Jump to content

DNS - Problem - kA - neuer Server


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, liebe MCSE-Gemeinde!

 

Ich habe ein großes Problem. Allerdings erkläre ich etwas dazu, hoffentlich hilft das auch.

 

Bei uns haben wir seit langem ein WIN2k Server stehen mit Active Directory und allem was dazu gehört.

Seit kurzem ist auch ein neuer Server hinzugekommen (Win 2003 Server). Ich habe dort zum ersten Mal den Server eingerichtet, nach und nach, auch mit Anleitungen.

So habe ich zum Bsp. das AD kopiert und die Skripte ebenfalls. Natürlich vorher den 2ten Server hochgestuft etc.

Das ganze hat auch geklappt. Nur irgendwas ist dann später was schief gelaufen. Leider weiß ich nicht mehr genau was, aber es ist nun so, dass sich der neue Server überhaupt nicht mit dem alten unterhalten kann.

Alles fing mit dem AD an - es wird nicht mehr angezeigt, ich müsste mich erst mit dem alten Server verbinden, was aber nicht geht.

Ich wollte zunächst den neuen Server erstmal wieder herabstufen, aber das geht nicht, weil der neue Server sagt, es befindet sich noch ein DC in der Domäne oder Fehler: Kann keine Verbindung aufbauen.

 

Ich habe schon sovieles probiert, aber es gibt immer wieder die gleichen Fehlermeldungen bei den verschieden Tasks, die ich durchführe. So z. B.: "Der Zielkontenname ist ungültig. Oder: "Der RPC-Server ist nicht verfügbar." "Der Zielprinzipalname ist falsach." "Zugriff verweigert."

 

Bei DCpromo zeigt er an, dass der andere Server pingable ist, aber bei der Namensauflösung haperts.

 

Und letztendlich bin ich zu dem Entschluß gekommen, dass es am DNS liegt. Leider habe ich von genau dieser Sache überhaupt keine Ahnung. Ich habe nur festgestellt, dass auf dem alten Server viel mehr Einträge im DNS enthalten sind. Auf dem neun Server steht fast gar nix. Und ich weiß auch überhaupt nicht, was ich dort alles eintragen muss!

Woher weiß ich z. B. wie der CNAME ist oder der Alias des neuen Servers (ewige lange Zahlen-/Biuchstabenreihe)...

Kann mir bitte jemand erklären, was ich tun kann?

Wo bekomme ich die Infos für die ganzen DNS-Einträge oder kann man die irgendwo "fertig" runterladen?

Ich kann im Moment mit dem neuen Server nix anfangen, da nix vorwärts geht und vor allem, dass ist noch schlimmer - nix zurück!

 

Bitte helft mir, ich habe von DNS keine Ahnung. :cry:

Link zu diesem Kommentar
Ähm,

 

hast du die DNS-Zonen denn händisch auf der neuen Kiste angelegt? Hast du AD-integriertes DNS? Auf welchen DNS-Server zeigen die DCs?

 

Ich habe zunächst das ganze händisch gemacht, allerdings waren dann nur die 2 Standardeinträge enthalten. Ich habe das ganze über AD-integriertes DNS gemacht.

Die DNS-Server (extern) sind von der Telekom. Dann habe ich die Einträge vom alten Server kopiert, aber das machte mir auch irgendwie keinen Sinn.

Noch ein Hinweis vielleicht: Übers Netzwerk kann ich mit dem neuen Server auf die Clients zugreifen und umgekehrt. Nur die Server unternander geben diese Fehlermeldungen aus. (Im Falle des Netzwerks ist es "Der Zielkontenname ist ungültig.")

 

Gibt es eine Möglichkeit, komfortabel die Ausgaben aus dcdiag auszulesen und in ein handliches Format zu packen, will das nicht alles abtippen.

Ich weiß aber, dass dort etliche Fehlermeldungen standen. (Z. B. so was wie couldn't ... to an IP-Adress, check your DNS... wenn ich mir das richtigt gemerkt haben sollte.) Weiß jetzt leider nicht mehr, weil ich nicht auf Arbeit bin.

Link zu diesem Kommentar

Hallo.

 

Zunächst erstmal die DCDIAG:

 

 

Domain Controller Diagnosis

 

Performing initial setup:

Done gathering initial info.

 

Doing initial required tests

 

Testing server: Standardname-des-ersten-Standorts\SERVER03

Starting test: Connectivity

The host 2e0334ed-5975-49fc-9f72-130cb311df04._msdcs.CGJDOMAIN.local could not be resolved to an

IP address. Check the DNS server, DHCP, server name, etc

Although the Guid DNS name

 

(2e0334ed-5975-49fc-9f72-130cb311df04._msdcs.CGJDOMAIN.local) couldn't

 

be resolved, the server name (server03.cgjdomain.local) resolved to

 

the IP address (192.168.87.1) and was pingable. Check that the IP

 

address is registered correctly with the DNS server.

