2K8R2 - DNS / Integration 2. DC

[slemke]

Hallo zusammen,

ich habe eine grundsätzliche Frage – folgendes Setup:

DC1 – w2k3
DC2 – w2k8r2

Die DNS-Zonen sind AD-integriert, der DC2 hat die FSMO Rollen inne.

Die erste Frage -
Wie müssen / sollten die DNS-Einstellungen in den Netzwerkkarteneinstellungen der DCs stehen ? Sollte es im „Prinzip“ nicht egal sein, ob ich die Server untereinander „kreuze“, 127.0.0.1 oder die eigene Ethernet-Adresse angebe ?

Ich hatte gestern genau diese Situation, nachdem ich DC2 mittels DCPromo in die Domäne gehoben und er auch die FSMO Rollen übernommen hat. Allerdings gab es massive Probleme, deren Ursache ich im DNS vermute – unter anderem wurde im Eventlog protokolliert, dass „kein Domänencontroller gefunden“ werden konnte und DC2 Inhaber der FSMO Rollen ist, aber mindestens eine Rolle ungültig sei. Als „Ausgangsmeldung“ habe ich EventID 2087 ausmachen können, bzw. vermutet; in dem unter anderem der „failed DNS Host Name“ angegeben wird, der als GUID (z.B. Failing DNS host name:
b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.domaene.local) angegeben wird.

Allerdings hat ein nslookup auf beiden Server sowohl auf die dc1.domaene.local, dc2.domaene.local als auch auf b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.domaene.local korrekte Werte geliefert!

Kann es sein, dass bei DCPromo bzw. der anschließenden Replikation etwas schief gegangen ist ?

Letzten Endes konnte ich die FSMO Rollen zurück übertragen und DC2 wieder entfernen; DC1 läuft im Moment ohne Probleme.

Lg
Sebastian

[Daim]

Salve,

Zitat von slemke Wie müssen / sollten die DNS-Einstellungen in den Netzwerkkarteneinstellungen der DCs stehen ?

es ist empfohlen die Überkreuzeinstellung zu wählen. Jeweils der andere DC sollte als primärer DNS- und der DC selbst als zweiter DNS-Server konfiguriert werden.

http://blog.dikmenoglu.de/Welcher+DN...en+Werden.aspx

Sollte es im „Prinzip“ nicht egal sein, ob ich die Server untereinander „kreuze“,

Ja, es funktioniert auch wenn der DC selbst als primärer DNS-Server steht. Dadurch dauert aber der Startvorgang des DCs etwas länger und im Eventlog erscheinen hässliche Fehlermeldung, die dann aber auch automatisch wieder verschwinden. Trotzdem sollte man die Überkreuzeinstellung beibehalten!

127.0.0.1 oder die eigene Ethernet-Adresse angebe ?

Ja, beides funktioniert ebenfalls. Es ist aber empfehlenswert die echte IP-Adresse zu konfigurieren. Würdest du die Loopback-Adresse eintragen, hättest du den Vorteil das wenn sich "mal" die IP-Adresse des DCs ändert, du die DNS-Server IP nicht ändern müsstest.

Als „Ausgangsmeldung“ habe ich EventID 2087 ausmachen können

In dem Eventlogeintrag steht doch auch in der Beschreibung was man unternehmen könnte, um dem Problem auf die Schliche zu kommen.

Event ID 2087: DNS lookup failure caused replication to fail: Active Directory
Event ID 2087 ? Discovery of replication partners

Kann es sein, dass bei DCPromo bzw. der anschließenden Replikation etwas schief gegangen ist ?

Es ist zwar vieles möglich, aber das ist sehr unwahrscheinlich. Ich tippe ebenfalls auf Probleme im DNS wenn keine Netzwerkkonnektivitätsprobleme vorliegen.

Letzten Endes konnte ich die FSMO Rollen zurück übertragen und DC2 wieder entfernen

Du hast den Server wieder mit DCPROMO heruntergestuft?

[slemke]

Hallo !

Zitat von Daim Es ist empfohlen die Überkreuzeinstellung zu wählen. Jeweils der andere DC sollte als primärer DNS- und der DC selbst als zweiter DNS-Server konfiguriert werden.

Ich hab´s mir gedacht, war mir aber nicht sicher; im Blog habe ich schon vieles gelesen, aber diesen Artikel habe ich nicht gesehen; danke!

Zitat von Daim Ja, es funktioniert auch wenn der DC selbst als primärer DNS-Server steht. ....im Eventlog erscheinen hässliche Fehlermeldung, die dann aber auch automatisch wieder verschwinden.

Das wollte ich ganz gerne vermeiden :-)

Zitat von Daim 127.0.0.1 - Würdest du die Loopback-Adresse eintragen, hättest du den Vorteil das wenn sich "mal" die IP-Adresse des DCs ändert, du die DNS-Server IP nicht ändern müsstest.

Werde ich nicht machen, eine IP vom Server ändert man ja i.d.R. nicht "mal" so.

Zitat von Daim In dem Eventlogeintrag steht doch auch in der Beschreibung was man unternehmen könnte, um dem Problem auf die Schliche zu kommen. ....

