Mr.Green

Umgebung: 3 DCs, jeder ist DNS- und DHCP-Server (jeder mit eigener IP-Range)

Seit der Neuinstallation meiner Windows 2003-Umgebung hab ich gelegentlich morgens das Problem, dass DHCP und DNS nicht synchron sind. Die Clients werden gegen 7:00 hochgefahren, die DNS-Einträge sind allerdings erst gegen 7:45 entsprechend aktualisiert.

Woran kann das liegen und wie kann ich das Problem beheben?

Danke schön für die ausführliche Antwort. Ich bin bisher zwar noch nicht dazu gekommen alles im Detail zu testen, aber eine Frage hätte ich dann doch schon:

Wenn alles nach Plan ausgeführt ist, habe ich dann ja die beiden alten W2k-Server SRV001 und SRV002 plus einen (zwei) W2k3-Server SRV003 (und SRV004). Allerdings wollte ich am Ende zwei W2k3-Server haben mit Namen SRV001 und SRV002 (und den entsprechenden IP-Adressen), damit die DNS-Einstellungen z.B. auf den Switches weiter verwendet werden können. Kann ich dann im Anschluss einfach z.B. SRV002 vom Netz nehmen, SRV003 in SRV002 umbennenen und die IP-Adresse entsprechend ändern? Oder gibt das Probleme?

Ich möchte unsere Windows 2000 Domäne endlich updaten auf 2003.

Aktuelle Situation:

- SRV001 und SRV002 sind DCs inkl. AD, DNS, DHCP

- Beide sind auf den Clients als DNS-Server angegeben, über DHCP und teilweise (Switches, etc) auch manuell. D.h. diese IP-Adressen (und Servernamen) sollten nach dem Update wieder vorhanden sein.

- SRV001 ist auf VMware (ESX)

- SRV002 hat separate Hardware, die Hardware soll getauscht werden.

Wie gehe ich dafür am sinnvollsten vor?

1. Windows einfach per CD auf 2003 updaten?

2. Server komplett neu installieren?

Wenn 2.

a) SRV002 vom Netz nehmen, neue Hardware mit gleicher IP neu installieren, gleiches danach mit SRV001?

b) SRV003 zusätzlich auf VMware installieren, synchronisieren lassen, SRV001 und SRV002 nacheinander neu installieren, SRV003 wieder vom Netz nehmen? (Hätte den Vorteil, dass ich alles erst mal auf VMware testen kann und dass ich noch ne Sicherheit hab falls dem einen aktiven Server was zustoßen sollte.)

Gibts vielleicht online irgendwo sogar einen genauen "Fahrplan" für ein Update der Domäne von 2k auf 2k3?

Thanx, die Beschreibung sieht schon mal gut aus. Werd ich heute abend gleich testen.

Mein Vista Home Premium 64bit ist relativ frisch installiert, aktuelle MS Patches, plus ein paar Programme, Virenscanner, Antispyware-Tools. Was mich jetzt etwas stutzig macht, ist die Sache, dass jedes Mal direkt nach dem Anmelden eine Verbindung ins Web aufgebaut werden will. Über ein Networkmeter seh ich auch, dass im normalen Betrieb immer wieder jede Menge Traffic raus geht. Viren und Spyware werden aktuell keine gefunden.

Gibts denn eine Möglichkeit, die für den Netzwerktraffic verantwortlichen Prozesse ausfindig zu machen?

(o) sind die runden Radio-Buttons, [X] sind die quadratischen Checkboxen.

Im DHCP-Protokoll... nun ja, hier erst mal der Auszug zu einem der fehlerhaften Einträge:

PCS015:

Kennungsdatum, Zeit, Beschreibung, IP-Adresse, Hostname, MAC-Adresse

15,06/19/07,06:57:20,NACK,10.1.112.15,PCC63.goetz.lan,00065B259E5D

10,06/19/07,06:57:25,Zuweisen,10.1.111.41,PCC63.goetz.lan,00065B259E5D

12,06/19/07,07:31:39,Freigabe,10.1.111.41,PCC63.goetz.lan,00065B259E5D

10,06/19/07,07:31:57,Zuweisen,10.1.111.41,PCC63.goetz.lan,00065B259E5D

PCS017:

11,06/19/07,06:57:20,Erneuern,10.1.112.15,PCC63.goetz.lan,00065B259E5D

Bedeutung der Ereigniskennung

10 Neue IP-Adresse wurde einem Client geleast.

11 Eine Lease wurde durch einen Client erneuert.

12 Eine Lease wurde durch einen Client freigegeben.

13 Im Netzwerk wurde eine bereits verwendete IP-Adresse gefunden.

14 Eine Leaseanforderung konnte nicht bearbeitet werden, da in diesem Bereich keine freien Adressen zur Verfügung standen.

