Logging aufgrund von DNS-Problemen

[maeck 10]

Hallo,

 

wir haben ein großes Servernetzwerk, dass aus einer Domäne und ca. 80 w2k3/w2k8-Servern besteht. Darunter ca. 25 Domänencontroller, die über 25 Filialen segmentiert verteilt sind.

 

Seit Kurzem haben wir das Problem, dass wir eine 192-er IP im DNS haben, die sich als Domänencontroller ausgibt. Wir vermuten, dass es von einem DELL 2600 kommt, dessen RAC-Karte sich als Modem-Device in Windows einträgt und seine 192-IP im DNS registriert.

 

Da wir aber noch ein paar DELL2600 haben, ist es schwierig genau zu sagen, auf welchem Domänencontroller in welchem Segment die IP eingetragen wird.

 

Gibt es eine Möglichkeit, alle DNS-Server abzufragen um zu schauen, bei welchem DNS-Server eine IP das erste mal registriert wurde?

 

Gruß Marcel

[NilsK 2.785]

Moin,

 

handelt es sich um AD-integrierte DNS-Zonen? Dann könnt ihr euch die Metadaten des DNS-Eintrags anzeigen lassen:

 

repadmin /showmeta "DC=4b1a77e6-4711-4711-be6f-2a5b09730827,DC=_msdcs.meine.domaene.de,CN=MicrosoftDNS,DC=ForestDnsZones,DC=meine,DC=domaene,DC=de"

 

Unter "Ursprüngl. DSA" steht der DC, von dem aus das Objekt repliziert wurde.

 

Using Repadmin.exe to troubleshoot Active Directory replication

 

Was genau meinst du mit "eine 192-er IP im DNS [...], die sich als Domänencontroller ausgibt"?

 

Gruß, Nils

[amichel 10]

http://www.dell.com/downloads/global/power/ps2q06-20060105-Zhang-OE.pdf

amichel

[maeck 10]

Moin,

 

handelt es sich um AD-integrierte DNS-Zonen? Dann könnt ihr euch die Metadaten des DNS-Eintrags anzeigen lassen:

 

repadmin /showmeta "DC=4b1a77e6-4711-4711-be6f-2a5b09730827,DC=_msdcs.meine.domaene.de,CN=MicrosoftDNS,DC=ForestDnsZones,DC=meine,DC=domaene,DC=de"

 

Unter "Ursprüngl. DSA" steht der DC, von dem aus das Objekt repliziert wurde.

 

Using Repadmin.exe to troubleshoot Active Directory replication

 

Was genau meinst du mit "eine 192-er IP im DNS [...], die sich als Domänencontroller ausgibt"?

 

Gruß, Nils

 

Hallo Nils,

ja, wir haben AD-integrierte DNS-Zonen. Jedoch befindet sich der DNS-Eintrag der 192er-IP nicht in _msdcs, sondern eine Ebene höher. Direkt in "Forward Lookup Zones" -> "unsere.zone.de":

 

Wie kann ich da mit repadmin drauf zugreifen und die Metadaten auslesen?

 

Gruß Marcel

[maeck 10]

Ich habe mal einen ganz normalen LDAP-Browser genommen und in

DC=unsere,DC=domaene,DC=de

gegangen. Dort gibt es zwar den Ordner "DC=ForestDnsZones", aber darin befindet sich nicht "CN=MicrosoftDNS".

 

Schaue ich unter "DC=DomainDnsZones", finde ich den Eintrag "CN=MicrosoftDNS".

Darin werden alle unsere Zonen aufgeführt, bis auf die Zone "unsere.domaene.de", in der der obige Eintrag der 192er-IP (laut DSA) steht :confused:

 

Warum? Muss ich da woanders schauen?

 

Gruß Marcel

[NilsK 2.785]

Moin,

 

du suchst dir einfach mit ADSI Edit oder einem anderen LDAP-Browser den DNS-Eintrag heraus. Dann kopierst du dir den distinguishedName oder schreibst ihn auf. Und das ist dann der String, den du an "repadmin /showmeta" verfütterst.

 

Was du aber noch nicht beantwortet hast: Was meinst du mit "eine 192-er IP im DNS [...], die sich als Domänencontroller ausgibt"? Sprich: Was ist überhaupt das Problem?

 

Gruß, Nils

[maeck 10]

Was du aber noch nicht beantwortet hast: Was meinst du mit "eine 192-er IP im DNS [...], die sich als Domänencontroller ausgibt"? Sprich: Was ist überhaupt das Problem?

Das Problem ist, dass sich die RAC-Karte eines DELL2600-Servers als Netzwerkinterface in W2k3 integriert. Passiert das auf einem Domänencontroller, registriert sich die IP der RAC-Karte (192.) im DNS und gibt sich als unsere.domaene.de aus (siehe Bild meines letzten Beitrags).

