LangerSN 10 Geschrieben 17. April 2008 Melden Teilen Geschrieben 17. April 2008 Hallo zusammen, ich habe eine Domäne mit 2 Domänencontrollern. Auf beiden läuft DNS. Der eine DC hat alle FSMO Rollen integriert der andere ist Globaler Katalog. Wenn ein Server davon nicht da ist läuft dann die Domäne ganz normal weiter oder was würde passieren wenn. 1. Server 1 mit FSMO Rollen ausfällt 2. Server 2 mit Globaler Katalog ausfällt Auf den Clients werden beide Server als DNS Server eingetragen. Vielen Dank für Eure Hilfe. Desweiteren habe ich in unregelmäßigen Abständen die Ereignis ID 53258 in der Ereignisanzeige. MS DTC konnte das Höher-/ Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler %1. Würdet Ihr bei den Servern eigentlich die automatischen Updates aktivieren. Habe manchmal ein Ereignis das der eine Server den Globalen Katalog nicht erkennt und ich vermute das es dann ist wenn dieser neu startet nach einem Update. Ist meistens nachts. Danke für Eure Hilfe. Zitieren Link zu diesem Kommentar
Maik 10 Geschrieben 17. April 2008 Melden Teilen Geschrieben 17. April 2008 Hallo, für die Domäne sind die FSMO-Rollen sowie der Globale Katalog wichtig. Fällt einer dieser Server aus, wirst Du enorme Probleme bekommen. Du kannst und solltest eine aktuelle ASR-Sicherung besitzen, täglich.. Den Globalen Katalog replizieren lassen.. Im Fehlerfall kannst Du die FSMO-Rollen ntdsutil übernehmen und erzwingen. Gruß MAik Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 17. April 2008 Melden Teilen Geschrieben 17. April 2008 Buenos dias, Auf beiden läuft DNS. dabei sollte die Forward Lookup Zone idealerweise AD-integriert gespeichert sein. Der eine DC hat alle FSMO Rollen integriert der andere ist Globaler Katalog. Dann deklariere doch beide DCs zum GC. Wenn ein Server davon nicht da ist läuft dann die Domäne ganz normal weiter oder was würde passieren wenn. Wenn einer von beiden crashen sollte und den Clients beide Server als DNS-Server bekannt sind, merken die Clients erstmal nichts von dem Crash. Es sei denn, es läuft ein Dienst oder eine Applikation auf dem gecrashten DC, dann würden es die clients schnell merken. Auch läuft die Domäne normal weiter, wenn der Träger der FSMO-Rollen crashen sollte. Erst wenn eine Aufgabe durchgeführt werden soll, in der einer der FSMO-Rollen benötigt wird, erhält man eine Fehlermeldung. Oder wenn der RID-Pool des DCs verbraucht wurde, versucht der DC den RID-Master zu erreichen. Falls der DC keinen neuen RID-Pool anfordern kann, kann der DC keine weiteren Objekte mehr einrichten (wie z.B. einen neuen Benutzer). Wenn der einzigste GC crashen sollte, stehen keine Forestweiten AD-Informationen zur Verfügung. 1. Server 1 mit FSMO Rollen ausfällt Wie bereits erwähnt, dann läuft die Domäne normal weiter. Du musst die FSMO-Rollen dann mit Gewalt auf einen anderen DC verschieben (seizen). Anschließend entfernst du händisch mit NTDSUTIL oder ADSIEdit die Leiche aus dem AD. Wenn du die FSMO-Rollen extra vom GC getrennt hast wegen der "Problematik" zwischen dem Infrastrukturmaster und dem GC, beachte in diesem Artikel in der zweiten Aufzählung den Punkt 3: Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben How to remove data in Active Directory after an unsuccessful domain controller demotion 2. Server 2 mit Globaler Katalog ausfällt Auch hier wie breits beschrieben, stehen dann die Gesamtstrukturweiten Informationen nicht zur Verfügung. Wenn der einzigste GC crashen sollte, bekommst du z.B. beim erstellen eines neuen Benutzers jedesmal eine Warnmeldung im Snap-In "Active Directory-Benutzer und -Computer". Die Benutzer in der Domäne können sich aber weiterhin - auch ohne GC - anmelden, wenn es sich um einen Single-Domänen Forest handelt. Also es existiert nur eine Domäne in der Gesamtstruktur. Existieren hingegen mehrere Domänen in der Gesamtstruktur und der GC crasht, so kann sich der Benutzer nicht anmelden. Daher, aktiviere auf beiden DCs den GC. Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC) Auf den Clients werden beide Server als DNS Server eingetragen. Sehr gut. Desweiteren habe ich in unregelmäßigen Abständen die Ereignis ID 53258 in der Ereignisanzeige. Gehe dazu diesem Artikel nach: Event ID 53258 is logged in Event Viewer after you install or remove Active Directory in Windows Server 2003 Würdet Ihr bei den Servern eigentlich die automatischen Updates aktivieren. Du betreibst hoffentlich einen WSUS. Wenn nicht, dann solltest du das. Ich würde NICHT die Update automatisch installieren lassen auf den Servern, sondern von Hand installieren (wenn möglich-je nach Größe der Umgebung). Habe manchmal ein Ereignis das der eine Server den Globalen Katalog nicht erkennt und ich vermute das es dann ist wenn dieser neu startet nach einem Update. Aktiviere auf beiden DCs den GC und beobachte das weiter. Falls das Verhalten nur bei einem Neustart auftauchen sollte, würde ich das vernachlässigen. Zitieren Link zu diesem Kommentar
LangerSN 10 Geschrieben 17. April 2008 Autor Melden Teilen Geschrieben 17. April 2008 Wenn jetzt Server1 crashed und ein Client hat als Logon Server den Server1 drin zu stehen arbeitet er dann trotzdem ganz normal weiter ja? Vielen Dank für Eure sehr gute ausführliche Hilfe. Ist es sinnvoll alle DC als Globalen Katalog zu deklarieren? Habe eine Stammdomäne mit 2 DC und zwei Unterdomänen mit jeweils 1 DC. Die beiden DC der Unterdomänen sind auch jeweils Globaler Katalos Server. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 17. April 2008 Melden Teilen Geschrieben 17. April 2008 Wenn jetzt Server1 crashed und ein Client hat als Logon Server den Server1 drin zu stehen arbeitet er dann trotzdem ganz normal weiter ja? Wo hat denn ein Client den Logon Server eingetragen? Logon-Server ist jeder DC, auf dem der KDC läuft. Entscheidend ist das DNS. Deshalb sollte jeder Client zwei DNS-Server kennen. Wenn sich ein Client morgens authentifiziert, bekommt dieser ein Kerberos-Ticket das für 10 Stunden gültig ist. Der Client während seiner Arbeit kein Problem, SOLANGE er einen verfügbaren DNS-Server erreichen kann. Vielen Dank für Eure sehr gute ausführliche Hilfe. Ist es sinnvoll alle DC als Globalen Katalog zu deklarieren? Habe eine Stammdomäne mit 2 DC und zwei Unterdomänen mit jeweils 1 DC. Die beiden DC der Unterdomänen sind auch jeweils Globaler Katalos Server. Ja, in deiner überschaubaren Umgebung würde ich auf jedem DC den GC aktivieren. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 17. April 2008 Melden Teilen Geschrieben 17. April 2008 Hallo LangerSN, Ob du Probleme bekommst, wenn einer von 2 DCs ausfällt, hängt sehr von deiner Umgebung ab. z.B - Stehen beide DCs sozusagen nebeneinander, oder sind netzwerktechnisch getrennt und für unterschiedliche Clients zuständig - wie stark sind die DCs ausgelastet? gibt es morgens z.B. Anmeldepeaks über 40% Prozessorlast pro DC? - Ausserdem kommt ein gewisses Bauchkribblen auf, wenn eines von zwei lebenswichtigen Systemen wie DCs ausfällt, und der Prozess bis zur Wiederherstellung dauert...und dauert... (lt. Murphy geschieht ein solcher Ausfall gerne Gründonnerstag abend und bis Osterdienstag ist kein Personal bzw. keine Ersatzhardware verfügbar) cu blub Zitieren Link zu diesem Kommentar
LangerSN 10 Geschrieben 18. April 2008 Autor Melden Teilen Geschrieben 18. April 2008 Irrgendwie habe ich scheinbar doch noch ein DNS Problem wenn der 1. DNS Server nicht verfügbar ist. Meine Forward Lookup Zonen sind alle AD integriert. Nun habe ich den Server mit den FSMO Rollen neu gestartet. Den Logon Server sehe ich im übrigen bei Eingabe des Befehls SET. Jetzt sind bei mir beide Server GC. Wenn ich jetzt ein NSLOOKUP mache kommt die Fehlermeldung DNS Server Request timed out. Obwohl einer von beiden DNS Servern da ist. Was ist denn KCC? Danke für weitere Hilfe. Zitieren Link zu diesem Kommentar