Ich habe auch angefangen, das ganze abzuarbeiten, habe ich aber etwas im Kreis gedreht - lag vielleicht auch dadran, daß es schon sehr spät war (eine vorherige Installation hatte sich auch schon verzögert), so daß ich beschlossen habe, ersteinmal wieder einen sicheren Betrieb herzustellen. Ich wollte das Szenario heute einmal in zwei VMs nachstellen - ich habe vom DC1 ein VM-Image gezogen.

Netzwerkkonnektivität ist es nicht, das passt alles; ist nur ein kleiner Switch zwischen und die Server sind im gleichen Rack. Treiber ist auch alles fein.

Sollte man grundsätzlich IPv6 auf dem 2k8r2 abschalten / nicht an das Interface binden ? Wir brauchen´s im Moment sowieso nicht.

Zitat von Daim Du hast den Server wieder mit DCPROMO heruntergestuft?

Ja, und nach Neustart auch sauber aus dem AD als "normales" Mitglied entfernt und als letztes das PC-Konto aus "Computers" gelöscht.

Danke
Sebastian

[NilsK]

Moin,

Zitat von slemke Sollte man grundsätzlich IPv6 auf dem 2k8r2 abschalten / nicht an das Interface binden ? Wir brauchen´s im Moment sowieso nicht.

nein.

faq-o-matic.net Windows Server 2008 und IPv6: Deaktivieren fhrt oft zu Fehlern

Gruß, Nils

[Daim]

Zitat von slemke Das wollte ich ganz gerne vermeiden :-)

Dann wähle wie empfohlen die Überkreuzeinstellung.

Werde ich nicht machen, eine IP vom Server ändert man ja i.d.R. nicht "mal" so.

Genau.

ich habe vom DC1 ein VM-Image gezogen.

Bitte Vorsicht walten lassen! Die VM darf im keinster Weise Verbindung zum produktiven Netz haben.

Netzwerkkonnektivität ist es nicht, das passt alles; ist nur ein kleiner Switch zwischen und die Server sind im gleichen Rack. Treiber ist auch alles fein.

Jetzt im Nachhinein bekommt man das ohnehin nicht mehr heraus, woran es lag. Aber sicherlich lag es am DNS.

Sollte man grundsätzlich IPv6 auf dem 2k8r2 abschalten / nicht an das Interface binden ? Wir brauchen´s im Moment sowieso nicht.

Nein, nicht "grundsätzlich".

Ja, und nach Neustart auch sauber aus dem AD als "normales" Mitglied entfernt und als letztes das PC-Konto aus "Computers" gelöscht.

Fein gemacht. Dadurch existiert dann auch keine Leiche im AD.

[slemke]

Hallo,

ich muss mich nochmal zurückmelden :-)
Ich habe das ganze jetzt mit meiner VM nachgestellt.

Ausgangssituation:
DC 1 - 192.168.1.10 - GC / FSMO / DNS / DHCP

1. Ich habe den 2k8r2 auf dem zweiten Rechner (VM) installiert, IP 192.168.1.11, DNS auf 192.168.1.10. Nslookup auf DC1 ohne Probleme.
2. Danach habe ich den zweiten Rechner zunächst als normales Mitglied in die Domäne gehoben. Nach Neustart kein Problem mit Nslookup.
3. Mit DCPromo den zweiten PC zum DC gemacht. Nach Neustart sind die DNS-Einstellungen (automatisch) wie folgt: primärer DNS: 192.168.1.10, sekundärer: 127.0.0.1

Problem ist an dieser Stelle, daß ein nslookup auf DC2 ausgeführt folgendes ergibt:

Code:

C:\Users\Administrator.domaene>nslookup dc1.domaene.local
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  ::1

Name:    dc1.domaene.local
Address:  192.168.1.10

Den gleichen Befehl auf DC1 ausgeührt liefert korrekte Ergebnisse.

Könnte das der Ursprung der Probleme sein, bzw. warum funktioniert der Lookup auf DC1 von DC2 aus nicht ?

Nachtrag: Die PTR Einträge in der Reverse-Lookupzone sind für DC1 und DC2 enthalten.
Nachtrag2: Ein Ping auf DC2 ausgeführt auf DC2 ergibt folgendes:

Code:

C:\Users\Administrator.domaene>ping dc2.domaene.local

Ping wird ausgeführt für dc2.domaene.local [fe80::8c70:96cf:47ae:8f4e%11]
mit 32 Bytes Daten:
Antwort von fe80::8c70:96cf:47ae:8f4e%11: Zeit<1ms
Antwort von fe80::8c70:96cf:47ae:8f4e%11: Zeit<1ms
Antwort von fe80::8c70:96cf:47ae:8f4e%11: Zeit<1ms

Könnte das Problem doch mit IPv6 zusammenhängen ?

Nachtrag 3:

Ich habs gefunden...
http://www.mcseboard.de/post8-959628.html (2k3 Server mit 2k8 R2 Server erweitern)

Sorry - für das unnötige Posting; aber vielleicht hilfts ja mal jemand anderen :-)


lg
Sebastian

[slemke]

Hallo zusammen,

kurzes Update:
Im zweiten Anlauf hat alles so geklappt wie es sollte; nach Dcpromo und vor dem Neustart habe ich den DNS-Server Ipv6 - wie beschrieben - auf automatisch beziehen gestellt.

Nach dem Neustart gab es absolut keine Probleme :-)

Vielen Dank an alle!
Sebastian