martins 11 Geschrieben 28. Mai 2008 Melden Teilen Geschrieben 28. Mai 2008 Hallo, vielleicht könnt ihr mir helfen, folgendes Problem zu lösen... Standort A (Zentrale): 2 Domänencontroller (beide W2K3 R2, SP2) beide GC DC1 = 192.168.1.200 DC2 = 192.168.1.224 in den DNS-Eigenschaften wurden beide über Kreuz eingetragen, dabei der jeweils andere DC als primärer DNS. Lief soweit alles wunderbar. Nun kam eine Niederlassung hinzu, die mit einer 2 Mbit SDSL Leitung mit der Zentrale verbunden ist.Standorte wurden von mir VPN verbunden (L2TP mit IPSec) IP-Adressbereich hier: 192.178.100.x Als DNS die beiden DCs (die auch DNS-Server sind AD integriert) aus der Zentrale. Ping funktioniert. In der Niederlassung wurde ein Server installiert (W2K3 R2, SP2), anschließend DNS, dann wurde der Server mit DCPromo zum DC hochgestuft. Problem seitdem ist leider, dass das Ereignisprotokoll in der Niederlassung die Fehler 13565 und 13508 protokolliert. Ereignistyp: Warnung Ereignisquelle: NtFrs Ereigniskategorie: Keine Ereigniskennung: 13565 Datum: 28.05.2008 Zeit: 14:06:44 Benutzer: Nicht zutreffend Computer: NIEDERLASSUNG Beschreibung: Der Dateireplikationsdienst initialisiert den Systemdatenträger mit Daten eines anderen Domänencontrollers. Der Computer "NIEDERLASSUNG" kann nicht zum Domänencontroller (...) und Ereignistyp: Warnung Ereignisquelle: NtFrs Ereigniskategorie: Keine Ereigniskennung: 13508 Datum: 28.05.2008 Zeit: 14:08:32 Benutzer: Nicht zutreffend Computer: NIEDERLASSUNG Beschreibung: Der Dateireplikationsdienst konnte die Replikation von SRV01-Z1.firma.lokal nach NIEDERLASSUNG für c:\windows\sysvol\domain mit DNS-Namen SRV01-Z1.firma.lokal nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name SRV01-Z1.firma.lokal von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf SRV01-Z1.firma.lokal nicht ausgeführt. [3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. (...) Der Dateireplikationsdienst in der Zentrale läuft hingegen fehlerfrei. In der Zentrale erscheint aber auch die Warnung bzw. das Ereignis von NTDS KCC: Ereignistyp: Warnung Ereignisquelle: NTDS KCC Ereigniskategorie: Konsistenzprüfung Ereigniskennung: 1925 Datum: 28.05.2008 Zeit: 14:21:47 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: SRV01-Z1 Beschreibung: Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden schreibbaren Verzeichnispartition. Verzeichnispartition: CN=Schema,CN=Configuration,DC=firma,DC=lokal Quelldomänencontroller: CN=NTDS Settings,CN=NIEDERLASSUNG,CN=Servers,CN=Damme,CN=Sites,CN=Configuration,DC=firma,DC=lokal Adresse des Quelldomänencontrollers: 03271fbf-d03c-4ebf-b01f-97d44d95f607._msdcs.firma.lokal Standortübergreifende Übertragung (falls vorhanden): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=firma,DC=lokal Dieser Domänencontroller kann nicht mit dem Quelldomänencontroller replizieren, solange das Problem nicht behoben ist. Benutzeraktion Überprüfen Sie, ob auf den Quelldomänencontroller zugegriffen werden kann und ob eine Netzwerkverbindung besteht. Zusätzliche Daten Fehlerwert: 1727 Der Remoteprozeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt. Dann fällt mir auf, dass folgende Meldung beim anmelden an einem Client in der Zentrale erscheint. "Windows Systemfehler: Ein gleicher Name ist bereits im Netzwerk vorhanden" Diese Meldung erscheint erst, seitdem der Server in der Niederlassung installiert wurde. Nach dem DCPromo wurden übrigens noch zwei Standorte unter "Active Directroy-Standorte und -Dienste" mit dem Namen der Niederlassung und der Zentrale erstellt und anschließend die jeweiligen Server dorthin verschoben. Die dafür passenden Subnetze wurden ebenfalls erstellt. Hilfe! Danke! Martin Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Den Server in der Niederlassung habe ich nun wieder heruntergestuft (per DCPROMO) und die Einträge im DNS bereinigt. Auch habe ich in