LangerSN 10 Geschrieben 18. April 2008 Autor Melden Teilen Geschrieben 18. April 2008 Hatte gerade gesehen das für meinen einen DC zweimal ein PTR Eintrag bestand noch mit einer alten IP Adresse die er vorher hatte. Desweiteren habe ich unter _msdsc.domain.intern gc und dann habe ich da meine globalen Katalogserver drin aber komischerweise auch 2 IP Adresse die gar nicht zu meinen Netzen passen. Woher kommen denn solche Einträge? Kann man diese dann einfach löschen? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 18. April 2008 Melden Teilen Geschrieben 18. April 2008 Ist das bei dir eine Spielumgebung oder hängen da produktive User dran? Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 18. April 2008 Melden Teilen Geschrieben 18. April 2008 Du solltest DNS auf sichere Updates stellen, falls noch nicht geschehen... Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 18. April 2008 Melden Teilen Geschrieben 18. April 2008 Hallo, für die Domäne sind die FSMO-Rollen sowie der Globale Katalog wichtig. Fällt einer dieser Server aus, wirst Du enorme Probleme bekommen. Du kannst und solltest eine aktuelle ASR-Sicherung besitzen, täglich.. Den Globalen Katalog replizieren lassen.. Im Fehlerfall kannst Du die FSMO-Rollen ntdsutil übernehmen und erzwingen. Gruß MAik Ist so nicht ganz richtig. Da es sich um eine Sigle Domain Umgebung handelt, braucht er keinen GC zur Anmeldung. Das einzige, was nicht tun würde ist die forestweite Suche, die in einer Domäne eh nix bringt und Exchange würde auch nicht mitspielen, weil die GAL Abfragen auf den GC gehen. Daher würde ich in den meisten Fällen trotzdem den GC auf allen DCs aktivieren. Die Replikationslast ist seit 2003 fast vernachlässigbar, weil nur noch die Änderungen repliziert werden. Zu den FSMOs: Wenn der Schema Master weg ist, merkst du das erst, wenn du das Schema erweitern willst. Den Domain Naming Master merkst du nur, wenn du eine neue Domäne installieren willst. Der RID Master wird dir erst weh tun, wenn die RID Pools zur Neige gehen. Der Infrastructure Master macht in einer Single Domain nicht viel. Der Ausfall des PDC kann in verzweigten Umgebungen mit langsamer Replikation zu Verzögerungen bei der Passwort-Aktualisierung führen. Die Zeit wird, falls es der PDC der Root ist, nicht mehr mit der externen Zeitquelle abgeglichen, Forestintern übernehmen andere DCs die Zeitsynchronisierung, also eigentlich auch kein Problem. Zitieren Link zu diesem Kommentar
LangerSN 10 Geschrieben 18. April 2008 Autor Melden Teilen Geschrieben 18. April 2008 Also da sind auch paar Clients produktiv dran. Klappt auch wunderbar. NSLOOKUP etc. funzt soweit auch zu dem was ich getestet habe. Kann ich die GC Einträge raus schmeißen die ich da nicht kenne. Welche Auswirkung haben die? Zitieren Link zu diesem Kommentar
LangerSN 10 Geschrieben 18. April 2008 Autor Melden Teilen Geschrieben 18. April 2008 Sollte eigentlich auch an beiden DC beide DNS Server sowohl als primärer als auch sekundärer eingetragen sein oder jeder nur sein eigener DNS Server? Bekomme auch keine Fehler in der Ereignisanzeige vom DNS Server an den DC. Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 18. April 2008 Melden Teilen Geschrieben 18. April 2008 Zu den DNS Eintragungen an den DCs gibt es fast einen Glaubensstreit. Ich würde beide eintragen. In größeren Umgebungen trage ich als primären DNS immer den gleichen DC ein. Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 18. April 2008 Melden Teilen Geschrieben 18. April 2008 Also da sind auch paar Clients produktiv dran. Klappt auch wunderbar. NSLOOKUP etc. funzt soweit auch zu dem was ich getestet habe. Kann ich die GC Einträge raus schmeißen die ich da nicht kenne. Welche Auswirkung haben die? Wenn du die nicht kennst und wenn es die Server hinter den Einträgen nicht gibt, dann weg damit. Hast du schon die Einstellung der dynamischen Updates überprüft? Übrigens, selbst wenn du einen gültigen rauswirfst, wird der wieder neu registriert, wenn du auf dem entsprechenden DC den Netlogon durchstartest. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.