehendes AD geht nicht


  • Bitte melde dich an um zu Antworten
17 Antworten in diesem Thema

#1 JimB

JimB

    Newbie

  • 23 Beiträge

 

Geschrieben 02. Mai 2017 - 14:04

Hallo,

ich habe einen Windows2016 Server instaliert und als Domaincontroller für ein neues AD hochgestuft. Ein zweiter Win2016 Server ist der Domain beigetreten. Auch Win7 Clients ließen sich in die Domain einfügen und GPOs funktionieren auch.

Sobald ich aber versuche den 2. Server als Domaincontroller hochzustufen sozusagen als Backup Domaincontroller (heißt das noch so?) gibt es folgende Fehlermeldung:

DNS kann nicht installiert werden (diese Meldung verschwindet ganz schnell) und dann steht da nur noch: Fehler beim Abrufen der Liste der Webseites aus der Zielumgebung: Der Server ist nicht funktionsfähig.

 

Hat jemand eine Idee was das heissen kann?

 

Der DNS-Server ist ein extra Server (Unix) und die Mitarbeiter des RZ sagen sie hätten alle srv-Records für meine Domain eingetragen nur den msdcs-Record nicht. Diesen kann ich auf dem Server auch nicht finden.

Kann das der Grund sein?

 

Vielen Dank für Eure Hilfe!



#2 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 02. Mai 2017 - 14:32

Moin

 

ich behaupte mal, in einer Domäne wird sollte auf den DC ein AD-integrierter DNS sein. Jeder DC benötigt einen AD-integrierten DNS. Das ist ein Dreh- und Angelpunkt einer Domäne.

 

Ich hoffe, auf dem 1.DC der ist ein AD-integrierten DNS konfiguriert, dieser und die Domäne funktionieren, sind geprüft(dcdiag). Auf dem Memberserver ist in der IP-Konfiguration der AD-DNS eingetragen, - so wie bei den Clients.

 

Die Begriffe Backupdomänencontroller (BDC) und auch primärer Domänencontroller (PDC) gehören zu Windows NT 3,5 und 4.0.

 

Heute ist es weiterer Domänencontroller. Ja, ich weiss, umgangssprachlich werden die beiden Begriffe wohl häufig verwendet, dass deutet aber auf ein Unverständnis der Sache hin.


Bearbeitet von lefg, 02. Mai 2017 - 17:13.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#3 NilsK

NilsK

    Expert Member

  • 12.467 Beiträge

 

Geschrieben 02. Mai 2017 - 14:39

Moin,

 

man kann das AD durchaus mit einem Unix-DNS installieren und betreiben, aber dafür ist direkte Zusammenarbeit mit den DNS-Administratoren nötig. Die DNS-Einträge müssen natürlich korrekt und vollständig vorhanden sein.

Noch sinnvoller ist, in dem Unix-DNS dynamisches DNS einzurichten.

 

Oder, was meist die beste Variante ist: Für das AD gibt es eine eigene DNS-Zone, die von den DCs selbst gehostet wird. Für die allgemeine Namensauflösung gibt es dann einen Forwarder auf das Unix-DNS. Und im Unix-DNS richtet man eine Delegation (oder auch ein Forwarding) für die AD-DNS-Zone ein, die auf die DCs zeigt.

 

Es bleibt aber dabei, dass man mit den DNS-Admins zusammenarbeiten muss.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 MurdocX

MurdocX

    Board Veteran

  • 585 Beiträge

 

Geschrieben 02. Mai 2017 - 14:41

Das DNS ist quasi das Grundkonstrukt auf die Domäne aufbaut. Der Domaincontroller sollte sein DNS selbst verwalten. Sprich DNS als Rolle auf dem DC. Damit das DNS auch sauber auf alle DCs repliziert wird, sollte man dies auch noch in das AD integrieren. 


Mit freundlicher Unterstützung
Jan


#5 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 02. Mai 2017 - 14:55

Die neugierige Frage, warum so?


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#6 JimB

JimB

    Newbie

  • 23 Beiträge

 

Geschrieben 02. Mai 2017 - 15:07

Die neugierige Frage, warum so?

Weil das HRZ das so am liebsten hat. Das HRZ ist der zentrale Dienstleister für die Hochschule (Internet, DNS, DHCP, E-Mail, Fileserver) und die Institute und Fakuläten haben ihre "eigene" IT. Ein ziemlicher Wildwuchs. Das HRZ möchte am liebsten nicht mehrere DNS-Server...

