AD GC DC DNS Totalausfall?

[veronabusch 10]

Böse Falle. Ich brauche dringend Hilfe. Ich habe mich in Sachen VPN versucht und dabei eine Zertifikatsstelle installiert. Ich bin mir nicht einmal mehr sicher, ob ich die überhaupt für IPSec brauche. Wie auch immer. Irgenwann habe ich die Zertifikatsstelle und deren Zertifikate gelöscht und deinstalliert. Ob das das Problem ist, weiß ich leider auch nicht. Naja, davor lief alles. Jetzt nicht mehr.

 

Ich habe keine Domäne mehr und irgendwie habe ich doch eine?! Das sind die Fehlermeldungen, die ich erhalte.

 

 

Ereignistyp: Fehler

Ereignisquelle: NTDS General

Ereigniskategorie: Globaler Katalog

Ereigniskennung: 1126

Datum: 21.05.2004

Zeit: 15:15:11

Benutzer: Jeder

Computer: SERVER

Beschreibung:

Die Verbindung mit dem globalen Katalog konnte nicht erstellt werden.

 

Ereignistyp: Fehler

Ereignisquelle: NETLOGON

Ereigniskategorie: Keine

Ereigniskennung: 2138

Datum: 21.05.2004

Zeit: 15:00:01

Benutzer: Nicht zutreffend

Computer: SERVER

Beschreibung:

Der Arbeitsstationsdienst wurde nicht gestartet.

 

Ereignistyp: Fehler

Ereignisquelle: Service Control Manager

Ereigniskategorie: Keine

Ereigniskennung: 7024

Datum: 21.05.2004

Zeit: 15:00:01

Benutzer: Nicht zutreffend

Computer: SERVER

Beschreibung:

Der Dienst "Anmeldedienst" wurde mit folgendem dienstspezifischem Fehler beendet: 2138.

 

Ich habe gesucht wie verrückt und ein paar Mal den DNS deinstalliert und wie neu installiert. Auf jeden Fall meldet dcdiag nicht mehr nur einen Failure sondern nur noch Failures.

 

DC Diagnosis

 

Performing initial setup:

Done gathering initial info.

 

Doing initial non skippeable tests

 

Testing server: Standardname-des-ersten-Standorts\SERVER

Starting test: Connectivity

SERVER's server GUID DNS name could not be resolved to an

IP address. Check the DNS server, DHCP, server name, etc

Although the Guid DNS name

(a43644d2-7280-4e50-b6d0-cf0f20c2c76f._msdcs.meinedomaene.zuhause) couldn't

be resolved, the server name (server.meinedomaene.zuhause) resolved to the

IP address (192.168.0.100) and was pingable. Check that the IP

address is registered correctly with the DNS server.

......................... SERVER failed test Connectivity

 

Doing primary tests

 

Testing server: Standardname-des-ersten-Standorts\SERVER

Skipping all tests, because server SERVER is

not responding to directory service requests

 

Running enterprise tests on : meinedomaene.zuhause

Starting test: Intersite

......................... meinedomaene.zuhause passed test Intersite

Starting test: FsmoCheck

Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355

A Global Catalog Server could not be located - All GC's are down.

Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355

A Primary Domain Controller could not be located.

The server holding the PDC role is down.

Warning: DcGetDcName(TIME_SERVER) call failed, error 1355

A Time Server could not be located.

The server holding the PDC role is down.

Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1

5

A Good Time Server could not be located.

Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355

A KDC could not be located - All the KDCs are down.

......................... meinedomaene.zuhause failed test FsmoCheck

 

Bitte helft mir. Was soll ich machen? Die Anleitungen beim MS support haben alles nur noch schlimmer gemacht. DCPROMO geht sowieso nicht. Auch nicht mit /forceremoval.

 

V

[grizzly999 11]

Hast du noch alle Domänen-Einträge im DNS? (Die Ordner _msdcs -tcp _udp -sites)?

 

Außerdem ist es natürlich sehr schwer von außerhalb zu beurteilen, was du alles gemacht hast, und was alles noch irgendwie im System hängt. U.U ein Backup von vorher einspielen.

