DNS Problem AD integrierte Zone

[termack 10]

Hallo an alle,

 

aus Wartungsgründen habe ich einen unserer DC´s (DC1) mit AD integriertem DNS hueruntergefahren. Soweit kein Problem, da wir noch 4 andere DC´s mit AD integriertem DNS haben. Dachte ich, dem war aber nicht so. Sobald der DC1 heruntergefahren ist funktioniert keine Namensauflösung mehr. Nslookup liefert keine Ergebnisse mehr zurück, egal ob auf IP oder Name.

 

Auf den Clients ist der DC1 als primärer DNS eingetragen und die anderen DC´s als weitere DNS Server.

 

Dcdiag liefert bei jedem Test passed die logs sind sauber, ich weis nicht wo ich noch suchen soll.

 

Hat jemand eine Idee?

 

Gruß

 

Termack

[blub 115]

Hallo,

sind das noch xp-clients? Ich meine mich zu erinnern, dass das nslookup von xp immer den ersten DNS-Server nutzen will.

- Hast du sonst Probleme, wenn der erste DNS weg ist?

- hol dir mal das nslookup.exe von einem DC, sofern wir wirklich über xp sprechen.

 

blub

[termack 10]

Hi und danke für deine schnelle Antwort,

 

also die Clients sind Win XP und Win 7. Problem tritt bei beiden Betriebssystemen auf.

 

hol dir mal das nslookup.exe von einem DC, sofern wir wirklich über xp sprechen.

Wie meinst du das? Wenn DC1 down ist das nslookup von einem anderen Server aus testen? (ist es in diesem Fall wichtig das es kein DC ist auf dem ich das dann Teste? Oder soll es ein DC sein?)

[blub 115]

hast du denn tatsächlich Probleme, (User können sich nicht anmelden, Server nicht erreichbar, Ping geht nicht auf Namen etc.), oder hast du nur nslookup-Probleme?

[termack 10]

Hi blub,

 

das Problem ist das ich den Server logischweise direkt wieder eingeschaltet habe:rolleyes: nach dem ich festgestellt habe das nslookup nicht funktioniert, deshalb kann ich deine Fragen nicht quallifiziert beantworten

 

Den Client PC mit Win7 habe ich auch neu gestartet während der DC1 aus war, ich konnte mich auch Anmelden, allerdings kann das auch auf die gecachten Anmeldeinformationen zurückzuführen sein. Nslookup lieferte auch nach dem Neustart keine Ergebnisse

 

Ich werde heute Mittag den Server wieder Herunterfahren und noch einmal Testen. Falls du noch einige Ideen hast was ich gleich mit Testen kann wäre das klasse, da der Server nicht lange abgeschaltet bleiben kann.

[Necron 71]

Hi,

 

eine ganz banale Frage: Der DNS-Dienst ist auch auf den anderen DCs installiert, oder nicht?

[blub 115]

Hallo,

 

Ob du den Test Mittag riskieren und verantworten kannst, musst du selbst wissen.

Ich würds Abends machen.

 

Wenn du die Supporttools auf einem Client hast, kannst du dort

 

a) netdiag /v > c:\dns1.log

b) netdiag /test:dns > c:\dns2.log

 

a) nur für den Fall, daß in b) Fehler sind

 

blub

[termack 10]

eine ganz banale Frage: Der DNS-Dienst ist auch auf den anderen DCs installiert, oder nicht?

 

Hi Necron,

 

ja DNS ist auf allen anderen DC´s im AD integrierten modus installiert und wir auch ausgeführt. Wenn ich Änderungen im DNS von Hand vornehme werden diese Änderungen auch wie gewollt auf alle anderen DNs server repliziert.

 

@ blub danke ich werde es testen.

[termack 10]

Hi,

 

DC01 ist ausgeschaltet:

 

Es funktioniert kein nsklookup (weder an memberservern DC´s oder Clients)

nslookup PcName

 

ich kann allerdings manuell mit

nslookup
server DC2
PcName

wieder Auflösungsvorgänge druchführen.

 

- Hast du sonst Probleme, wenn der erste DNS weg ist?

