Jump to content

DNS / Integration 2. DC


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe eine grundsätzliche Frage – folgendes Setup:

 

DC1 – w2k3

DC2 – w2k8r2

 

Die DNS-Zonen sind AD-integriert, der DC2 hat die FSMO Rollen inne.

 

Die erste Frage -

Wie müssen / sollten die DNS-Einstellungen in den Netzwerkkarteneinstellungen der DCs stehen ? Sollte es im „Prinzip“ nicht egal sein, ob ich die Server untereinander „kreuze“, 127.0.0.1 oder die eigene Ethernet-Adresse angebe ?

 

Ich hatte gestern genau diese Situation, nachdem ich DC2 mittels DCPromo in die Domäne gehoben und er auch die FSMO Rollen übernommen hat. Allerdings gab es massive Probleme, deren Ursache ich im DNS vermute – unter anderem wurde im Eventlog protokolliert, dass „kein Domänencontroller gefunden“ werden konnte und DC2 Inhaber der FSMO Rollen ist, aber mindestens eine Rolle ungültig sei. Als „Ausgangsmeldung“ habe ich EventID 2087 ausmachen können, bzw. vermutet; in dem unter anderem der „failed DNS Host Name“ angegeben wird, der als GUID (z.B. Failing DNS host name:

b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.domaene.local) angegeben wird.

 

Allerdings hat ein nslookup auf beiden Server sowohl auf die dc1.domaene.local, dc2.domaene.local als auch auf b0069e56-b19c-438a-8a1f-64866374dd6e._msdcs.domaene.local korrekte Werte geliefert!

 

Kann es sein, dass bei DCPromo bzw. der anschließenden Replikation etwas schief gegangen ist ?

 

Letzten Endes konnte ich die FSMO Rollen zurück übertragen und DC2 wieder entfernen; DC1 läuft im Moment ohne Probleme.

 

Lg

Sebastian

Link zu diesem Kommentar

Salve,

 

Wie müssen / sollten die DNS-Einstellungen in den Netzwerkkarteneinstellungen der DCs stehen ?

 

es ist empfohlen die Überkreuzeinstellung zu wählen. Jeweils der andere DC sollte als primärer DNS- und der DC selbst als zweiter DNS-Server konfiguriert werden.

 

http://blog.dikmenoglu.de/Welcher+DNSServer+Sollte+Eingetragen+Werden.aspx

 

Sollte es im „Prinzip“ nicht egal sein, ob ich die Server untereinander „kreuze“,

 

Ja, es funktioniert auch wenn der DC selbst als primärer DNS-Server steht. Dadurch dauert aber der Startvorgang des DCs etwas länger und im Eventlog erscheinen hässliche Fehlermeldung, die dann aber auch automatisch wieder verschwinden. Trotzdem sollte man die Überkreuzeinstellung beibehalten!

 

127.0.0.1 oder die eigene Ethernet-Adresse angebe ?

 

Ja, beides funktioniert ebenfalls. Es ist aber empfehlenswert die echte IP-Adresse zu konfigurieren. Würdest du die Loopback-Adresse eintragen, hättest du den Vorteil das wenn sich "mal" die IP-Adresse des DCs ändert, du die DNS-Server IP nicht ändern müsstest.

 

Als „Ausgangsmeldung“ habe ich EventID 2087 ausmachen können

 

In dem Eventlogeintrag steht doch auch in der Beschreibung was man unternehmen könnte, um dem Problem auf die Schliche zu kommen.

 

Event ID 2087: DNS lookup failure caused replication to fail: Active Directory

Event ID 2087 ? Discovery of replication partners

 

Kann es sein, dass bei DCPromo bzw. der anschließenden Replikation etwas schief gegangen ist ?

 

Es ist zwar vieles möglich, aber das ist sehr unwahrscheinlich. Ich tippe ebenfalls auf Probleme im DNS wenn keine Netzwerkkonnektivitätsprobleme vorliegen.

 

Letzten Endes konnte ich die FSMO Rollen zurück übertragen und DC2 wieder entfernen

 

Du hast den Server wieder mit DCPROMO heruntergestuft?

Link zu diesem Kommentar

Hallo !

 

Es ist empfohlen die Überkreuzeinstellung zu wählen. Jeweils der andere DC sollte als primärer DNS- und der DC selbst als zweiter DNS-Server konfiguriert werden.

 

Ich hab´s mir gedacht, war mir aber nicht sicher; im Blog habe ich schon vieles gelesen, aber diesen Artikel habe ich nicht gesehen; danke!

 

Ja, es funktioniert auch wenn der DC selbst als primärer DNS-Server steht. ....im Eventlog erscheinen hässliche Fehlermeldung, die dann aber auch automatisch wieder verschwinden.

 

Das wollte ich ganz gerne vermeiden :-)

 

127.0.0.1 - Würdest du die Loopback-Adresse eintragen, hättest du den Vorteil das wenn sich "mal" die IP-Adresse des DCs ändert, du die DNS-Server IP nicht ändern müsstest.

 

Werde ich nicht machen, eine IP vom Server ändert man ja i.d.R. nicht "mal" so.