Ich "brauche" aber ein AD um vernünftig unsere 80 PCs und Notebooks und Benutzer verwalten zu können.

Was mich wundert: ohne dynamische Updates und ohne DNS auf dem ersten Domaincontroller funktioniert es das Win7 Clients Mitglied der Domain werden. Nur krieg ich keinen 2. DC in die Domain.



#7 zahni

zahni

    Expert Member

  • 16.508 Beiträge

 

Geschrieben 02. Mai 2017 - 15:20

Ohne die  msdcs-Einträge wird das  nichts.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#8 NilsK

NilsK

    Expert Member

  • 12.467 Beiträge

 

Geschrieben 02. Mai 2017 - 19:20

Moin,

 

jaja, die Hochschulen. Viele davon immer noch ein Hort der begründungsfreien Abneigung gegen Windows, auch nach fast 20 Jahren AD. Das Lustige dabei: Als Beleg für ihre Abneigung führen Uni-Admins gern die vielen Probleme an, die Windows angeblich verursacht - die sie aber gar nicht hätten, wenn sie zwei, drei Dinge in ihrem Verfahren ändern und es einfach richtig machen würden.

 

Also: Es spricht nichts dagegen, das DNS zentral laufen zu lassen, nur müssen sie dich dann zwingend bei den Erweiterungen unterstützen. Das sind nur wenige Einträge, aber die müssen sie halt machen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 JimB

JimB

    Newbie

  • 23 Beiträge

 

Geschrieben 02. Mai 2017 - 20:47

jaja, die Hochschulen. Viele davon immer noch ein Hort der begründungsfreien Abneigung gegen Windows, auch nach fast 20 Jahren AD. Das Lustige dabei: Als Beleg für ihre Abneigung führen Uni-Admins gern die vielen Probleme an, die Windows angeblich verursacht - die sie aber gar nicht hätten, wenn sie zwei, drei Dinge in ihrem Verfahren ändern und es einfach richtig machen würden.

 

Also: Es spricht nichts dagegen, das DNS zentral laufen zu lassen, nur müssen sie dich dann zwingend bei den Erweiterungen unterstützen. Das sind nur wenige Einträge, aber die müssen sie halt machen.

 

Gruß, Nils

Das hört sich ja gut an :)  Um zu wissen welche Einträge in den zentralen DNS müssen, würde es Sinn machen erstmal in einer Testumgebung den DNS auf einem der Domaincontroller zu installieren und die Einträge dann zu übertragen?



#10 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 03. Mai 2017 - 05:01

Das macht mehr Probleme als es Vorteile bringt. Machs wie oben schon vorgeschlagen: eigene DNS Server mit eigener Zone und dann forwarding.

Make something i***-proof and they will build a better i***.


#11 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 03. Mai 2017 - 06:13

So machte ich es. :)

 

Testumgebung? Sprengplatz? Wozu? Es explodiert nichts.


  • NilsK gefällt das

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#12 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 06. Mai 2017 - 11:39

Alternative, wenn das DNS nicht integriert werden kann: Verpasse den DCs (auch den zukünftigen) statische IP-Adressen und lass diesen IP-Adressen im externen DNS Schreibrechte geben. Dann können die alle ihre Service-Records selbst aktualisieren.


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#13 Doso

Doso

    Board Veteran

  • 2.505 Beiträge

 

Geschrieben 06. Mai 2017 - 20:39

Jaja die Hochschulen.. *sigh*

 

Wir haben keinen zentralen Verzeichnisdienst, wir kopieren lieber die Benutzerkonten in 30 verschiedene lokale Datenbanken/Verzeichnisdienste weil das sicherer ist.  :jau:



#14 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 07. Mai 2017 - 11:08

Jaja - und die haben dann alle das gleiche Kennwort, weil die Anwender sonst nen Koller kriegen :) Kommt mir bekannt vor...


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#15 Doso

Doso

    Board Veteran

  • 2.505 Beiträge

 

Geschrieben 07. Mai 2017 - 21:07

Natürlich sind die Kennwörter gleich. Sind ja die gleichen Kennungen als Kopie. Nur der Benutzername ist mal so oder so.. je nachdem.