15 Eine Lease wurde abgelehnt.

Die Einträge zu den restlichen fehlerhaften DNS-Records sehen genauso aus. Meiner Meinung nach klingt das auch einigermaßen nachvollziehbar, mal abgesehen vom NACK.

- NACK (warum auch immer)

- Neue IP-Adresse wird vergeben (DNS funktioniert aber trotzdem nicht)

- IP wird freigebenen (über manuelles ipconfig /release)

- IP wird zugewiesen (über manuelles ipconfig /renew)

Diese NACKs gibts generell nur auf dem PCS015, allerdings auch bei nicht-fehlerhaften Clients. Normalerweise wird ein NACK auf dem PCS015 ausgegeben und anschließend auf einem der beiden Server das Lease erneuert.

wie ich sehe, sind die SOA auf beiden seiten identisch.

Sind die Records zu diesem Zeitpunkt auf beiden Servern auch wirklich identisch, oder fehlen da wieder einige (einseitig!)?

Zu diesem Zeitpunkt müssten die Records identisch gewesen sein. Heute morgen haben allerdings wieder ein paar gefehlt. Ich kann morgen nochmal schaun, wenn beide wieder unterschiedlich sind.

Einer der Server ist "multihomed". Kannst Du die BackupLan-NIC aus der DNS-Konfiguration mal testweise rausnehmen, oder gibt das dann sonstigen Ärger?

Die Backup-LAN NIC ist aus der DNS-Konfig komplett draußen. Ist nicht im DNS eingetragen und auch "Schnittstellen" steht auf "Nur folgende IP-Adressen: 10.1.10.15". Oder meintest Du komplett deaktivieren?

Wie ist die Reihenfolge (Priorität) der NIC's auf dem betreffenden Server in den Netzwerkeigenschaften?

1. Produktiv-LAN, 2. Backup-LAN

Hatte auch die Ursprungskonfiguration "vor-Virtualisierung" 2 NIC's?

Ja, schon seit über einem Jahr.

Arbeitet Ihr mit DHCP, und falls ja - Du bist sicher, dass der/die DHCP-Server sauber konfiguriert ist/sind?

Ich dachte eigentlich schon... Lässt sich ja nicht wirklich viel falsch machen, oder? Hier mal die Konfig:

Allgemein:

[_] Automatische Aktualisierung der Statistiken

[X] DHCP-Protokollierung aktivieren

[_] BOOTP-Tabellenordner anzeigen

DNS:

[X] DHCP-Clientinformationen in der DNS automatisch aktualisieren

(o) DNS nur auf Aufforderung von DHCP-Client aktualisieren

(o) DNS immer aktualsieren

[X] Forward-Lookups (Name zu Adresse) bei Ablauf des Lease löschen

[X] Aktualsierung für DNS-Clients, die dynamisches Aktualisieren nicht unterstützen, aktivieren

Erweitert:

Protokolldateipfad: C:\WINNT\System32\dhcp

Datenbankpfad: C:\WINNT\System32\dhcp

Hmm, unter "Bindungen" waren gerade eben auf dem multi-homed Server beide NICs eingetragen. Hab jetzt mal die vom Backup-LAN raus genommen. Könnte das der Fehler gewesen sein?

Ich habe mir damit geholfen, dass ich parallel einen Neuen DNS aufgesetzt habe und als alles drin war die alten gelöscht und neu aufgesetzt habe. So ein DNS-Server ist ja meist schnell konfiguriert, so dass ich auf diesem Weg viel Zeit gespart habe.

Das wäre natürlich auch eine Idee.