 

grizzly999

[veronabusch 10]

Auweia... Lange ist es her. Natürlich. Die ganzen Ordner sind nicht mehr da. Ich werde mir mal ein Tutorial suchen, das die manuelle Einrichtung eines DNS erklärt.

 

Ich kann mich noch erinnern, dass diese Ordner bei der Standard-Installation automatisch angelegt wurden. Warum das nicht mehr so ist, weiß ich nicht. Vermute mal, das hat was mit dem Chache zu tun.

 

Danke Dir. Jetzt sehe ich wieder ein wenig Land

[grizzly999 11]

Wieviele DCs hast du? Wie sieht dein DNS jetzt aus (Ist er installiert, welche Zone hat er, was steht drin?)

 

grizzly999

[veronabusch 10]

Ich habe einen DC. Ist ein Heimnetz.

 

Ich habe den DNS neu installiert. Forward und Reverse sind leer gewesen und nun habe ich die vier Ordner(Zonen) erstellt.

 

_msdcs.meinedomaene.zuhause

_tcp.meinedomaene.zuhause

_udp.meinedomaene.zuhause

_sites.meinedomaene.zuhause

 

alle AD-integriert. Ich kann mich daran erinnern, dass es auch eine Zone meinedomaene.zuhause gegeben hat? Muss ich die auch erstellen. Was ich bisher gelesen habe, sagt aus, dass man nur die vier Zonen braucht.

 

PS: Ich habe auch eine AD-integrierte Reverse Zone erstellt: 192.168.0.x

[grizzly999 11]

Diese "Zonen" musst/darfst nicht DU erstellen, das muss der Computer machen. Und die heißen auch nicht _tcp.meinedom.de, sondern sinf Einträge (in Form von "gelben Ordnern") innerhalb der Zone für die Domäne. Du brauchst im Prinzip nur die Zone für die Domäne, die muss dyn. Updates zulassen. Nach einen Neustart des Anmeldedienstes oder Reboots sollte der DC die ganzen Einträge selber erstellen.

 

grizzly999

[veronabusch 10]

Die Ordner werden aber nicht erstellt. Ich habe schon dutzende Neustarts gemacht. Keine Ordner. Ich habe noch irgendwo ein BackUp vom Ordern WIN/SYSTEM32/DNS. Sollte ich DNS nochmal deinstallierten, neu installieren und dann einfach das BackUP ins Verzeichnis DNS kopieren?

[veronabusch 10]

Ich werde erstmal neu booten. Kann eine Weile dauern. Ich bin dann aber gleich wieder online. Hoffe ich wenigstens. :-)

[grizzly999 11]

Lässt die Zone dyn. Updates zu? Hat der DC sich selber als DNS in den IP-Eigenschaften eingetragen?

 

grizzly999

[veronabusch 10]

Dyn. Aktual. = Nur gesicherte Aktual.

 

 

 

Forward

Name Typ Daten

(identisch mit übergeordnetem Ordner) Autoritätsursprung [1], server.meinedomaene.zuhause., admin.meinedomaene.zuhause.

(identisch mit übergeordnetem Ordner) Namenserver server.meinedomaene.zuhause.

server Host 192.168.0.100

 

 

Reverse

Name Typ Daten

(identisch mit übergeordnetem Ordner) Autoritätsursprung [1], server.meinedomaene.zuhause., admin.meinedomaene.zuhause.

(identisch mit übergeordnetem Ordner) Namenserver server.meinedomaene.zuhause.

 

 

Ereignisanzeigen:

Systemprotokoll:

1.:

Ereignistyp: Fehler

Ereignisquelle: NETLOGON

Ereigniskategorie: Keine

Ereigniskennung: 2138

Datum: 22.05.2004

Zeit: 10:22:43

Benutzer: Nicht zutreffend

Computer: SERVER

Beschreibung:

Der Arbeitsstationsdienst wurde nicht gestartet.

