lionheart 12 Geschrieben 24. Juli 2017 Melden Teilen Geschrieben 24. Juli 2017 Hallo Zusammen, ich habe hier eine Windows Server 2012 R2 Domäne mit zwei Domaincontroller (DC1, DC2). DC1 ist der primäre DC, DC2 wurde als sekundärer hinzugefügt. Auf beiden Server ist zusätzlich ein DHCP-Server konfiguriert und für die Domäne "contoso.local" autorisiert. Beide DHCP Server sind in den IPv4 Eigenschaften identisch konfiguriert. Unter dem Register "DNS" sind die Option "Dynamische DNS-Aktualisierung > DNS-Einträge immer dynamisch aktualisieren", "A- und PTR-Einträge beim Löschen der Lease verwerfern" und "DNS-Einträge für DHCP-Clients, die keine auto...., dynamisch aktualisieren" aktiviert. Unter "Erweitert" ist bei "Anmeldeinformationen" ein AD-Benutzer (dhcp-admin) hinterlegt. Der Benutzer ist Mitglieder der Gruppen "DHCP-Administratoren", "DHCP-Benutzer", "DNSAdmins", "DNSUpdateProxy", "Domänen-Admins" und "Domänen-Benutzer". Nun zu meinem Problem. Auf DC1 funktioniert die dynamische DNS-Aktulaisierung fehlerfrei. Alle DHCP-Clients werden korrekt am DNS Server registriert bzw. der Eintrag angepasst. Auf DC2 funktioniert die DNS-Aktualisierung nur sporadisch. Für manche Clients funktioniert die DNS-Aktualisierung fehlerfrei, bei anderen Clients schlägt die Aktualisierung mit der Fehler-ID 31 fehl. Ich verstehe das Problem nicht, entweder es funktioniert oder es funktioniert nicht. In der Windows Ereignisanzeige sind keine Fehler oder Warnungen zu finden. Im DHCP Log auf DC2 findet sich folgender Fehler: 30,07/24/17,09:16:32,DNS-Aktualisierungsanforderung,192.168.100.122,pc1.contoso.local,,,0,6,,,,,,,,,0 10,07/24/17,09:16:32,Zuweisen,192.168.100.122,pc1.contoso.local,3C970EBE208D,,3387120868,0,,,,0x4D53465420352E30,MSFT 5.0,,,,0 31,07/24/17,09:16:32,DNS-Aktualisierung fehlgeschlagen,192.168.100.122,pc1.contoso.local,,,0,6,,,,,,,,,9005 Zeitgleich gibt es aber auch erfolgreiche Aktualisierungen: 30,07/21/17,12:07:09,DNS-Aktualisierungsanforderung,192.168.100.138,pc2.contoso.local,,,0,6,,,,,,,,,0 10,07/21/17,12:07:09,Zuweisen,192.168.100.138,pc2.contoso.local,,5901A1780,0,,,,0x4D53465420352E30,MSFT 5.0,,,,0 32,07/21/17,12:07:09,DNS-Aktualisierung erfolgreich,192.168.100.138,pc2.contoso.local,,,0,6,,,,,,,,,0 Ich vermute die Neuanlage eines Eintrags klappt immer. Nur bei der Aktualisierung bestehender DNS-Einträge gibt es auf DC2 Probleme. Habt ihr einen Tipp für mich? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.355 Geschrieben 24. Juli 2017 Melden Teilen Geschrieben 24. Juli 2017 Moin, ich denke, dein Ansatz ist verkehrt. Schau dir mal den DHCP-Cluster an, der kann, was du willst: https://www.windowspro.de/wolfgang-sommergut/dhcp-failover-unter-windows-server-2012-r2-einrichten ;) Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 24. Juli 2017 Melden Teilen Geschrieben 24. Juli 2017 Moin, Die Mitgliedschaften des Accounts sind auch falsch. Nimm ihn aus all den Gruppen raus, er gehört da nicht rein. Gruß, Nils Zitieren Link zu diesem Kommentar