Eine Frage zu einer leicht abgewandelten Möglichkeit: Nachdem ich ja eh zwei DNS-Server habe und auf den Clients auch beide eingtragen sind... Eigentlich dürfte ich ja keinen Ausfall bekommen wenn ich einen nach dem anderen lösche und neu installiere, oder? Nur, bringt das was?

Gerade eben hab ich von einem Kollegen erfahren, dass morgens teilweise IP-Adressen auch schon komplett aus den DNS gefallen, also auf keinem der beiden Server eingetragen waren.

seit wann genau verhält es sich nun so?

Was wurde zum Zeitpunkt "0" genau geändert, gepatched, getuned....?

Das Problem wurde zum ersten Mal vor etwa 2 Wochen bemerkt. Zum Zeitpunkt "0" wurde meines Wissens nach nichts verändert. Vor etwa einer Woche wurde der Server von physikalisch auf vmware konvertiert. Das aktuelle Problem lag aber nach Aussagen der Kollegen schon vorher vor.

Jedes Setting, das nicht dem default entspricht

Okay, dann hier mal die Einstellungen, die meiner Meinung nach interessant fürs DNS sein könnten. Wenn was fehlt, einfach Bescheid geben.

Allgemeine Serverdaten:

Server1:

Name: PCS015

IP-Adressen: 10.1.10.15, 10.7.10.17 (Backup-LAN)

Server2:

Name: PCS017

IP-Adresse: 10.1.10.17

SOA:

PCS015:

Seriennummer: 6225

Primärer Server: pcs015.domain.lan.

Verantwortliche Person: admin.

Aktualisierungsintervall: 15 Minuten

Wiederholungsinterval: 10 Minuten

Läuft ab nach: 1 Tage

Minimium TTL (Standard): 0:1:0:0

TTL für diesen Eintrag: 0:1:0:0

PCS017:

Seriennummer: 6225

Primärer Server: pcs017.domain.lan.

Verantwortliche Person: admin.

Aktualisierungsintervall: 15 Minuten

Wiederholungsinterval: 10 Minuten

Läuft ab nach: 1 Tage

Minimium TTL (Standard): 0:1:0:0

TTL für diesen Eintrag: 0:1:0:0

DNS-Konfiguration:

PCS015:

Schnittstellen:

Nur folgende IP-Adresse: 10.1.10.15

Weiterleitungen:

aktiv: 194.25.0.68, 194.25.2.219

Lokale Netzwerkkarte:

DNS-Server: 10.1.10.15, 10.1.10.17

PCS017:

Schnittstellen:

Nur folgende IP-Adresse: 10.1.10.17

Weiterleitungen:

aktiv: 194.25.0.68, 194.25.2.219

Lokale Netzwerkkarte:

DNS-Server: 10.1.10.15, 10.1.10.17

Schonmal versucht manuell einen Hosteintrag auf einem DC zu erstellen und dann gewartet ob der auf dem anderen DC auch auftaucht? Evlt würde ich die DNS Zone neu erstellen.

Ja, der Eintrag wird auch auf dem anderen Server erstellt, es dauert allerdings ein paar Minuten. Wie ist denn bei der DNS-Synchronisation normalerweise der Zyklus? - Und die Zone neu erstellen... nun ja, noch hoffe ich drauf, dass wir das irgendwie umgehen können.

Was sagen:

- das DNS-Eventlog

- das Systemlog

- das FRS-Log

 

auf beiden DC's?

Keine Fehler oder Warnungen mehr seitdem der FRS-Fehler beseitigt und die Server letzten Mal neu gestartet wurden. Entsprechende Infos:

- DNS: Der DNS-Server wurde gestartet.

- FRS: Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers "%SERVERNAME%" zum Domänencontroller. ...

- System: Der DHCP-Dienst hat mit der Datenbankbereinigung begonnen.

- System: Der DHCP-Dienst hat die Datenbank nach Unicast-IP-Adressen durchsucht -- 1 Leases wurden wiederhergestellt und 0 Einträge wurden aus der Datenbank entfernt.

- System: Der DHCP-Dienst hat die Datenbank nach Unicast-IP-Adressen durchsucht -- 0 Leases sind abgelaufen (zum Löschen markiert) und 0 Einträge wurden aus der Datenbank entfernt.

die Logs auf den DHCP-Servern?

Die DHCP-Server sind die Domain Controller.

wie stehen die SOA's der DNS-Zonen?