Die Clients können sich Anmelden (es handelt sich dabei nicht um gecachete Profile) nslookup funktioniert aber dann auch nicht(außer ich ändere den DNS Server mit nslookup manuell). Ich kann auch auf namen pingen auch auf FQDN´s

 

netdiag /test:dns > c:\dns2.log

Log ist ok, alles passed (memberserver 2k3 R2)

 

auf einem anderen DC(DC2) netdiag /test:dns

 DNS test . . . . . . . . . . . . . : Passed
      [WARNING] The DNS entries for this DC cannot be verified right now on DNS server ((((IP von DC1))))), ERROR_TIMEOUT.

 

 

Ich wollte den Server eigentlich durch einen 2k8er ersetzen allerdings möchte ich das nicht tun, bevor ich nicht Problem behoben ist, oder ist das normal ? :-P

bearbeitet 23. Februar 2011 von termack
xx

[blub 115]

1) Die Warnmeldung ist normal, wenn der DNS Server nicht erreichbar ist.

 

2) ob du tatsächlich ein DNS-Problem weiss ich nicht, das könntest du z.b. mit "netdiag /v" herausfinden .

nslookup alleine(!) ist jedenfalls kein aussagekräftiges Tool, um dein DNS auf Fehlerfreiheit zu überprüfen.

 

blub

[termack 10]

Hi Blub,

 

ich bin erst nächste Woche wieder im Büro dann werde ich es testen.

 

Dank dir für deine Unterstützung.

[blub 115]

Hallo termack,

 

Ich würde auf einem DC mal diesen Befehl ausführen

dcdiag /test:dns /e >log.txt

 

einmal, wenn der 1.-DC online ist und einmal, wenn der offline ist

 

blub

[termack 10]

Hi Blub,

 

also wenn der DC1 eingeschaltet ist und ich den dcdiag /test:dns /e mache, erhalte ist überall folgendes:

 

            DC: DC2           
                     Domain: //////FQDN der Domäne///////

              TEST: Forwarders/Root hints (Forw)
                 Error: Root hints list has invalid root hint server: a.root-servers.net. (198.41.0.4)
                 Error: Root hints list has invalid root hint server: b.root-servers.net. (128.9.0.107)
                 Error: Root hints list has invalid root hint server: c.root-servers.net. (192.33.4.12)
                 Error: Root hints list has invalid root hint server: d.root-servers.net. (128.8.10.90)
                 Error: Root hints list has invalid root hint server: e.root-servers.net. (192.203.230.10)
                 Error: Root hints list has invalid root hint server: f.root-servers.net. (192.5.5.241)
                 Error: Root hints list has invalid root hint server: g.root-servers.net. (192.112.36.4)
                 Error: Root hints list has invalid root hint server: h.root-servers.net. (128.63.2.53)
                 Error: Root hints list has invalid root hint server: i.root-servers.net. (192.36.148.17)
                 Error: Root hints list has invalid root hint server: j.root-servers.net. (192.58.128.30)
                 Error: Root hints list has invalid root hint server: k.root-servers.net. (193.0.14.129)
                 Error: Root hints list has invalid root hint server: l.root-servers.net. (198.32.64.12)
                 Error: Root hints list has invalid root hint server: m.root-servers.net. (202.12.27.33)

              TEST: Dynamic update (Dyn)
                 Warning: Dynamic update is enabled on the zone but not secure ///FQDN der domäne .

 

Dynamische (unsichere) Updates wurden von mir wegen der Fehlersuche eingeschaltet. Die Root DNS Server kann man auch ignorieren da wir nicht direkt darüber www Adressen auflösen.

 

Zusätzlich steht beim Test von DC1 noch

TEST: Basic (Basc)

Warning: Adapter aa:bb:cc:dd:ee:ff has dynamic IP address (can be a misconfiguration)

Ist aber auch "ignorierbar", (es ist sichergestellt dass die IP immer die gleiche ist). Mir ist klar das das nicht ok ist aber der DC soll durch einen 2k8er ersetzt werden…

 

-------------------------------------------------------------

So nun dcdiag /test:dns /e mit ausgeschaltetem DC1 (dcdiag wurde auf dc2 ausgeführt).

 

Da kommen erst mal die gleichen Fehler/Warnungen bezüglich unsicheren Dynamischen Updates und den Root Einträgen.

 

Beim Test von DC1 (ausgeschaltet) kommt lediglich das er ihr nicht erreichen kann.

Testing server: dc1

Starting test: Connectivity

Server dc1 resolved to this IP address 1.2.3.4.5,

but the address couldn't be reached(pinged), so check the network.

The error returned was: Error due to lack of resources.

