Jump to content
Sign in to follow this  
Illidan

DNS - Problem - kA - neuer Server

Recommended Posts

Hallo, liebe MCSE-Gemeinde!

 

Ich habe ein großes Problem. Allerdings erkläre ich etwas dazu, hoffentlich hilft das auch.

 

Bei uns haben wir seit langem ein WIN2k Server stehen mit Active Directory und allem was dazu gehört.

Seit kurzem ist auch ein neuer Server hinzugekommen (Win 2003 Server). Ich habe dort zum ersten Mal den Server eingerichtet, nach und nach, auch mit Anleitungen.

So habe ich zum Bsp. das AD kopiert und die Skripte ebenfalls. Natürlich vorher den 2ten Server hochgestuft etc.

Das ganze hat auch geklappt. Nur irgendwas ist dann später was schief gelaufen. Leider weiß ich nicht mehr genau was, aber es ist nun so, dass sich der neue Server überhaupt nicht mit dem alten unterhalten kann.

Alles fing mit dem AD an - es wird nicht mehr angezeigt, ich müsste mich erst mit dem alten Server verbinden, was aber nicht geht.

Ich wollte zunächst den neuen Server erstmal wieder herabstufen, aber das geht nicht, weil der neue Server sagt, es befindet sich noch ein DC in der Domäne oder Fehler: Kann keine Verbindung aufbauen.

 

Ich habe schon sovieles probiert, aber es gibt immer wieder die gleichen Fehlermeldungen bei den verschieden Tasks, die ich durchführe. So z. B.: "Der Zielkontenname ist ungültig. Oder: "Der RPC-Server ist nicht verfügbar." "Der Zielprinzipalname ist falsach." "Zugriff verweigert."

 

Bei DCpromo zeigt er an, dass der andere Server pingable ist, aber bei der Namensauflösung haperts.

 

Und letztendlich bin ich zu dem Entschluß gekommen, dass es am DNS liegt. Leider habe ich von genau dieser Sache überhaupt keine Ahnung. Ich habe nur festgestellt, dass auf dem alten Server viel mehr Einträge im DNS enthalten sind. Auf dem neun Server steht fast gar nix. Und ich weiß auch überhaupt nicht, was ich dort alles eintragen muss!

Woher weiß ich z. B. wie der CNAME ist oder der Alias des neuen Servers (ewige lange Zahlen-/Biuchstabenreihe)...

Kann mir bitte jemand erklären, was ich tun kann?

Wo bekomme ich die Infos für die ganzen DNS-Einträge oder kann man die irgendwo "fertig" runterladen?

Ich kann im Moment mit dem neuen Server nix anfangen, da nix vorwärts geht und vor allem, dass ist noch schlimmer - nix zurück!

 

Bitte helft mir, ich habe von DNS keine Ahnung. :cry:

Share this post


Link to post

Ähm,

 

hast du die DNS-Zonen denn händisch auf der neuen Kiste angelegt? Hast du AD-integriertes DNS? Auf welchen DNS-Server zeigen die DCs?

Share this post


Link to post
Ähm,

 

hast du die DNS-Zonen denn händisch auf der neuen Kiste angelegt? Hast du AD-integriertes DNS? Auf welchen DNS-Server zeigen die DCs?

 

Ich habe zunächst das ganze händisch gemacht, allerdings waren dann nur die 2 Standardeinträge enthalten. Ich habe das ganze über AD-integriertes DNS gemacht.

Die DNS-Server (extern) sind von der Telekom. Dann habe ich die Einträge vom alten Server kopiert, aber das machte mir auch irgendwie keinen Sinn.

Noch ein Hinweis vielleicht: Übers Netzwerk kann ich mit dem neuen Server auf die Clients zugreifen und umgekehrt. Nur die Server unternander geben diese Fehlermeldungen aus. (Im Falle des Netzwerks ist es "Der Zielkontenname ist ungültig.")

 

Gibt es eine Möglichkeit, komfortabel die Ausgaben aus dcdiag auszulesen und in ein handliches Format zu packen, will das nicht alles abtippen.

Ich weiß aber, dass dort etliche Fehlermeldungen standen. (Z. B. so was wie couldn't ... to an IP-Adress, check your DNS... wenn ich mir das richtigt gemerkt haben sollte.) Weiß jetzt leider nicht mehr, weil ich nicht auf Arbeit bin.

Share this post


Link to post

Hallo.

 

Zunächst erstmal die DCDIAG:

 

 

Domain Controller Diagnosis

 

Performing initial setup:

Done gathering initial info.

 

Doing initial required tests

 

Testing server: Standardname-des-ersten-Standorts\SERVER03

Starting test: Connectivity

The host 2e0334ed-5975-49fc-9f72-130cb311df04._msdcs.CGJDOMAIN.local could not be resolved to an

IP address. Check the DNS server, DHCP, server name, etc

Although the Guid DNS name

 

(2e0334ed-5975-49fc-9f72-130cb311df04._msdcs.CGJDOMAIN.local) couldn't

 

be resolved, the server name (server03.cgjdomain.local) resolved to

 

the IP address (192.168.87.1) and was pingable. Check that the IP

 

address is registered correctly with the DNS server.

