Frage:Domain 2KServer ergänzt um 2003er Server - nslookup -DNS

dankon7goo · 22. Januar 2008

Hallo liebe Community,

ich habe mich nun auch schon ein bischen mit der Migrationsthematik beschäftigt.

Wir haben hier in einer Domain um die 60 Clients (Win2000/XP) und einen Server der das Accounting macht.

Wir hatten hier das letzte halbe Jahr lang den 2KServer (Server2k) alleine stehen, der eben nur für unsere kleine Domain zuständig ist.

Dieser Server birgt (noch) alle FSMOs und auch den GC, DNS ist auf ihm AD-integriert.

Nun habe ich gestern nach der oft hier zitierten Vorgehensweise nach yusufs/daim

das schema erweitert, vorbereitet auf dem Server2000 (adprep von R2-CD2 mit /domainprep und /forestprep)
einen neuen server (Neuserver2k) mitsamt ad und DNS installiert.(DNS wie in Yusufs hervorragender Anleitung beschrieben nur installiert, dank der einsetzenden Replikation hat der neue Server dann auch alle Einträge vom alten erhalten)

Der neue Server hat sich, da er ja auch DNS installiert hat nun auch unter "DNS" selbst eingetragen bei der Netzwerkkarte (allerdings erst an zweiter Stelle, an erster steht noch die IP des ersten Server2k - ich habe irgendwo gelesen, dass sei in Ordnung)

Was nun geklappt hat :

- unter AD Benutzer und Computer sind alle 4814 Objekte synchronisiert.

- Die Uhrzeit ist auf beiden DCs die gleiche

Ich blicke nicht so recht, was ich tun muss, damit der neue DC nun die Funktion des alten übernimmt, bzw für diesen einspringen könnte....

Als nächstes sollte ich dann die FSMO Rollen übertragen..

und dann den GC übertragen...

Was mich derzeit beunruhigt, ist dass ich den neuen Server mit nslookup nicht finden kann, weder vom client noch vom erstserver... auch noch nicht mal vom neu hinzugefügten Server selbst.

Ist das vielleicht die Ursache? : der neu hinzugefügte Neuserver2k steht im DNS des alten Servers nicht in der ForwardLookupZone als Namensserver drin. Da steht nur der "alte" Server2k drin.

Muss ich da noch was im DNS eintragen - und wenn ja wo ? am ersten (alten) oder am neuen NeuServer2003? ...

Vielen Dank + LG

ChristianHemker · 22. Januar 2008

Hallo,

Ich blicke nicht so recht, was ich tun muss, damit der neue DC nun die Funktion des alten übernimmt, bzw für diesen einspringen könnte....

Gar nichts :) Die Clients finden über DNS beide DCs und nehmenmal den einen und mal den anderen fürdie Anmeldung.

Allerdings müssen deswegen beide im DNS eingetragen sein. Hast du einen HOST-A Eintrag von beiden Servern? Stehen in der _MSDCS von beiden Servern SRV Einträge drin?

Daim · 22. Januar 2008

Huhuu,

Ich blicke nicht so recht, was ich tun muss, damit der neue DC nun die Funktion des alten übernimmt, bzw für diesen einspringen könnte....

das tut er bereits, sobald sich eben die AD sowie DNS-Informationen repliziert haben.

Der neue DC sollte auch GC sein. Wenn nun der Träger der FSMO-Rollen crashen würde, müsstest du "lediglich" die Rollen auf den anderen DC seizen (mit Gewalt verschieben).

Als nächstes sollte ich dann die FSMO Rollen übertragen..

Das musst du nicht, nur wenn der DC aus der Domäne entfernt werden soll, dann sind die FSMO-Rollen zu verschieben. Oder wenn der neue DC das neuere Betriebssystem wäre - also ein Windows Server 2003 - dann sollten die Rollen ebenfalls verschoben werden. Es ist aber kein muss, nur eine Empfehlung.

und dann den GC übertragen...

Einen GC überträgt man nicht, man aktiviert diesen ;) .

Der GC ist schließlich nicht mit den FSMO-Rollen zu verwechseln.

Was mich derzeit beunruhigt, ist dass ich den neuen Server mit nslookup nicht finden kann, weder vom client noch vom erstserver... auch noch nicht mal vom neu hinzugefügten Server selbst.

Kontrolliere ob der neue DC sich mit seinen SR-Records im DNS eingetragen hat. Das Heraufstufen wurde auch ohne Fehlermeldung abgeschlossen?

Kontrolliere auch das Log der DCs. Ansonsten kannst du noch prüfen, ob der neue DC auch sich tatsächlich als ein DC ausgibt.

Dabei kannst du z.B. das Attribut userAccountControl vom DC kontrollieren, dort müsste als Wert 532480 eingetragen sein.

Ansonsten siehe:

Domain controller is not functioning correctly

Ist das vielleicht die Ursache? : der neu hinzugefügte Neuserver2k steht im DNS des alten Servers nicht in der ForwardLookupZone als Namensserver drin. Da steht nur der "alte" Server2k drin.

Ahaa... das ist genau das Problem. Dort müsste sich der neue DC automatisch eintragen.