......................... SERVER03 failed test Connectivity

 

Doing primary tests

 

Testing server: Standardname-des-ersten-Standorts\SERVER03

Skipping all tests, because server SERVER03 is

not responding to directory service requests

 

Running partition tests on : Schema

Starting test: CrossRefValidation

......................... Schema passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... Schema passed test CheckSDRefDom

 

Running partition tests on : Configuration

Starting test: CrossRefValidation

......................... Configuration passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... Configuration passed test CheckSDRefDom

 

Running partition tests on : CGJDOMAIN

Starting test: CrossRefValidation

......................... CGJDOMAIN passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... CGJDOMAIN passed test CheckSDRefDom

 

Running enterprise tests on : CGJDOMAIN.local

Starting test: Intersite

......................... CGJDOMAIN.local passed test Intersite

Starting test: FsmoCheck

Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355

A Global Catalog Server could not be located - All GC's are down.

Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355

A Primary Domain Controller could not be located.

The server holding the PDC role is down.

Warning: DcGetDcName(TIME_SERVER) call failed, error 1355

A Time Server could not be located.

The server holding the PDC role is down.

Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355

A Good Time Server could not be located.

Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355

A KDC could not be located - All the KDCs are down.

......................... CGJDOMAIN.local failed test FsmoCheck

 

Ihr seht, gibt ja genug Fehler. Nur weiß ich selbst nicht, wie ich diese beheben kann. Mir ist es ja im Moment nur wichtig, dass die Server oder DCs wieder miteinander kommunizieren können.

 

@woiza: Kannst du mir bitte sagen, wo ich das einstellen kann? Ich weiß nicht genau, wodu meinst, oder mir fällt es einfach nicht ein. Danke!

 

Ach ja, nochwas: In den Eigenschaften der Domäne steht beim ersten Server (den alten) bei Betriebsmodus: "Einheitlicher Modus - Win2k DC". Soll das überhaupt so sein, wenn es noch ein Win2k3 Server gibt? Vielleicht hilft das ja weiter.

 

Grüße und danke,

 

Illidan

Link zu diesem Kommentar
Kannst du mir bitte sagen, wo ich das einstellen kann? Ich weiß nicht genau, wodu meinst, oder mir fällt es einfach nicht ein. Danke!

 

Einfach in der IP Konfiguration bei DNS Server.

 

Danach gib auf dem W2K3 mal ein: netdiag /fix. Das sollte die notwendigen SRV u.a. DNS Records für den 2. DC registrieren.

 

In den Eigenschaften der Domäne steht beim ersten Server (den alten) bei Betriebsmodus: "Einheitlicher Modus - Win2k DC". Soll das überhaupt so sein, wenn es noch ein Win2k3 Server gibt?

 

Das ist in Ordnung, solange es den W2K Server gibt.

 

Jetzt muss als erstes mal das DNS in Ordnung gebracht werden, weil daran bei AD so ziemlich alles hängt.

 

Christoph

Link zu diesem Kommentar

OK, ich habe jetzt bei beiden Servern als ersten DNS-Server die IP des alten Servers eingetragen. Sofern ich das richtig verstanden habe.

Netdiag habe ich mal gemacht, vielleicht nützt es, wenn ich Auszüge davon poste:

 

Global results:

Domain membership test . . . . . . : Failed

[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.

 

DNS test . . . . . . . . . . . . . : Failed

[FATAL] Failed to fix: DC DNS entry CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.Standardname-des-ersten-Standorts._sites.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.a0fb9c6f-ed7b-4222-b845-591142f11fef.domains._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry 2e0334ed-5975-49fc-9f72-130cb311df04._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.dc._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.dc._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _ldap._tcp.Standardname-des-ersten-Standorts._sites.dc._msdcs.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.Standardname-des-ersten-Standorts._sites.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kerberos._udp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kpasswd._tcp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Failed to fix: DC DNS entry _kpasswd._udp.CGJDOMAIN.local. re-registeration on DNS server '192.168.87.10' failed.

DNS Error code: 0x00002339

[FATAL] Fix Failed: netdiag failed to re-register missing DNS entries for this DC on DNS server '192.168.87.10'.

[FATAL] No DNS servers have the DNS records for this DC registered.

DC list test . . . . . . . . . . . : Failed

[WARNING] Cannot call DsBind to SERVERP170.CGJDOMAIN.local (192.168.87.10). [sEC_E_WRONG_PRINCIPAL]

 

Trust relationship test. . . . . . : Failed

[FATAL] Secure channel to domain 'CGJDOMAIN' is broken. [ERROR_ACCESS_DENIED]

 

 

Kerberos test. . . . . . . . . . . : Passed

 

 

LDAP test. . . . . . . . . . . . . : Passed

[WARNING] Failed to query SPN registration on DC 'SERVERP170.CGJDOMAIN.local'.