......................... SERVER03 failed test Connectivity

 

Doing primary tests

 

Testing server: Standardname-des-ersten-Standorts\SERVER03

Skipping all tests, because server SERVER03 is

not responding to directory service requests

 

Running partition tests on : Schema

Starting test: CrossRefValidation

......................... Schema passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... Schema passed test CheckSDRefDom

 

Running partition tests on : Configuration

Starting test: CrossRefValidation

......................... Configuration passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... Configuration passed test CheckSDRefDom

 

Running partition tests on : CGJDOMAIN

Starting test: CrossRefValidation

......................... CGJDOMAIN passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... CGJDOMAIN passed test CheckSDRefDom

 

Running enterprise tests on : CGJDOMAIN.local

Starting test: Intersite

......................... CGJDOMAIN.local passed test Intersite

Starting test: FsmoCheck

Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355

A Global Catalog Server could not be located - All GC's are down.

Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355

A Primary Domain Controller could not be located.

The server holding the PDC role is down.

Warning: DcGetDcName(TIME_SERVER) call failed, error 1355

A Time Server could not be located.

The server holding the PDC role is down.

Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355

A Good Time Server could not be located.

Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355

A KDC could not be located - All the KDCs are down.

......................... CGJDOMAIN.local failed test FsmoCheck

 

Ihr seht, gibt ja genug Fehler. Nur weiß ich selbst nicht, wie ich diese beheben kann. Mir ist es ja im Moment nur wichtig, dass die Server oder DCs wieder miteinander kommunizieren können.

 

@woiza: Kannst du mir bitte sagen, wo ich das einstellen kann? Ich weiß nicht genau, wodu meinst, oder mir fällt es einfach nicht ein. Danke!

 

Ach ja, nochwas: In den Eigenschaften der Domäne steht beim ersten Server (den alten) bei Betriebsmodus: "Einheitlicher Modus - Win2k DC". Soll das überhaupt so sein, wenn es noch ein Win2k3 Server gibt? Vielleicht hilft das ja weiter.

 

Grüße und danke,

 

Illidan

Share this post


Link to post
Kannst du mir bitte sagen, wo ich das einstellen kann? Ich weiß nicht genau, wodu meinst, oder mir fällt es einfach nicht ein. Danke!

 

Einfach in der IP Konfiguration bei DNS Server.

 

Danach gib auf dem W2K3 mal ein: netdiag /fix. Das sollte die notwendigen SRV u.a. DNS Records für den 2. DC registrieren.

 

In den Eigenschaften der Domäne steht beim ersten Server (den alten) bei Betriebsmodus: "Einheitlicher Modus - Win2k DC". Soll das überhaupt so sein, wenn es noch ein Win2k3 Server gibt?

 

Das ist in Ordnung, solange es den W2K Server gibt.

 

Jetzt muss als erstes mal das DNS in Ordnung gebracht werden, weil daran bei AD so ziemlich alles hängt.

 

Christoph

Share this post


Link to post

OK, ich habe jetzt bei beiden Servern als ersten DNS-Server die IP des alten Servers eingetragen. Sofern ich das richtig verstanden habe.

Netdiag habe ich mal gemacht, vielleicht nützt es, wenn ich Auszüge davon poste:

 

Global results:

Domain membership test . . . . . . : Failed

[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.

 

DNS test . . . . . . . . . . . . . : Failed

[FATAL] Failed to fix: DC DNS entry CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.Standardname-des-ersten-Standorts._sites.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.a0fb9c6f-ed7b-4222-b845-591142f11fef.domains._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry 2e0334ed-5975-49fc-9f72-130cb311df04._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.dc._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.dc._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.Standardname-des-ersten-Standorts._sites.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._udp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kpasswd._tcp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kpasswd._udp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Fix Failed: netdiag failed to re-register missing DNS entries for this DC on DNS server '192.168.87.10'.

[FATAL] No DNS servers have the DNS records for this DC registered.

DC list test . . . . . . . . . . . : Failed

[WARNING] Cannot call DsBind to SERVERP170.CGJDOMAIN.local (192.168.87.10). [sEC_E_WRONG_PRINCIPAL]

 

Trust relationship test. . . . . . : Failed

[FATAL] Secure channel to domain 'CGJDOMAIN' is broken. [ERROR_ACCESS_DENIED]

 

 

Kerberos test. . . . . . . . . . . : Passed

 

 

LDAP test. . . . . . . . . . . . . : Passed

[WARNING] Failed to query SPN registration on DC 'SERVERP170.CGJDOMAIN.local'.

Share this post


Link to post

Hm,

 

ich steig da nicht ganz durch. Kannst du noch kurz schreiben, welche IP und welcher Namen aus dem DCDiag zu welchem Server gehört, dass ich mich ein bisschen in deine Umgebung reindenken kann.

Share this post


Link to post

Hallo.

