drichie 10 Geschrieben 9. Januar 2007 Autor Melden Teilen Geschrieben 9. Januar 2007 Nein, auch einem Domänen-Admin nicht möglich! Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 ist aber falsch. Trag den ersten Server als ersten DNS-Server ein und "sich selbst" als zweiten. Erklärst Du mir bitte das mal genauer. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 @velius - Replizierung funktioniert, und ich hab eine w2k3 Domäne ... hilft mir nich so ganz, bzw. weiss nich was ich damit anfangen soll. Da du nirgends etwas über das verwendete OS erwähnt hast musste ich raten - dar Artikel trifft ganz offensichtlich nicht für W2K3 zu.:wink2: ;) Kommt noch (eigentlich DIE) eine Frage, hast die Windows Firewall oder eine andere auf dem remote DC am laufen? Steht er möglicherweise in einer DMZ? Du hast immer noch nicht gesagt, wie du gepingt hast, mit Namen oder IP oder FQDN..... Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Poste mal komplett Netdiag und DCDiag von beiden Geräten, am besten auch ein IPConfig, sonst ist das ein bisschen Stochern im Nebel. Gruß woiza Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Ach ja und besorg dir Portquery, um zu schauen, ob alle benötigten Ports offen sind. Bist du dir sicher, dass die Replikation tut? Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Erklärst Du mir bitte das mal genauer. Katastrophenszenarien bei Active Directory - Teil 1 Michael Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Wenn man aber den DC trotzdem auf sich zeigen lässt, als ersten DNS, ist es noch lange nicht falsch. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Wenn man aber den DC trotzdem auf sich zeigen lässt, als ersten DNS, ist es noch lange nicht falsch. Hi Daim, spätestens ab w2k3 SP1 ist es falsch. Auch bei w2k3-gold wird davon abgeraten. Bestpractice ist, als primary DNS für alle DCs einen einzigen DNSServer zu nehmen. Als Secondary dann die eigene IP Ergänzend noch die Ports für die Replikation such im reskit nach : "Network Ports Used by Replication Topology" LDAP 389 389 LDAP 636 (Secure Sockets Layer [sSL]) LDAP 3268 (global catalog) Kerberos 88 88 DNS 53 53 SMB over IP 445 445 cu blub Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Die Komplette Sammlung der Ports wäre auch hier zu finden: https://www.mcseboard.de/tipps-links-5/firewall-active-directory-ipsec-40058.html?highlight=ports Hi Daim,spätestens ab w2k3 SP1 ist es falsch. Dem kann ich nicht zustimmen. Es ist mehr oder weniger eine Frage des Geschmacks, ob man mögliche Eventlog Einträge verkraften kann weil DNS geladen wurde bevor AD bereit war oder nicht. Trotzdem funktioniert's Astrein (wenigstens bei uns). Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Für die Ports würde ich Portquery empfehlen. Das macht bei LDAP und co nicht nur nen simplen Portscan, sondern stellt eine Protokollanfrage. Ausserdem stehen da schon alle AD-Ports als Pulldown Option zur verfügung. Gruß woiza Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Wenn man aber den DC trotzdem auf sich zeigen lässt, als ersten DNS, ist es noch lange nicht falsch. Naja, wir hatten mal Replikationsprobleme die wir damit geschaffen bzw beseitigt haben. (W2k3-Server) Die Empfehlung von MS ist auch eindeutig. m.E. darf man dann auch ruhig den Begriff "falsch" benutzen. Ist ja aber nun hinreichend diskutiert worden. Michael Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 @blub spätestens ab w2k3 SP1 ist es falsch. Auch bei w2k3-gold wird davon abgeraten. Bestpractice ist, als primary DNS für alle DCs einen einzigen DNSServer zu nehmen. Als Secondary dann die eigene IP Man "empfiehlt" es so zu machen, aber von falsch kann eben noch lange nicht die Rede sein. Falsch wäre die Aussage, das die Erde eine Scheibe ist. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hi Daim, Es ist schon mehr als nur eine Empfehlung. Ich habs auf einem Vortrag von einem HP Consultant gehört, dass Probleme bei dieser Configuration unter w2k3sp1 bei HP bekannt sind. Microsoft hat vor kurzem bei unserem AD einen Healthcheck durchgeführt und dabei ebenfalls darauf geachtet, dass diese DNS-Configuration nicht verwendet wird. Ob du das als "falsch" oder "suboptimal" oder als "wertlose Empfehlung" oder wie auch immer interpetierst, mei ..........sei's drum cu blub Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hi blub, Off-Topic: vermutlich keinen healthcheck mehr, wenns kürzlich war, sondern nen ADRAP ;) MS hat uns das Selbe empfohlen. Wir haben uns auch schon Probleme eingehandelt mit dem Zeiger auf sich selbst. Wenn du ne Config-Änderung machst und der DC diese in den eigenen DNS reinschreibt, gibts evtl. ein Problem mit der Replikation. Das ist dann ein Henne-Ei Problem. Solange der DNS nicht aktualisiert ist, kann die Replikation nicht tun. Solange die Replikation nicht tut, erfahren die anderen DCs auch nichts von den DNS-Änderungen. Uns ist das bei einem Demote und wieder Promote passiert. Wir haben nicht gewartet,bis der alte Server aus dem DNS rausrepliziert war. Daher stand dort überall noch die alte GUID. Der neue hat zwar brav seine neue GUID eingetragen, aber nur bei sich selbst. Das gibt dann lustige SPN-Fehler... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hi woiza, Ja klar, 3 Tage ADRAP hatten wir. Wie habt ihr denn so abgeschnitten? cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.