 

In dem Eventlogeintrag steht doch auch in der Beschreibung was man unternehmen könnte, um dem Problem auf die Schliche zu kommen.

....

 

Ich habe auch angefangen, das ganze abzuarbeiten, habe ich aber etwas im Kreis gedreht - lag vielleicht auch dadran, daß es schon sehr spät war (eine vorherige Installation hatte sich auch schon verzögert), so daß ich beschlossen habe, ersteinmal wieder einen sicheren Betrieb herzustellen. Ich wollte das Szenario heute einmal in zwei VMs nachstellen - ich habe vom DC1 ein VM-Image gezogen.

 

Netzwerkkonnektivität ist es nicht, das passt alles; ist nur ein kleiner Switch zwischen und die Server sind im gleichen Rack. Treiber ist auch alles fein.

 

Sollte man grundsätzlich IPv6 auf dem 2k8r2 abschalten / nicht an das Interface binden ? Wir brauchen´s im Moment sowieso nicht.

 

Du hast den Server wieder mit DCPROMO heruntergestuft?

 

Ja, und nach Neustart auch sauber aus dem AD als "normales" Mitglied entfernt und als letztes das PC-Konto aus "Computers" gelöscht.

 

Danke

Sebastian

Link zu diesem Kommentar
Das wollte ich ganz gerne vermeiden :-)

 

Dann wähle wie empfohlen die Überkreuzeinstellung.

 

Werde ich nicht machen, eine IP vom Server ändert man ja i.d.R. nicht "mal" so.

 

Genau.

 

ich habe vom DC1 ein VM-Image gezogen.

 

Bitte Vorsicht walten lassen! Die VM darf im keinster Weise Verbindung zum produktiven Netz haben.

 

Netzwerkkonnektivität ist es nicht, das passt alles; ist nur ein kleiner Switch zwischen und die Server sind im gleichen Rack. Treiber ist auch alles fein.

 

Jetzt im Nachhinein bekommt man das ohnehin nicht mehr heraus, woran es lag. Aber sicherlich lag es am DNS.

 

Sollte man grundsätzlich IPv6 auf dem 2k8r2 abschalten / nicht an das Interface binden ? Wir brauchen´s im Moment sowieso nicht.

 

Nein, nicht "grundsätzlich".

 

Ja, und nach Neustart auch sauber aus dem AD als "normales" Mitglied entfernt und als letztes das PC-Konto aus "Computers" gelöscht.

 

Fein gemacht. Dadurch existiert dann auch keine Leiche im AD.

Link zu diesem Kommentar

Hallo,

 

ich muss mich nochmal zurückmelden :-)

Ich habe das ganze jetzt mit meiner VM nachgestellt.

 

Ausgangssituation:

DC 1 - 192.168.1.10 - GC / FSMO / DNS / DHCP

 

1. Ich habe den 2k8r2 auf dem zweiten Rechner (VM) installiert, IP 192.168.1.11, DNS auf 192.168.1.10. Nslookup auf DC1 ohne Probleme.

2. Danach habe ich den zweiten Rechner zunächst als normales Mitglied in die Domäne gehoben. Nach Neustart kein Problem mit Nslookup.

3. Mit DCPromo den zweiten PC zum DC gemacht. Nach Neustart sind die DNS-Einstellungen (automatisch) wie folgt: primärer DNS: 192.168.1.10, sekundärer: 127.0.0.1

 

Problem ist an dieser Stelle, daß ein nslookup auf DC2 ausgeführt folgendes ergibt:

C:\Users\Administrator.domaene>nslookup dc1.domaene.local
DNS request timed out.
   timeout was 2 seconds.
Server:  UnKnown
Address:  ::1

Name:    dc1.domaene.local
Address:  192.168.1.10

 

Den gleichen Befehl auf DC1 ausgeührt liefert korrekte Ergebnisse.

 

Könnte das der Ursprung der Probleme sein, bzw. warum funktioniert der Lookup auf DC1 von DC2 aus nicht ?

 

Nachtrag: Die PTR Einträge in der Reverse-Lookupzone sind für DC1 und DC2 enthalten.

Nachtrag2: Ein Ping auf DC2 ausgeführt auf DC2 ergibt folgendes:

C:\Users\Administrator.domaene>ping dc2.domaene.local

Ping wird ausgeführt für dc2.domaene.local [fe80::8c70:96cf:47ae:8f4e%11]
mit 32 Bytes Daten:
Antwort von fe80::8c70:96cf:47ae:8f4e%11: Zeit<1ms
Antwort von fe80::8c70:96cf:47ae:8f4e%11: Zeit<1ms
Antwort von fe80::8c70:96cf:47ae:8f4e%11: Zeit<1ms

 

Könnte das Problem doch mit IPv6 zusammenhängen ?

 

Nachtrag 3:

 

Ich habs gefunden...

http://www.mcseboard.de/post8-959628.html

 

Sorry - für das unnötige Posting; aber vielleicht hilfts ja mal jemand anderen :-)

 

 

lg

Sebastian

bearbeitet von slemke
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...