Kannst Du die DNS-Konfiguration mal datailliert posten?

Welche Infos brauchst Du genau?

Sind die Zonen AD-integriert?

Ja, sind sie - auf beiden Servern. Dynamische Aktualisierung auch.

Replmon? Das Tool selbst finde ich zwar auf meinem Server, aber selbst Google hat mir keine wirklich aussagekräftige Anleitung dafür ausgespuckt.

Was genau macht Replmon und wie kann ich es dazu bringen, mir bei meinem Problem zu helfen?

Es geht um folgendes Szenario:

- zwei W2k Domain Controller

- beide sind DNS- und DHCP-Server

- DHCP-Bereiche: DC1 hat 10.1.111.x, DC2 hat 10.1.112.x

- Im DNS haben sich bisher beide immer problemlos synchronisiert

Seit kurzem sind allerdings jeden Morgen ein paar wenige PCs nur auf einem DNS-Server vorhanden, und zwar nur auf dem Server, von dem sie auch ihre IP-Adresse haben. Nach einem manuellen ipconfig /release und /renew sind sie dann auf beiden DNS-Servern eingetragen ist.

Durch die Fehlersuche bin ich auf einen Fehler im Dateireplikationsdienst des DC1 gestoßen (nach Konvertierung auf VMware), der allerdings mittlerweile behoben ist (NTFRS_CMD_FILE_MOVE_ROOT) - zumindest kommen keine Fehler mehr im Ereignisprotokoll.

Bin grad mit meinem Latein ziemlich am Ende... Hat jemand ne Idee, wie sich das erklären oder sogar lösen lässt?

Danke schön, "ipconfig /registerdns" war die Lösung. Läuft alles wieder perfekt.

Nachdem ich gestern meinen W2k Domain Controller auf VMware virtualisiert habe (VMware Converter), funktioniert das DNS auf diesem Server nicht mehr. Große Einschränkungen habe ich momentan zwar nicht, da wir einen zweiten DNS-Server im Netz haben, ich möchte das Problem aber natürlich trotzdem baldmöglichst beseitigen.

Meiner Meinung nach müsste das Problem daran liegen, dass durch die Virtualisierung die IP-Adressen auf neue Netzwerkkarten gelegt wurden.

Fehlermeldung beim Ausführen von nslookup:

nslookup www.mcseboard.de

Server: PCS015.domain.lan

Address: 10.1.10.15

 

DNS request timed out.

timeout was 2 seconds.

*** Zeitüberschreitung bei Anforderung an PCS015.domain.lan

Auszug aus dem Protokoll von netdiag /fix:

DNS test . . . . . . . . . . . . . : Failed

[FATAL]: The DNS registration for 'PCS015.domain.lan' is incorrect

on all DNS servers.

PASS - All the DNS entries for DC are registered on DNS server '10.1.10.15'

and other DCs also have some of the names registered.

Habt Ihr ne Idee, wie ich das wieder gerade biegen kann?

Gleich zwei zur gleichen Zeit... Danke Euch beiden.

Clientseitig ist bei uns zurzeit nur Windows 2000 Pro SP4 im Einsatz. Gibt es ne Möglichkeit auf einem solchen Client die WSUS 3.0 Console im MMC zum Laufen zu kriegen? Hab irgendwo gelesen, dass das nur ab XP gehen soll, wegen der MMC 3.0.

Ich persönlich bin prinzipiell Fan von getrennten Serverfunktionen

Genau so ists bei mir eben auch, und genau deshalb würde ich auch lieber nen eigenen Server dafür einsetzen, wenns irgendwo auch nur ansatzweise zu Reibereien kommen könnte. Aber bei genau dieser Konstellation der Anwendungen sehe ich auf den ersten Blick keinen Bereich, wo sich die Applikationen in die Quere kommen könnten. Eine MSDE verwendet übrigens keine der anderen Anwendungen.

Sonst noch Erfahrungen und Meinungen? Wie ists denn im Normalfall gelöst? Läuft WSUS bei Euch allein? Wenn nicht, gabs bisher irgendwelche Probleme?