den "Standorten und Diensten" den Standort der Niederlassung gelöscht... ebenfalls in DNS. Alle Ereignisprotokolle sind sauber. So... ich möchte aber noch einen erneuten Anlauf machen, die Niederlassung sauber an die Zentrale zu connecten. Ping in beide Richtungen funktioniert einwandfrei (auch mit dem FQDN-Namen), bei nslookup in der Niederlassung und der Zentrale erscheint aber die Meldung (bei Eingabe der Server-IP der Niederlassung) "IP-Adresse wurde von DNS-Server nicht gefunden: Non-existent domain" Ist jemand zufällig online, der mich hier etwas unterstützen kann? :) Danke für eure Hilfe! M. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Ich kann keinen offensichtlichen Fehler in deinen Schilderungen erkennen. Könntest du mal ein uneditiertes ipconfig /all von allen Server pasten? Ist der PC in der Aussenstelle bereits Member der Domain? Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Na klar, Lukas. Die Zentrale (Server 1) C:\Dokumente und Einstellungen\Administrator.firma>ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : SRV01-muc Primäres DNS-Suffix . . . . . . . : firma.lokal Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : firma.lokal Ethernet-Adapter LAN-Verbindung 2: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : HP NC373i Multifunction Gigabit apter #2 Physikalische Adresse . . . . . . : 00-5C-C6-DA-37-0A DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.8.200 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.8.80 DNS-Server . . . . . . . . . . . : 192.168.8.200 192.168.8.224 Primärer WINS-Server . . . . . . : 192.168.8.200 C:\Dokumente und Einstellungen\Administrator.firma> Die Zentrale (Server 2) C:\Dokumente und Einstellungen\Administrator.firma>ipconfig Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : backup-muc Primäres DNS-Suffix . . . . . . . : firma.lokal Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : firma.lokal Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel® PRO/1000 CT Physikalische Adresse . . . . . . : 00-E1-83-2D-61-9C DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.8.224 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.8.80 DNS-Server . . . . . . . . . . . : 192.168.8.224 192.168.8.200 Primärer WINS-Server . . . . . . : 192.168.8.224 C:\Dokumente und Einstellungen\Administrator.firma> Die Niederlassung: C:\Dokumente und Einstellungen\administrator.firma>ipc Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : srv01-da Primäres DNS-Suffix . . . . . . . : firma.lokal Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : firma.lokal Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel® PRO/1000 ith I/O Acceleration Physikalische Adresse . . . . . . : 00-35-19-4E-AB- DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 49.40.1.2 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 49.40.1.80 DNS-Server . . . . . . . . . . . : 192.168.8.200 192.168.8.224 Primärer WINS-Server . . . . . . : 192.168.8.200 Sekundärer WINS-Server . . . . . : 192.168.8.224 EDIT: Ja, der Server in der Niederlassung ist bereits Member. – Muss ich denn eventuell noch auf einem der beiden DNS-Server eine Zone für den IP-Adressbereich der Niederlassung anlegen? :confused::confused::confused: nslookup in der Zentrale mit dem Netbios-Namen des Niederlassungs-Servers funktioniert, mit der IP-Adresse nicht. :mad: C:\Dokumente und Einstellungen\Administrator.firma>nslookup Standardserver: srv01-muc.firma.lokal Address: 192.168.8.200 > srv01-da Server: srv01-muc.firma.lokal Address: 192.168.8.200 Name: srv01-da.firma.lokal Address: 49.40.1.2 > 49.40.1.2 Server: srv01-muc.firma.lokal Address: 192.168.8.200 *** 49.40.1.2 wurde von srv01-muc.firma.lokal nicht gefunden: Non-existent domain > Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 (Server 1) Hostname . . . . . . . . . . . . : SRV01-muc Primäres DNS-Suffix . . . . . . . : firma.lokal Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : firma.lokal IP-Adresse. . . . . . . . . . . . : 192.168.8.200 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.8.80 DNS-Server . . . . . . . . . . . : 192.168.8.200 192.168.8.224 Primärer WINS-Server . . . . . . : 192.168.8.200 Das ist ja nicht wirklich über-Kreuz. Da müsste der erste .224, der Zweite .200. Der zweite WINS fehlt ganz. Das ist sicher nicht die Ursache des Problems. Hostname . . . . . . . . . . . . : backup-muc IP-Adresse. . . . . . . . . . . . : 192.168.8.224 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.8.80 DNS-Server . . . . . . . . . . . : 192.168.8.224 192.168.8.200 Primärer WINS-Server . . . . . . : 192.168.8.224 Selbes Problem. Hostname . . . . . . . . . . . . : srv01-da Physikalische Adresse . . . . . . : 00-35-19-4E-AB- DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 49.40.1.2 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 49.40.1.80 DNS-Server . . . . . . . . . . . : 192.168.8.200 192.168.8.224 Primärer WINS-Server . . . . . . : 192.168.8.200 Sekundärer WINS-Server . . . . . : 192.168.8.224 49.40.1.0/24? Das ist aber kein RFC1918 Subnet... Muss ich denn eventuell noch auf einem der beiden DNS-Server eine Zone für den IP-Adressbereich der Niederlassung anlegen? Wenn du willst das die Rückauflösung Funktioniert, ja natürlich. ICh würde das aber nicht "auf einem der beiden" machen, sondern direkt als AD-Integrierte Zone. Sodass sie sich auf all deine DCs repliziert. Und unbedingt Scavenging aktivieren. Kannst dich sonst gerne via Mail/IM melden. Hock hier eh noch bis in die Nacht fest... Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Das ist ja nicht wirklich über-Kreuz. Da müsste der erste .224, der Zweite .200. Der zweite WINS fehlt ganz. Das ist sicher nicht die Ursache des Problems. Selbes Problem. 49.40.1.0/24? Das ist aber kein RFC1918 Subnet... Wenn du willst das die Rückauflösung Funktioniert, ja natürlich. ICh würde das aber nicht "auf einem der beiden" machen, sondern direkt als AD-Integrierte Zone. Sodass sie sich auf all deine DCs repliziert. Und unbedingt Scavenging aktivieren. Kannst dich sonst gerne via Mail/IM melden. Hock hier eh noch bis in die Nacht fest... ... Naja, die Probleme hatte ich auch, als es so konfiguriert war, wie du schreibst. Über Kreuz und 2x WINS in den Servern eingetragen. Auf diversen Seiten (ich glaube es waren Yusufs Blog und faq-o-matic) habe ich dann gelesen, dass der DNS erst auf sich zeigen sollte, dann auf den anderen... und dass der WINS nur auf sich zeigen soll... und nur auf sich! Tja, wie so oft... ein Sachverhalt, tausend Meinungen!:) siehe auch hier: faq-o-matic.net » Wie sollte WINS konfiguriert werden? Kannst du mir kurz sagen, wie du das meinst... "nicht auf einem der beiden". Wo soll ich es denn sonst machen, wenn nicht auf einem der beiden DNS-Server? :confused: Und bitte was ist "Scavenging"? Danke! :) M. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 faq-o-matic.net » Wie sollte WINS konfiguriert werden? Okay. Glaub dem mehr als mir. Die Leute die das geschrieben haben verstehen mehr von der Materie als ich. Wie gesagt, die DNS Konfiguration sieht nicht falsch aus. Kannst du mir kurz sagen, wie du das meinst... "nicht auf einem der beiden". Wo soll ich es denn sonst machen, wenn nicht auf einem der beiden DNS-Server? Was ich meinte ist das du keine primäre DNS-Zone anlegen solltest die dann nur auf einem DNS-Server ist, sondern eine AD-integrierte Zone, die dann automatisch auf alle DNS-Server repliziert wird. Und bitte was ist "Scavenging"? Das automatische Löschen von veralteten DNS Einträgen. Rechtsklick auf den DNS-Serverund dann "Set Aging/Scavenging for All Zones" oder auf den einzelnen Zonen, und dann auf einem oder mehreren DNS-Servern in den Eigenschaften das Scavenging auch aktivieren, damit du keine veralteten PTR-Einträge kriegst. Wie gesagt: DNS- und Netzwerksetup sieht ansonsten so aus als ob ein dcpromo klappen sollte. Das einzige was du noch prüfen kannst ist ob du evtl. ein MTU Problem über die VPN Leitung hast. ping -l 1500 zentrale aus der filiale her und umgekehrt. Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Das einzige was du noch prüfen kannst ist ob du evtl. ein MTU Problem über die VPN Leitung hast. ping -l 1500 zentrale aus der filiale her und umgekehrt. Das spuckt mir der ping auf beiden Seiten aus (ohne MTU funzt es, mit MTU schon nicht mehr): C:\Dokumente und Einstellungen\administrator.firma>ping 192.168.8.200 Ping wird ausgeführt für 192.168.8.200 mit 32 Bytes Daten: Antwort von 192.168.8.200: Bytes=32 Zeit=17ms TTL=126 Antwort von 192.168.8.200: Bytes=32 Zeit=18ms TTL=126 Antwort von 192.168.8.200: Bytes=32 Zeit=18ms TTL=126 Antwort von 192.168.8.200: Bytes=32 Zeit=18ms TTL=126 Ping-Statistik für 192.168.8.200: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 17ms, Maximum = 18ms, Mittelwert = 17ms C:\Dokumente und Einstellungen\administrator.firma>ping 192.168.8.200 -l 1500 Ping wird ausgeführt für 192.168.8.200 mit 1500 Bytes Daten: Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Ping-Statistik für 192.168.8.200: Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust), C:\Dokumente und Einstellungen\administrator.firma> Da sollte man doch ansetzen können!? ;) Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Da sollte man doch ansetzen können!? ;) Richtig raten spart viel Troubleshooting ;) Okay. * Was hast du für Anbindungen in den Standorten? Welche Technologie? ADSL? VDSL? PPPoE? PPPoATM? * Was verwendest du um die VPN-Verbindungen aufzubauen? * Wie sind die Geräte konfiguriert? Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Also... der maximale MTU-Wert der auf beiden Seiten funktionierte, war 1472. Die Zeit stieg allerdings auch auf 38ms. Die Verbindung ist SDSL, 2 Mbit, die Geräte sind von Draytek, Vigor 2910 und die Verbindung wird mit L2TP/IPSec aufgebaut. Bringt uns das weiter? ;) Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Kannst du im VPN-Bereich MTU-Einstellungen tätigen? MSS Clamping Einstellungen? Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Nicht direkt... evtl. geht es per telnet. MSS Clamping Einstellungsmöglichkeiten sind mir keine begegnet. Ich habe den Server in der Zentrale mal kurz aus der Domäne genommen und neu hinzugefügt => ohne Ergebnis. Echt komisch... Netzlaufwerke kann ich verbinden und alles andere auch. ;( Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Nein, das Problem liegt offensichtlich beim VPN. Setze doch mal die Interface MTU runter - auf 1450 oder so und schau was passiert. Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Du meinst in der Registrierung - auf allen drei Servern? HOW TO: Change the Default Maximum Transmission Unit (MTU) Size Settings for PPP Connections or for VPN Connections Betrifft dieses Howto nicht VPN-Verbindungen, die ich direkt mit dem W2K3-Server herstelle? – Im DNS-Server in der Zentrale ist nur eine Reverse-Lookupzone mit dem Netz "192.168.8.x Subnet" eingerichtet. Mein Memberserver ist dort nicht aufgeführt... kann ich dann überhaubt eine Antwort von nslookup bekommen? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Du meinst in der Registrierung - auf allen drei Servern? Nein, bloss nicht. Sondern auf den Routern selber. Wie gesagt - du hast kein Windows- sondern ein Netzwerkproblem. Im DNS-Server in der Zentrale ist nur eine Reverse-Lookupzone mit dem Netz "192.168.8.x Subnet" eingerichtet. Mein Memberserver ist dort nicht aufgeführt... kann ich dann überhaubt eine Antwort von nslookup bekommen? Und wie genau ist diese Zone eingerichtet? ipconfig /registerdns auf dem Memberserver laufen lassen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.