 

Das führt dazu, dass ein ping auf "unsere.domaene.de" auf die 192er-IP weitergeroutet wird, was natürlich nicht funktioniert. Das macht auch Probleme beim NetLogon, wenn die Computer die 192er als "unsere-domaene.de" bekommen.

 

Jetzt klarer?

 

Moin,

 

du suchst dir einfach mit ADSI Edit oder einem anderen LDAP-Browser den DNS-Eintrag heraus. Dann kopierst du dir den distinguishedName oder schreibst ihn auf. Und das ist dann der String, den du an "repadmin /showmeta" verfütterst.

Genau den DNS-Eintrag finde ich ja nicht ;) (siehe meinen letzten Beitrag)

 

Marcel

[maeck 10]

Ich habe jetzt herausgefunden, warum ich unsere Zone "unsere.domaene.de" nicht im ADSI EDIT finde. In den Eigenschaften der Zone steht unter Replication:

 

Ich habe gelesen, dass die Zone nur dann angezeigt wird, wenn der mittlere Button ausgewählt ist. Aber was genau hat das zu bedeuten und welche Auswirkungen hat das?

 

Kann ich das einfach so umstellen?

Wir haben keine Windows2000 DomänenController mehr.

 

Marcel

[NilsK 2.785]

Moin,

 

ob du das umstellen kannst bzw. solltest, hängt von eurem DNS-Konzept ab. Jedenfalls müsstest du die Daten derzeit direkt in der Domänenpartition finden; nur in den anderen Einstellungen liegen sie in den jeweiligen Applikationspartitionen.

 

Zu dem Eintrag: Ja, jetzt habe ich das Problem verstanden. Du hast es ja offenbar auch mittlerweile identifiziert. Daher dürfte die Recherche nach dem DC, auf dem der Eintrag erzeugt wurde, ja auch hinfällig sein, denn der Eintrag gibt ja direkten Rückschluss darauf, von welchem Server er stammt.

 

Gruß, Nils

[maeck 10]

Zu dem Eintrag: Ja, jetzt habe ich das Problem verstanden. Du hast es ja offenbar auch mittlerweile identifiziert. Daher dürfte die Recherche nach dem DC, auf dem der Eintrag erzeugt wurde, ja auch hinfällig sein, denn der Eintrag gibt ja direkten Rückschluss darauf, von welchem Server er stammt.

Leider gibt der Eintrag keinen direkten Rückschluss auf den Server, auf dem er erstmalig eingetragen wurde. Zumindest so lange nicht, bis ich ihn im ADSI EDIT gefunden und mir die Metainformationen anzeigen hab lassen.

 

Oder versteh ich was falsch?

 

:(

[NilsK 2.785]

Moin,

 

aber wozu brauchst du die Information? Anhand der IP-Adresse im DNS-Eintrag steht doch fest, welcher Computer da schuldig ist - oder versteh ich da jetzt grad was nicht?

 

Gruß, Nils

[edw4rd 10]

Er hat die IP, würde aber gerne wissen bei welchem der 25 DCs er sich als erstes angemeldet hat um die Suche nach der zugehörigen Kiste zu erleichtern ;)

[NilsK 2.785]

Moin,

 

ach so, das kann sein. Naja, wie schon gesagt: Bei der gewählten Replikationseinstellung sind die DNS-Daten direkt in der Domänenpartition gespeichert, ich meine unter "System".

 

Gruß, Nils

[maeck 10]

Komme leider erst jetzt wieder dazu, an dem Problem weiterzuarbeiten, da ich einige Zeit im Ausland war.

Er hat die IP' date=' würde aber gerne wissen bei welchem der 25 DCs er sich als erstes angemeldet hat um die Suche nach der zugehörigen Kiste zu erleichtern [/quote']Exakt! :)

Naja, wie schon gesagt: Bei der gewählten Replikationseinstellung sind die DNS-Daten direkt in der Domänenpartition gespeichert, ich meine unter "System".

Genau das habe ich gesucht!

Habe den CN=MicrosoftDNS nun unter CN=System gefunden, vielen Dank!

 

Leider finde ich den betreffenden DNS-Eintrag mit der 192er noch nicht :(

Im DNSMGMT finde ich unter "Forward Lookup Zone" -> "unser.domaene.de" folgende Hosts:

Wie ihr seht, haben die aber keinen Namen, sodass ich Sie nur über den Wert erkennen kann. Im ADSIEdit sind die Werte aber im HEX-Code (glaube ich) und somit nicht im Klartext erkennbar.

 

Wie finde ich den korrekten DNS-Eintrag mit der 192er?

[edw4rd 10]

Kannst du den PC eigentlich anpingen?