 

192.168.87.10 ist der alte Server (Serverp170)

192.168.87.1 der neue (Server03)

 

Bin ein Schritt weiter gekommen, nachdem ich dcdiag, netdiag und IP (DNS) konfiguriert habe: Der neue Server kann sich jetzt mit dem alten im Netzwerk verbinden.

Umgekehrt jedoch wie gehabt "Zeilkontenname ist ungültig"

Im AD, will ich mich mit dem neuen Server verbinden, kommt: "RPC-Server nicht verfügbar"

In DNS kann ich jeweils den anderen Server nur auflisten, aber nix bearbeiten, weil der Zugriff verweigert wird.

Klappt vielleicht die Verbindung in beide Richtungen, könnte es voran gehen. :confused:

 

PS: Alles natürlich als Administrator.

 

Achja, noch etwas als Hinweis: Im alten Server stehen die Standard-Einträge des DNS mit sämtlichen Hosts, SOA, CNAME usw. und halt alles was mit dem alten Server zu tun hat.

Auf dem neuen Server stehen die gleichen Dinge, nur habe ich dort sämtliche Einträge mit dem neuen Server erweitert (nach logischen Prinzip, aber ohne eigtl. DNS-Kenntnisse). Also gleichen Eintrag, nur statt serverp170 halt server03 eingetragen.

 

Wiederum Danke, mach jetzt Feierabend.

 

Grüße.

Share this post


Link to post

Wie sieht denn die Einstellung der beiden Zonen aus? AD-integriert? Welcher Scope? Zeigen jetzt beide DCs auf den ersten DNS?

Share this post


Link to post

Die Zonen sind beide AD-integriert, beide DC zeigen auf den ersten DNS.

Scope?`:confused:

 

Grüße.

 

EDIT:

Ich habe jetzt folgendes gemacht (durch weiteres herumsuchen): Ich habe den neuen Server per /forceremoval wieder aus der Domäne gekickt und dann alle Serverfunktionen entfernt.

Schließlich dann per Assistent habe ich alles mehr oder weniger automatisch einrichten lassen und siehe da, es ging wunderbar.

Ich habe ein funtionsfähiges DNS, AD, DHCP usw.

 

Der Server kann auch auf den alten zugreifen, nur noch umgekehrt nicht. Vielleicht ist da was an den DNS-Einstellungen nicht in Ordnung, das ist aber nicht ganz so dramatisch.

Nur kann ich es bei den alten Server nicht wie oben geschrieben machen, da ich ja noch das AD brauche. :)

Letztendlich sollten die Server ja eh getrennt voneinander arbeiten und dies ist ja im Moment so gegeben.

 

Jetzt stellt sich nur die Frage: Kann ich Teile des ADs vom alten Server auf den neuen übertragen, ohne abhängig vom alten Server dann zu sein?

Dies beinhaltet Kontorichtlinien, Computer, und vor allem User.

Denn es würde Stunden dauern, bis ich alle User neu eingetragen, Scripte überprüft, Richtlinien eingetragen habe.

Allerdings will ich dann wirklich getrennt vom alten Server weiter arbeiten, ohne dass die Sache wieder abhänging von irgendwelchen DNS-Einstellungen o. ä. sind und es wieder zu Problemen kommt...

Share this post


Link to post

MIt Scope wollte ich wissen, wie die Zonenreplikation eingestellt ist. Alle DCs der Domäne oder der Gesamtstruktur...

 

Mit forceremoval hast du den DC nicht aus der DOmäne geworfen und du hast danach definitiv auch nicht den DC wieder ins AD holen können. Mit forceremoval entfernst du nur das AD vom Server. Du hättest noch mit ntdsutil den DC aus dem AD kicken sollen.

 

Im Moment reitest du dich eher immer weiter rein. Ohne dich anzugreifen, aber les dich in das Thema ein oder hol dir Unterstützung.

 

Oder mach zumindest nix ohne hier vorher nach den Konsequenzen zu fragen.

Share this post


Link to post

kann mich woiza nur anschließen:

du hast den 2.ten Server jetzt vom AD "befreit" - nicht aber dem laufenden AD (jetzt "nur" noch auf dem 1ten Server) gesagt, daß es den 2. in der Datenbank nicht mehr gibt.

Ein funktionierendes AD setzt vorraus, daß eine funktionierende DNS Umgebung vorhanden ist und, wenn vorhanden, die DC's untereinanden erfolgreich replizieren, dasist zwingend notwendig !

Im Moment schleppst du halt ein AD mit den Überbleibsel des 2. Server rum.

Das kann funktionieren - kann aber auch zu fiesen Fehlern führen.

 

-> ADSI-Edit oder/und NTDSUTIL

 

aber sowas erst einmal in einer Testumgebung aufbauen und nachvollziehen !!!!!

Mit diesen Tools arbeitest du direkt im AD und kannst damit dieses auch zerstören, falls unbearft gehandelt wird;

 

wie woiza sagt - vorher lesen und im Board nachfragen.....

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...