lionheart 12 Geschrieben 24. Juli 2017 Autor Melden Teilen Geschrieben 24. Juli 2017 Moin, Die Mitgliedschaften des Accounts sind auch falsch. Nimm ihn aus all den Gruppen raus, er gehört da nicht rein. Gruß, Nils Also nur Mitglied der "Domänen-Benutzer"? Das mit dem Failover-Cluster ist mir bekannt, aber bisher bin ich mit einer 50:50 Aufteilung der IP-Adressen über zwei DHCP Server ganz gut gefahren. Es muss doch aber eine Ursache geben, weshalb die DNS-Aktualisierung nur von DC1 funktioniert.. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 24. Juli 2017 Melden Teilen Geschrieben 24. Juli 2017 Moin, wer gibt denn die "Fehler-ID 31" zurück? Was steht dort sonst noch? Sind es immer dieselben Clients, bei denen es nicht funktioniert? Fehlercode 9005 (in deiner Ausgabe) besagt jedenfalls "DNS operation refused.", ist also wenig hilfreich. Zieh erst mal die Gruppen gerade, starte die DHCP-Dienste neu und teste dann noch mal. Gruß, Nils Zitieren Link zu diesem Kommentar
lionheart 12 Geschrieben 25. Juli 2017 Autor Melden Teilen Geschrieben 25. Juli 2017 (bearbeitet) Zieh erst mal die Gruppen gerade, starte die DHCP-Dienste neu und teste dann noch mal. Gruß, Nils Guten Morgen, ich habe beim Benutzer "DHCP-Admin" alle Gruppe entfernt. Er ist nur noch Mitglied der Gruppe "Domänen-Benutzer". Danach habe ich DC1 und DC2 neu gestartet. Leider hat sich an der Situation auf DC2 nichts geändert. Die DNS-Aktualisierung durch den DHCP-Server schlägt weiterhin fehl. Anschließend habe ich noch etwas anderes ausprobiert. Ich habe DC2 ind die Gruppe "DNSUpdateProxy" aufgenommen und einen Systemneustart ausgeführt. Das Problem besteht weiterhin. DC2 kann keine DNS-Aktualisieurng ausführen. :( Ereignis-ID Bedeutung 00 Das Protokoll wurde gestartet. 01 Das Protokoll wurde beendet. 02 Das Protokoll wurde aufgrund von unzureichendem Speicherplatz temporär angehalten. 10 Für einen Client wurde eine neue IP-Adresse geleast. 11 Eine Lease wurde von einem Client erneuert. 12 Eine Lease wurde von einem Client freigegeben. 13 Es wurde ermittelt, dass eine IP-Adresse im Netzwerk verwendet wird. 14 Eine Leaseanforderung konnte nicht erfüllt werden, da der Adresspool des Bereichs erschöpft war. 15 Eine Lease wurde verweigert. 16 Eine Lease wurde gelöscht. 17 Eine Lease war abgelaufen, und die DNS-Einträge für eine abgelaufene Lease wurden nicht gelöscht. 18 Eine Lease war abgelaufen, und die DNS-Einträge wurden gelöscht. 20 Eine BOOTP-Adresse wurde einem Client geleast. 21 Eine dynamische BOOTP-Adresse wurde einem Client geleast. 22 Eine BOOTP-Anforderung konnte nicht erfüllt werden, da der Adresspool für BOOTP des Bereichs erschöpft war. 23 Eine BOOTP-IP-Adresse wurde gelöscht, nachdem sichergestellt wurde, dass sie nicht verwendet wird. 24 Der Bereinigungsvorgang für die IP-Adresse wurde gestartet. 25 Statistik der IP-Adressenbereinigung. 30 DNS-Updateanforderung an den benannten DNS-Server. 31 Fehler beim DNS-Update. 32 Das DNS-Update war erfolgreich. 33 Das Paket wurde aufgrund der NAP-Richtlinie verworfen. 34 Fehler bei der DNS-Updateanforderung: Die maximale Anzahl von DNS-Updateanforderungen in der Warteschlange wurde überschritten. 35 Fehler bei der DNS-Updateanforderung. 36 Das Paket wurde verworfen, da sich der Server in der Failoverstandbyrolle befindet oder der Hash der Client-ID abweicht. 50+ Codes über 50 werden für Informationen über die Erkennung nicht autorisierter Server verwendet. QErgebnis: 0: Keine Quarantäne, 1: Quarantäne, 2: Paket verwerfen, 3: Probe, 6: Keine Quarantäneinformationen Probezeit: Jahr-Monat-Tag Stunde:Minute:Sekunde:Millisekunde. 