Ich stehe momentan vor der Überlegung für WSUS einen eigenen Server (dank VMware ESX gehts nur um die Lizenzkosten für Windows) zu spendieren oder WSUS auf einen existierenden Server (Win2003) mit anderen Applikationen zu installieren. Auf diesem Server laufen momentan:

- Trendmicro OfficeScan Server (Download der aktuellen Virensignaturen und verteilen auf die Clients, Management über Weboberfläche)

- Didyma 2.30 (ein kleines LAN-Überwachungstool, das per Ping Server und Switches auf Erreichbarkeit prüft, Management über http Port 112)

- Taris (relativ kleines Arbeitszeit-Programm, das von etwa 15 Clients aus auf dem Server läuft)

Ist bei dieser Konstellation eine Installation auf einem gemeinsamen Server empfehlenswert oder sollte man doch besser einen eigenen WSUS-Server verwenden?

Hallo zusammen,

ich hoffe, Ihr könnt mir bei einer kleinen Batchdatei behilflich sein. Ich bekomme von einem externen Dienstleister täglich Hunderte von PCL-Dateien, die manuell auf einem Netzwerkdrucker ausgedruckt werden müssen. Aktuelle Lösung dafür ist ne Batchdatei mit folgendem Inhalt:

 

copy %1%\*.pcl \\PC-Name\Druckerfreigabe

 

Die PCL-Dateien liegen in einem Ordner, den ich dann komplett per Drag & Drop auf die Batchdatei ziehe. Der reine Druck funktioniert damit soweit auch problemlos. Seltsamerweise wird dabei allerdings gelegentlich die Reihenfolge der Ausdrucke etwas durcheinander gewürfelt. Bisher kann ich noch nicht sagen, nach welcher Regel das passiert. Störend ist das vor allem insofern, als dass die Dateien extra für die weitere Verarbeitung in einer bestimmten Reihenfolge betitelt bzw. numeriert werden.

Gibts denn irgend eine Möglichkeit, dass die originale Reihenfolge beim Ausdruck beibehalten wird oder dass durch eine Änderung das Skript die Dateien im Ordner einzeln "von oben nach unten" abarbeitet?

Danke für Eure Antworten. In den letzten Tagen habe ich den geposteten Artikeln entsprechend mit den dort genannten Berechtigungen getestet. Aktueller Stand ist folgender:

- Im AD-Benutzer und Computer habe ich der entsprechenden Gruppe auf die Domain das Recht gegeben "Fügt einem Computer einer Gruppe hinzu".

- Auf die entsprechende OU hat diese Gruppe mittlerweile sogar das Recht zur kompletten Verwaltung inkl. aller Unterobjekte bekommen.

- Sowohl auf Datei als auch auf Freigabeebene hat diese Gruppe mittlerweile Vollzugriff.

Dennoch tritt bei der RIS-Installation der folgende Fehler auf:

- Anmeldung: ok

- Auswahl Image: ok

- Info "All data on HD will be deleted": ok

- "Zugriff verweigert: An error occured on the server. Please notify your administrator"

Btw: Warum sollte ich den IT-Mitarbeitern keine Berechtigung zum Installieren der PCs geben? Ist mir ehrlich gesagt lieber als allen das Domainadmin-Kennwort zu geben ;) Gleiches gilt natürlich für die Mitgliedschaft in den Organisationsadmins.

Hallo,

ich möchte verschiedenen Usern ermöglichen, PCs per RIS neu zu installieren. Was muss ich tun um Ihnen die entsprechenden Berechtigungen zu geben? Mir fallen v.a. zwei Themen ein: Computerkonten zu einer bestimmten OU des AD hinzufügen und PCs der Domäne hinzufügen. Welche Rechte muss ich sonst noch setzen? Und wie und wo kann ich das tun um ihnen möglichst nur so viele Rechte zu geben wie sie brauchen.

Danke schon mal im Voraus.

In den AD-Gruppenrichtlinien habe ich momentan eine Umleitung für die "Eigenen Dateien" aktiv. Zusätzlich würde ich gerne den Inhalt des darunter liegende Verzeichnis "Eigene Datenquellen" auf eine andere Location verlegen. Gibts dafür eine Möglichkeit via Gruppenrichtlinien?

Hmm, kann mir zumindest jemand kurz sagen, wie ich in MS SQL Server 2000 eine neue Instanz erstelle?