Führe auf dem neuen DC in der Kommandozeile folgenden Befehl aus: net stop netlogon && net start netlogon.

Muss ich da noch was im DNS eintragen - und wenn ja wo ? am ersten (alten) oder am neuen NeuServer2003? ...

Nicht selbst eintragen, dass muss der DC selbst machen. Ansonsten ist an der Konfiguration etwas faul.

Lief DCPROMO ohne Fehler durch?

Wie sieht das Eventlog aller DCs aus (Verzeichnisdienst- sowie DNS Log)?

Du kannst dann auch noch eine DCDIAG auf dem neuen DC ausführen.

dankon7goo · 23. Januar 2008

Vielen Dank für Eure Infos.

Allerdings müssen deswegen beide im DNS eingetragen sein. Hast du einen HOST-A Eintrag von beiden Servern?

Am Neu hinzugefügten Server2003R2 stehen unter der ForwardLookupZone (FLZ):

-Host (A) einträge auf die Namen Neuserver2k und Server2k

-Host (A) einträge auf die Namen(Identisch mit übergeordnetem Ordner)

-Namenserver (NS) Einträge

Stehen in der _MSDCS von beiden Servern SRV Einträge drin?

Soweit ich das beurteilen kann ja, alles in Ordnung am neu hinzugefügten Server2003R2 neben den unterordnern pdc,gc, domains und dc existieren hier auch die Alias (CNAME) zu den beiden Servern

Das heißt Moment: unter unserem ersten (=alten) 2000-Server steht unter Namenserver lediglich dieser selbst in der FLZ, ist das ein Bug? Eigentlich sind die Einstellungen ja so, dass die DNS-Zonen AD-Integriert sind...

Auch findet sich auf dem alten Server nur ein Eintrag unter Namenserver während auf dem neuen hier beide drin stehen... komisch

Auch hat ja Daim gesagt, da sollte man eigentlich nix von Hand machen. Wäre mir auch lieber.

@Daim:

Ist das vielleicht die Ursache? : der neu hinzugefügte Neuserver2k steht im DNS des alten Servers nicht in der ForwardLookupZone als Namensserver drin. Da steht nur der "alte" Server2k drin.

Ahaa... das ist genau das Problem. Dort müsste sich der neue DC automatisch eintragen.

Führe auf dem neuen DC in der Kommandozeile folgenden Befehl aus: net stop netlogon && net start netlogon.

Nun habe ich das auch einmal gemacht mit net stop netlogon && net start netlogon.

Leider keine Änderung betreffend die Einträge am ersten Server... Braucht es da nicht noch ein ipconfig /flushdns und danach ein /renew=?

dein zweiter Tipp:

ich habe auf dem neuen Server mal dcdiag gestartet mit ganz erstaunlichem Ergebnissen; sagt mir leider gar nichts!

Muss das in einen nächsten Post packen, weil hier bei mcsebaord ein Zeichenlimit von 4000 Zeichen gilt(!)

dankon7goo · 23. Januar 2008

Dcdiag neu hinzugefügten Server2003, dem Neuserver2k:

(sagtmir leider noch nicht so viel im Gesamtzusammenhang)

Z:\>dcdiag

Domain Controller Diagnosis

  Testing server: Standardname-des-ersten-Standorts\NEUSERVER2K
     Starting test: Connectivity
        ......................... NEUSERVER2K passed test Connectivity

Doing primary tests

  Testing server: Standardname-des-ersten-Standorts\NEUSERVER2K
     Starting test: Replications
        ......................... NEUSERVER2K passed test Replications
     Starting test: NCSecDesc
        ......................... NEUSERVER2K passed test NCSecDesc
     Starting test: NetLogons
        Unable to connect to the NETLOGON share! (\\NEUSERVER2K\netlogon)
        [NEUSERVER2K] An net use or LsaPolicy operation failed with error 1203
Der angegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen
.
        ......................... NEUSERVER2K failed test NetLogons
     Starting test: Advertising
        Warning: DsGetDcName returned information for \\server2k.rs-hf.intra,
hen we were trying to reach NEUSERVER2K.
        Server is not responding or is not considered suitable.
        ......................... NEUSERVER2K failed test Advertising
     Starting test: KnowsOfRoleHolders
        ......................... NEUSERVER2K passed test KnowsOfRoleHolders
     Starting test: RidManager
        ......................... NEUSERVER2K passed test RidManager
     Starting test: MachineAccount
        ......................... NEUSERVER2K passed test MachineAccount
     Starting test: Services
        ......................... NEUSERVER2K passed test Services
     Starting test: ObjectsReplicated
        ......................... NEUSERVER2K passed test ObjectsReplicated
     Starting test: frssysvol
        ......................... NEUSERVER2K passed test frssysvol
     Starting test: frsevent
        There are warning or error events within the last 24 hours after the
        SYSVOL has been shared.  Failing SYSVOL replication problems may cause
        Group Policy problems.
        ......................... NEUSERVER2K failed test frsevent
     Starting test: kccevent
        ......................... NEUSERVER2K passed test kccevent
     Starting test: systemlog
        An Error Event occured.  EventID: 0x40000005
           Time Generated: 01/23/2008   12:11:24
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0xC25A001D
           Time Generated: 01/23/2008   12:34:37
           (Event String could not be retrieved)
        ......................... NEUSERVER2K failed test systemlog
     Starting test: VerifyReferences
        ......................... NEUSERVER2K passed test VerifyReferences