Link zu diesem Kommentar

Hallo.

 

192.168.87.10 ist der alte Server (Serverp170)

192.168.87.1 der neue (Server03)

 

Bin ein Schritt weiter gekommen, nachdem ich dcdiag, netdiag und IP (DNS) konfiguriert habe: Der neue Server kann sich jetzt mit dem alten im Netzwerk verbinden.

Umgekehrt jedoch wie gehabt "Zeilkontenname ist ungültig"

Im AD, will ich mich mit dem neuen Server verbinden, kommt: "RPC-Server nicht verfügbar"

In DNS kann ich jeweils den anderen Server nur auflisten, aber nix bearbeiten, weil der Zugriff verweigert wird.

Klappt vielleicht die Verbindung in beide Richtungen, könnte es voran gehen. :confused:

 

PS: Alles natürlich als Administrator.

 

Achja, noch etwas als Hinweis: Im alten Server stehen die Standard-Einträge des DNS mit sämtlichen Hosts, SOA, CNAME usw. und halt alles was mit dem alten Server zu tun hat.

Auf dem neuen Server stehen die gleichen Dinge, nur habe ich dort sämtliche Einträge mit dem neuen Server erweitert (nach logischen Prinzip, aber ohne eigtl. DNS-Kenntnisse). Also gleichen Eintrag, nur statt serverp170 halt server03 eingetragen.

 

Wiederum Danke, mach jetzt Feierabend.

 

Grüße.

Link zu diesem Kommentar

Die Zonen sind beide AD-integriert, beide DC zeigen auf den ersten DNS.

Scope?`:confused:

 

Grüße.

 

EDIT:

Ich habe jetzt folgendes gemacht (durch weiteres herumsuchen): Ich habe den neuen Server per /forceremoval wieder aus der Domäne gekickt und dann alle Serverfunktionen entfernt.

Schließlich dann per Assistent habe ich alles mehr oder weniger automatisch einrichten lassen und siehe da, es ging wunderbar.

Ich habe ein funtionsfähiges DNS, AD, DHCP usw.

 

Der Server kann auch auf den alten zugreifen, nur noch umgekehrt nicht. Vielleicht ist da was an den DNS-Einstellungen nicht in Ordnung, das ist aber nicht ganz so dramatisch.

Nur kann ich es bei den alten Server nicht wie oben geschrieben machen, da ich ja noch das AD brauche. :)

Letztendlich sollten die Server ja eh getrennt voneinander arbeiten und dies ist ja im Moment so gegeben.

 

Jetzt stellt sich nur die Frage: Kann ich Teile des ADs vom alten Server auf den neuen übertragen, ohne abhängig vom alten Server dann zu sein?

Dies beinhaltet Kontorichtlinien, Computer, und vor allem User.

Denn es würde Stunden dauern, bis ich alle User neu eingetragen, Scripte überprüft, Richtlinien eingetragen habe.

Allerdings will ich dann wirklich getrennt vom alten Server weiter arbeiten, ohne dass die Sache wieder abhänging von irgendwelchen DNS-Einstellungen o. ä. sind und es wieder zu Problemen kommt...

Link zu diesem Kommentar

MIt Scope wollte ich wissen, wie die Zonenreplikation eingestellt ist. Alle DCs der Domäne oder der Gesamtstruktur...

 

Mit forceremoval hast du den DC nicht aus der DOmäne geworfen und du hast danach definitiv auch nicht den DC wieder ins AD holen können. Mit forceremoval entfernst du nur das AD vom Server. Du hättest noch mit ntdsutil den DC aus dem AD kicken sollen.

 

Im Moment reitest du dich eher immer weiter rein. Ohne dich anzugreifen, aber les dich in das Thema ein oder hol dir Unterstützung.

 

Oder mach zumindest nix ohne hier vorher nach den Konsequenzen zu fragen.

Link zu diesem Kommentar

kann mich woiza nur anschließen:

du hast den 2.ten Server jetzt vom AD "befreit" - nicht aber dem laufenden AD (jetzt "nur" noch auf dem 1ten Server) gesagt, daß es den 2. in der Datenbank nicht mehr gibt.

Ein funktionierendes AD setzt vorraus, daß eine funktionierende DNS Umgebung vorhanden ist und, wenn vorhanden, die DC's untereinanden erfolgreich replizieren, dasist zwingend notwendig !

Im Moment schleppst du halt ein AD mit den Überbleibsel des 2. Server rum.

Das kann funktionieren - kann aber auch zu fiesen Fehlern führen.

 

-> ADSI-Edit oder/und NTDSUTIL

 

aber sowas erst einmal in einer Testumgebung aufbauen und nachvollziehen !!!!!

Mit diesen Tools arbeitest du direkt im AD und kannst damit dieses auch zerstören, falls unbearft gehandelt wird;

 

wie woiza sagt - vorher lesen und im Board nachfragen.....

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...