karland

Hallo Ich habe hier ein ernstens Problem und brauche dringend Hilfe. Wir haben hier drei DCs (Server 2008 R2) jeweils mit einem DNS Server. Im DNS sind acht Zonen eingetragen, von denene aber nur die Hauptdomänen-Zone und die _msdcs-Zone im Active-Directory integriert sind. Dynamische Aktualisierung dieser Zonen ist komplett aktiviert (sicher und unsicher). Die Replikation zwischen den einzelnen DNS-Servern funktioniert einwandfrei. Wir haben nun erst vor kurzem unseren letzten Server 2003 DC heruntergestuft und dabei volgendes Phänomen festgestellt. Die _msdcs.X.X Zone lässt keine Aktualisierung der enthaltenen Einträge oder deren Löschen zu. Hinzufügen von Einträgen funktioniert. Das hat zur Folge, dass die veralteten Einträge nicht aus dem DNS gelöscht werden können, weder manuell noch per dyn. Aktualisierung. Auch das ändern der SOA Einstellung (inkl. "Verantwortlicher Person") funktioniert nicht. Folgende Fehlermeldungen werden beim Versuch Angezeigt: dyn. Aktualisierung durch DCs: Im Ereihgnisprotokoll = "Der DNS-Vorgang wurde Abgelehnt" Quelle: NETLOGON ID: 5774 manuelles Andern des SOA oder der "Verantwortlichen Person": Bei Ausführung der Anweisung: "Knoten ist ein CNAME-DNS-Knoten" bzw. DNS_ERROR_NODE_IS_CNAME 9708 0x25EC Natürlich habe ich daruf geachtet, dass das ausgewählte Objekt kein CNAME ist, sondern Host(A) oder PM Ein Überprüfen der Zone mit "dnscmd /zoneinfo _msdcs.X.X ergab folgendes: Zeiger = 00000000002C7640 Zonenname = _msdcs.X.X Zonentyp = 1 Heruntergefahren = 0 Angehalten = 0 Aktualisierung = 1 In Verzeichnisdienst integriert = 1 Schreibgeschützte Zone = 0 in Verzeichnisdienst-Ladewarteschlange = 0 Aktueller Verzeichnisdienst-Ladevorgang = 0 Datendatei = (null) Verwenden von WINS = 0 Verwenden von NBSTAT = 0 Alterung = 1 Aktualisierungsintervall = 168 Keine Aktualisierung = 168 Aufräumvorgang verfügbar = 3596079 Zonenmaster NULL-IP-Array. Sekundärelemente in Zone NULL-IP-Array. sichere Sekunden = 3 Verzeichnispartition = AD-Forest Flags 00000019 Zonen-DN = DC=_msdcs.X.X ... Das scheint anzuzeigen, dass selbst der automatische Aufräunforgang nicht funktioniert. Kann es sich dabei um ein Berechtigungsproblem handeln? Ich habe eine Teststellung aufgebaut und die Einstellungen verglichen, werde daraus aber nicht so richtig schlau. Offensichtlich fehlt unserer aktiven DNS-Zone die Berechtigung für "SELBST". Diese existiert in der Teststellung, aber ohne sichtbare ausgewählte Berechtigungen. Wo liegt hier der Fehler????

Hallo Danke für die Antwort. Nein, ich habe diesen Hotfix nicht eingespielt. Habe ihn mir jetzt auch durchgelesen, doch trifft er leider nicht auf mein Problem zu. Ich benutze kein DNS-Server von Drittanbietern, nur MS eigene DNS-Server. Des weiteren treffen die Fehlerbeschreibungen auch nicht auf meine eigenen zu. Ich bekomme halt in der Log-Fehlermeldung die Zusätzliche Information: "DNS-Vorgang abgelehnt" und nicht "Bad DNS-Package". Schade, aber danke für die Mühe.

Hi nochmal Habe vergessen zu erähnen, dass die "Dynamischen Updates" dieser Zone aktiviert sind. Danke

Hallo Ich schreibe hier das erste mal, seit also bitte etwas nachsichtig mit mir. So, nun zu meinem Problem: Wir haben bei uns letztens alle DCs 2K3 gegen 2K8 R2 Server getauscht. Das Einbinden und Heraufstufen der 2008er zu DCs ging auch ohne Probleme. Ebenso das Herunterstufen der 2003er. Das dachten wir jedenfalls. Fakt ist, die Domäne scheint ordungsgemäß zu funktionieren, keine Anmeldeschwierigkeiten oder so. Auch die NTDS Replikation zwischen den DCs funktioniert. Dennoch habe ich bemerkt, dass es in den DNS-Serveren dazu gekommen ist, dass nicht alle relevanten Eintäge der alten DCs gelöscht worden sind, besonders in der Primären Zone _msdcs.X.X (X ist ein Platzhalter). Alle veralteten Einträge kann ich zwar manuel löschen aber die SOA Eintag des Knoten lässt sich nicht ändern und bleibt auf einen Server eingestellt, der nun gar kein DC mehr ist und auch kein DNS-Server mehr enthält. Habe es auch mit dem Befehl: dnscmd s33.X.X /RecordAdd _msdcs.X.X @ SOA s33.X.X hostmaster@X.com 889 10800 3600 604800 3600 (s33 ist der aktuelle PDC) Folgender Fehler Taucht dann auf: Fehler bei Befehl: DNS_ERROR_NODE_IS_CNAME 9708 0x25EC Ein Eintrag im Ereignisprotokoll ist nicht vorhanden. Es kommt aber zu anderen Fehlern auf den DCs, die Wars***einlich damit in Verbindung stehen Sie treten auf, wenn sich die DCs automatisch im DNS registrieren (aktualisieren): Protokollname: System Quelle: NETLOGON Datum: 16.02.2011 16:13:23 Ereignis-ID: 5774 Aufgabenkategorie:Keine Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: S33.X.X Beschreibung: Bei der dynamischen Registrierung des DNS-Eintrags "dcc8b752-a1fb-4b6b-91b0-eebfd9cf816e._msdcs.X.X. 600 IN CNAME S33.X.X." auf folgendem DNS-Server ist ein Fehler aufgetreten: IP-Adresse des DNS-Servers: xxx.xxx.xxx.xxx Verbindungsantwortcode (RCODE): 5 Zurückgegebener Statuscode: 9005 ZUSÄTZLICHE DATEN Fehlerwert: Der DNS-Vorgang wurde abgelehnt. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="NETLOGON" /> <EventID Qualifiers="0">5774</EventID> <Level>2</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2011-02-16T15:13:23.000000000Z" /> <EventRecordID>11068</EventRecordID> <Channel>System</Channel> <Computer>S33.X.X</Computer> <Security /> </System> <EventData> <Data>dcc8b752-a1fb-4b6b-91b0-eebfd9cf816e._msdcs.X.X. 600 IN CNAME S33.X.X.</Data> <Data>%%9005</Data> <Data>xxx.xxx.xxx.xxx</Data> <Data>5</Data> <Data>9005</Data> <Binary>0500</Binary> </EventData> </Event> Weitere DCs sind S6.X.X und S15.X.X DCDiag.exe hat mir gesagt, alles sei OK. Meine Sorge ist nun, dass das Heraufstufen der Gesamt- und Domänenfunktionsebene auf 2008 R2 nicht funktionieren könnte. Was kann ich tun???