  Running partition tests on : Schema
     Starting test: CrossRefValidation
        ......................... Schema passed test CrossRefValidation
     Starting test: CheckSDRefDom
        ......................... Schema passed test CheckSDRefDom

  Running partition tests on : Configuration
     Starting test: CrossRefValidation
        ......................... Configuration passed test CrossRefValidation
     Starting test: CheckSDRefDom
        ......................... Configuration passed test CheckSDRefDom

  Running partition tests on : rs-hf
     Starting test: CrossRefValidation
        ......................... rs-hf passed test CrossRefValidation
     Starting test: CheckSDRefDom
        ......................... rs-hf passed test CheckSDRefDom

  Running enterprise tests on : rs-hf.intra
     Starting test: Intersite
        ......................... rs-hf.intra passed test Intersite
     Starting test: FsmoCheck
        ......................... rs-hf.intra passed test FsmoCheck

dankon7goo · 23. Januar 2008

Uh Ah.

ich sehe auf dem ersten Server nun auch massiv immer den gleichen Fehler im Verzeichnisdienst:

und zwar im im viertelstundentakt die 1265 Event-ID,

Der Versuch, eine Replikationsverknüpfung mit den Parametern

Partition: CN=Configuration,DC=rs-hf,DC=intra
Quell-DSA-DN: CN=NTDS Settings,CN=Neuserver2k,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=rs-hf,DC=intra
Quell-DSA-Adresse: f92e87df-5390-41b0-8fff-100fa1a6d50f._msdcs.rs-hf.intra
Intersite Transport (falls vorhanden): 

ist mit folgendem Status fehlgeschlagen:

Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.

Die Daten befinden sich im Statuscode. Der Vorgang wird wiederholt.

ich werde doch mal schauen müssen was das heißt, vielleicht hilft mir ja dieser Fred,

da wird ein ähnliches Problem beschrieben...

http://www.mcseboard.de/windows-forum-allgemein-28/2-ad-dns-server-zeigen-jeweils-selbst-53644.html

Wenn ihr Ideen, Anregungen habt: gerne! Ich schreibe später noch mal nach Sicht der anderen Threads.... So viel Input, das ist echt grausam.

IThome · 23. Januar 2008

Welchen DNS-Server haben die beiden eingetragen ? Lass doch mal beide auf die Adresse des neuen Servers zeigen, bei beiden NETDIAG /FIX ausführen oder alternativ NETLOGON beenden und neu starten und bei beiden IPCONFIG /REGISTERDNS durchführen. Danach mal mit NETDIAG auf dem neuen und dem alten Server prüfen, ob alle Einträge gesetzt wurden.

Download details: Windows 2000 Support Tools: Netdiag.exe Update

dankon7goo · 26. Februar 2008

@IThome:

danke, auch mit deinem Workaround hilft das nichts. Ich sitzte leider schon so lange,dass ich das Gefühl habe ich installier am besten den zweiten Server neu...

Inzwischen habe ich mir die Sache genauer angeschaut, aber ich werde langsam verrückt. Es scheint, das Sysvol auf dem Neuserver2k scheint nicht geshared... Außerdem sind keine NS-Einträge des Neuserver2k im Server2k enthalten, wie Daim sagte: das sollte doch bei der von mir vorher beschrittenen Gangart automatisch sein.

Hier also noch einmal die Ausgangslage:

Der Server2K (WIN2K Std.) DNS-AD-integriert, primäre Zone: alles FSMO Rollen + GC

DNS:

Hat in der Forward LookupZone (FLZ):

(NS) nur für sich selbst (Identisch mit übergeordnetem Ordner)

(A) eintrag des Neuserver2k (Identisch mit übergeordneten Ordner)

(SOA) Eintrag für sich selbst (Identisch mit übergeordnetem Ordner)

und noch einen (A) Eintrag auf den Neuserver2k

auch in der Reverse Lookupzone kein (NS) Eintrag für den Neuserver, nur ein (A)

Aber die SRV-Records im DNS sind auf beiden DCs repliziert/ vorhanden

Aufällige Meldungen / Fehlermeldungen des Server2k in NETDIAG:

LDAP test. . . . . . . . . . . . . : Passed

[WARNING] Failed to query SPN registration on DC 'neuserver2k.rs-hf.intra'.

[..]

DNS test . . . . . . . . . . . . . : Passed

PASS - All the DNS entries for DC are registered on DNS server '134.95.120.2

00' and other DCs also have some of the names registered.

Fehlermeldungen des Server2k in DCDIAG:

Testing server: Standardname-des-ersten-Standorts\SERVER2K

Starting test: Replications

[...]

Starting test: kccevent

An Warning Event occured. EventID: 0x800004F1

Time Generated: 02/26/2008 15:14:30