Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
JimB

Zusätzlicher Domäncontroller in bestehendes AD geht nicht

Empfohlene Beiträge

Hallo,

ich habe einen Windows2016 Server instaliert und als Domaincontroller für ein neues AD hochgestuft. Ein zweiter Win2016 Server ist der Domain beigetreten. Auch Win7 Clients ließen sich in die Domain einfügen und GPOs funktionieren auch.

Sobald ich aber versuche den 2. Server als Domaincontroller hochzustufen sozusagen als Backup Domaincontroller (heißt das noch so?) gibt es folgende Fehlermeldung:

DNS kann nicht installiert werden (diese Meldung verschwindet ganz schnell) und dann steht da nur noch: Fehler beim Abrufen der Liste der Webseites aus der Zielumgebung: Der Server ist nicht funktionsfähig.

 

Hat jemand eine Idee was das heissen kann?

 

Der DNS-Server ist ein extra Server (Unix) und die Mitarbeiter des RZ sagen sie hätten alle srv-Records für meine Domain eingetragen nur den msdcs-Record nicht. Diesen kann ich auf dem Server auch nicht finden.

Kann das der Grund sein?

 

Vielen Dank für Eure Hilfe!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin

 

ich behaupte mal, in einer Domäne wird sollte auf den DC ein AD-integrierter DNS sein. Jeder DC benötigt einen AD-integrierten DNS. Das ist ein Dreh- und Angelpunkt einer Domäne.

 

Ich hoffe, auf dem 1.DC der ist ein AD-integrierten DNS konfiguriert, dieser und die Domäne funktionieren, sind geprüft(dcdiag). Auf dem Memberserver ist in der IP-Konfiguration der AD-DNS eingetragen, - so wie bei den Clients.

 

Die Begriffe Backupdomänencontroller (BDC) und auch primärer Domänencontroller (PDC) gehören zu Windows NT 3,5 und 4.0.

 

Heute ist es weiterer Domänencontroller. Ja, ich weiss, umgangssprachlich werden die beiden Begriffe wohl häufig verwendet, dass deutet aber auf ein Unverständnis der Sache hin.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

man kann das AD durchaus mit einem Unix-DNS installieren und betreiben, aber dafür ist direkte Zusammenarbeit mit den DNS-Administratoren nötig. Die DNS-Einträge müssen natürlich korrekt und vollständig vorhanden sein.

Noch sinnvoller ist, in dem Unix-DNS dynamisches DNS einzurichten.

 

Oder, was meist die beste Variante ist: Für das AD gibt es eine eigene DNS-Zone, die von den DCs selbst gehostet wird. Für die allgemeine Namensauflösung gibt es dann einen Forwarder auf das Unix-DNS. Und im Unix-DNS richtet man eine Delegation (oder auch ein Forwarding) für die AD-DNS-Zone ein, die auf die DCs zeigt.

 

Es bleibt aber dabei, dass man mit den DNS-Admins zusammenarbeiten muss.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das DNS ist quasi das Grundkonstrukt auf die Domäne aufbaut. Der Domaincontroller sollte sein DNS selbst verwalten. Sprich DNS als Rolle auf dem DC. Damit das DNS auch sauber auf alle DCs repliziert wird, sollte man dies auch noch in das AD integrieren. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die neugierige Frage, warum so?

Weil das HRZ das so am liebsten hat. Das HRZ ist der zentrale Dienstleister für die Hochschule (Internet, DNS, DHCP, E-Mail, Fileserver) und die Institute und Fakuläten haben ihre "eigene" IT. Ein ziemlicher Wildwuchs. Das HRZ möchte am liebsten nicht mehrere DNS-Server...

Ich "brauche" aber ein AD um vernünftig unsere 80 PCs und Notebooks und Benutzer verwalten zu können.

Was mich wundert: ohne dynamische Updates und ohne DNS auf dem ersten Domaincontroller funktioniert es das Win7 Clients Mitglied der Domain werden. Nur krieg ich keinen 2. DC in die Domain.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

jaja, die Hochschulen. Viele davon immer noch ein Hort der begründungsfreien Abneigung gegen Windows, auch nach fast 20 Jahren AD. Das Lustige dabei: Als Beleg für ihre Abneigung führen Uni-Admins gern die vielen Probleme an, die Windows angeblich verursacht - die sie aber gar nicht hätten, wenn sie zwei, drei Dinge in ihrem Verfahren ändern und es einfach richtig machen würden.

 

Also: Es spricht nichts dagegen, das DNS zentral laufen zu lassen, nur müssen sie dich dann zwingend bei den Erweiterungen unterstützen. Das sind nur wenige Einträge, aber die müssen sie halt machen.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

jaja, die Hochschulen. Viele davon immer noch ein Hort der begründungsfreien Abneigung gegen Windows, auch nach fast 20 Jahren AD. Das Lustige dabei: Als Beleg für ihre Abneigung führen Uni-Admins gern die vielen Probleme an, die Windows angeblich verursacht - die sie aber gar nicht hätten, wenn sie zwei, drei Dinge in ihrem Verfahren ändern und es einfach richtig machen würden.

 

Also: Es spricht nichts dagegen, das DNS zentral laufen zu lassen, nur müssen sie dich dann zwingend bei den Erweiterungen unterstützen. Das sind nur wenige Einträge, aber die müssen sie halt machen.

 

Gruß, Nils

Das hört sich ja gut an :)  Um zu wissen welche Einträge in den zentralen DNS müssen, würde es Sinn machen erstmal in einer Testumgebung den DNS auf einem der Domaincontroller zu installieren und die Einträge dann zu übertragen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Alternative, wenn das DNS nicht integriert werden kann: Verpasse den DCs (auch den zukünftigen) statische IP-Adressen und lass diesen IP-Adressen im externen DNS Schreibrechte geben. Dann können die alle ihre Service-Records selbst aktualisieren.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Jaja die Hochschulen.. *sigh*

 

Wir haben keinen zentralen Verzeichnisdienst, wir kopieren lieber die Benutzerkonten in 30 verschiedene lokale Datenbanken/Verzeichnisdienste weil das sicherer ist.  :jau:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Natürlich sind die Kennwörter gleich. Sind ja die gleichen Kennungen als Kopie. Nur der Benutzername ist mal so oder so.. je nachdem.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×