00,07/25/17,06:58:19,Gestartet,,,,,0,6,,,,,,,,,0 55,07/25/17,06:58:20,Autorisiert (Dienst gestartet),,contoso.local,,,0,6,,,,,,,,,0 01,07/25/17,07:11:50,Angehalten,,,,,0,6,,,,,,,,,0 00,07/25/17,07:19:42,Gestartet,,,,,0,6,,,,,,,,,0 55,07/25/17,07:19:42,Autorisiert (Dienst gestartet),,contoso.local,,,0,6,,,,,,,,,0 30,07/25/17,07:22:12,DNS-Aktualisierungsanforderung,192.168.100.121,pc3.contoso.local,,,0,6,,,,,,,,,0 11,07/25/17,07:22:12,Erneuern,192.168.100.121,pc3.contoso.local,5CEE37007760,,1795248000,0,,,,0x4D53465420352E30,MSFT 5.0,,,,0 31,07/25/17,07:22:12,DNS-Aktualisierung fehlgeschlagen,192.168.100.121,pc3.contoso.local,,,0,6,,,,,,,,,9005 bearbeitet 25. Juli 2017 von lionheart Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 25. Juli 2017 Melden Teilen Geschrieben 25. Juli 2017 Wieviele Geräte, welche nicht Mitglied der Domäne sind hast du denn per dhcp in deinem Netzwerk? Zitieren Link zu diesem Kommentar
lionheart 12 Geschrieben 25. Juli 2017 Autor Melden Teilen Geschrieben 25. Juli 2017 Ein paar Smartphones per WLAN (4-5). Aber die PCs / Server (60) sind alle Mitglied meiner Domäne. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 25. Juli 2017 Melden Teilen Geschrieben 25. Juli 2017 Und du willst zwingend deine Smartphones im DNS sehen? Wozu? Mal davon abgesehen, würde ich die Dinger sowieso nicht ins interne LAN lassen, sondern in ein getrenntes vlan. Zitieren Link zu diesem Kommentar
lionheart 12 Geschrieben 25. Juli 2017 Autor Melden Teilen Geschrieben 25. Juli 2017 Hallo NorbertFe, darum gehts doch jetzt gar nicht. Der DHCP-Server registriert die PCs nicht korrekt beim DNS. Diese sind aber Domänenmitglied und sollen korrekt verwaltet werden. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 25. Juli 2017 Melden Teilen Geschrieben 25. Juli 2017 Moin, nimm den DC wieder aus der Gruppe heraus. Wenn du wie empfohlen das Proxy-Konto verwendest, brauchst du die Gruppe nicht. Das löst dein Problem zwar nicht, ist aber trotzdem eine Fehlkonfiguration, die bei den weiteren Schritten stören könnte. Gibt es Einträge in den Eventlogs? Nicht nur zu DNS, auch zu zusammenhängenden Diensten wie dem AD? Wer ist Owner der DNS-Einträge, bei denen es zu Fehlern kommt? Besteht das Problem weiter, wenn du die betreffenden Einträge manuell löschst und dann neu erzeugen lässt? Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 25. Juli 2017 Melden Teilen Geschrieben 25. Juli 2017 Hallo NorbertFe, darum gehts doch jetzt gar nicht. Der DHCP-Server registriert die PCs nicht korrekt beim DNS. Diese sind aber Domänenmitglied und sollen korrekt verwaltet werden. Wozu auch, domänenmitglieder registrieren sich allein ohne den dhcp. Aber viel Erfolg. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 25. Juli 2017 Melden Teilen Geschrieben 25. Juli 2017 Moin, vielleicht hilft dies hier auch beim Verständnis der Abläufe: [Die AD-DNS-Zone sicher konfigurieren | faq-o-matic.net]https://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/ Gruß, Nils Zitieren Link zu diesem Kommentar
v-rtc 81 Geschrieben 18. September 2018 Melden Teilen Geschrieben 18. September 2018 Hallo, hast Du das Problem nun gelöst? (Frage weil der User noch aktiv ist). Grüße Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.