This error more often means that the targeted server is

shutdown or disconnected from the network

......................... dc1 failed test Connectivity

 

DC: dc1

Domain: //////FQDN der Domäne///////

 

 

TEST: Authentication (Auth)

Error: Authentication failed with specified credentials

 

TEST: Basic (Basc)

Error: No LDAP connectivity

Error: No WMI connectivity

 

Des weiteren kommt bei allen DC´s die den DC1 als primären dns drin hatten

TEST: Basic (Basc)

Warning: adapter [00000001] HP nic Multifunction Gigabit Server Adapter has invalid DNS server: /////IP con DC1 (<name unavailable>)

[termack 10]

Hi Blub,

 

also wenn der DC1 eingeschaltet ist und ich den dcdiag /test:dns /e mache, erhalte ist überall folgendes:

 

            DC: DC2           
                     Domain: //////FQDN der Domäne///////

              TEST: Forwarders/Root hints (Forw)
                 Error: Root hints list has invalid root hint server: a.root-servers.net. (198.41.0.4)
                 Error: Root hints list has invalid root hint server: b.root-servers.net. (128.9.0.107)
                 Error: Root hints list has invalid root hint server: c.root-servers.net. (192.33.4.12)
                 Error: Root hints list has invalid root hint server: d.root-servers.net. (128.8.10.90)
                 Error: Root hints list has invalid root hint server: e.root-servers.net. (192.203.230.10)
                 Error: Root hints list has invalid root hint server: f.root-servers.net. (192.5.5.241)
                 Error: Root hints list has invalid root hint server: g.root-servers.net. (192.112.36.4)
                 Error: Root hints list has invalid root hint server: h.root-servers.net. (128.63.2.53)
                 Error: Root hints list has invalid root hint server: i.root-servers.net. (192.36.148.17)
                 Error: Root hints list has invalid root hint server: j.root-servers.net. (192.58.128.30)
                 Error: Root hints list has invalid root hint server: k.root-servers.net. (193.0.14.129)
                 Error: Root hints list has invalid root hint server: l.root-servers.net. (198.32.64.12)
                 Error: Root hints list has invalid root hint server: m.root-servers.net. (202.12.27.33)

              TEST: Dynamic update (Dyn)
                 Warning: Dynamic update is enabled on the zone but not secure ///FQDN der domäne .

 

Dynamische (unsichere) Updates wurden von mir wegen der Fehlersuche eingeschaltet. Die Root DNS Server kann man auch ignorieren da wir nicht direkt darüber www Adressen auflösen.

 

Zusätzlich steht beim Test von DC1 noch

TEST: Basic (Basc)

Warning: Adapter aa:bb:cc:dd:ee:ff has dynamic IP address (can be a misconfiguration)

Ist aber auch "ignorierbar", (es ist sichergestellt dass die IP immer die gleiche ist). Mir ist klar das das nicht ok ist aber der DC soll durch einen 2k8er ersetzt werden…

 

-------------------------------------------------------------

So nun dcdiag /test:dns /e mit ausgeschaltetem DC1 (dcdiag wurde auf dc2 ausgeführt).

 

Da kommen erst mal die gleichen Fehler/Warnungen bezüglich unsicheren Dynamischen Updates und den Root Einträgen.

 

Beim Test von DC1 (ausgeschaltet) kommt lediglich das er ihr nicht erreichen kann.

Testing server: dc1

Starting test: Connectivity

Server dc1 resolved to this IP address 1.2.3.4.5,

but the address couldn't be reached(pinged), so check the network.

The error returned was: Error due to lack of resources.

This error more often means that the targeted server is

shutdown or disconnected from the network

......................... dc1 failed test Connectivity

 

DC: dc1

Domain: //////FQDN der Domäne///////

 

 

TEST: Authentication (Auth)

Error: Authentication failed with specified credentials

 

TEST: Basic (Basc)

Error: No LDAP connectivity

Error: No WMI connectivity

 

Des weiteren kommt bei allen DC´s die den DC1 als primären dns drin hatten

TEST: Basic (Basc)

Warning: adapter [00000001] HP nic Multifunction Gigabit Server Adapter has invalid DNS server: /////IP con DC1 (<name unavailable>)

[termack 10]

Sorry für den Doppelpost:-P ab einer gewissen länge muss ein Admin deinen Beitrag freischalten... das hatte ich erst beim zweiten mal abschicken gelesen