2.:

Ereignistyp: Fehler

Ereignisquelle: Service Control Manager

Ereigniskategorie: Keine

Ereigniskennung: 7024

Datum: 22.05.2004

Zeit: 10:22:43

Benutzer: Nicht zutreffend

Computer: SERVER

Beschreibung:

Der Dienst "Anmeldedienst" wurde mit folgendem dienstspezifischem Fehler beendet: 2138.

 

Alle anderen Meldungen resultieren wohl hieraus. Das ist eine riesige Liste. Exchange, MRxSmb, usw.

[veronabusch 10]

Sorry. Der Server hat unter den Eigenschaften der LAN-Verbindung sich selbst als DNS eingetragen.

[veronabusch 10]

@grizzly999:

Magst Du nicht mehr?! Also wie gesagt, die Ordner _mscds.x.x, _tcp.x.x usw. werden leider nicht automatisch erstellt. Du sagtest, das ich die nicht selbst erstellen soll/darf. Ich erinnere mich auch ehrlich gesagt nicht daran, diese Ordner jemals selbst stellt zu haben. Also bis auf jetzt, meine ich. OK, dann ist das also der falsche Ansatz.

 

Ich habe ja vorhin die meiner Meinung nach wichtigsten Ereignisanzeigen gepostet. Wenn ich da bei eventid nachsehe, dann raten die dazu, einen DepenOnService Wert einzutragen. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon"

 

On the Edit menu, click Multi String, add line "LanmanWorkstation".

 

Multi String habe ich gar nicht. Ich habe nur REG_BINARY, REG_SZ und REG_DWORD. MULTI_SZ geht nicht!

 

Was bedeutet also das hier und wie bekomme ich das in dern Griff?

 

Ereignistyp: Fehler

Ereignisquelle: NETLOGON

Ereigniskategorie: Keine

Ereigniskennung: 2138

Datum: 22.05.2004

Zeit: 10:22:43

Benutzer: Nicht zutreffend

Computer: SERVER

Beschreibung:

Der Arbeitsstationsdienst wurde nicht gestartet.

[salomon 10]

hey veronabusch,

 

ich hatte das auch schon mal gehabt. ( dass die die ordner nicht automatisch erstellt worden sind). zum glück war das meine testumgebung. du musst das auf jeden fall mit dem assistenten machen. der legt die ordner automatisch an. achte drauf!: bevor du den assistenten fertig stellst überprüfe ob du bestehende internet verbindung hast. auch wenn du hinter einem router hängst mach zu sicherheit eine iseite auf. und dan den assistenten fertig stellen und dann werden die zonen erstellt.

 

hier paar fragen und antworten die dir vielleicht helfen das ganze etwas mehr zu verstehen.

 

 

Frage: Welche Fehler werden am häufigsten gemacht, wenn Administratoren DNS auf einem Netzwerk mit einem einzelnen Windows 2000- oder Windows Server 2003-Domänencontroller einrichten?

 

Antwort: Die häufigsten Fehler sind:

*Der Domänencontroller verweist zur DNS-Auflösung nicht auf allen Netzwerkschnittstellen auf sich selbst.

*Die Zone "." existiert unter Forward-Lookupzonen in DNS.

*Andere Computer auf dem lokalen Netzwerk (LAN) verweisen zur DNS-Auflösung nicht auf den Windows 2000- oder Windows Server 2003-DNS-Server.

 

 

Frage: Warum muss mein Domänencontroller zur DNS-Auflösung auf sich selbst verweisen?

 

Antwort: Der Netlogon-Dienst auf dem Domänencontroller registriert eine Reihe von Datensätzen in DNS, die es anderen Domänencontrollern und Computern ermöglichen, Active Directory-bezogene Informationen zu finden. Wenn der Domänencontroller auf den DNS-Server des Internetdienstanbieters verweist, registriert Netlogon nicht die korrekten Datensätze für Active Directory, und es werden Fehler in der Ereignisanzeige erzeugt. Die bevorzugte DNS-Einstellung für den Domänencontroller ist der Verweis auf sich selbst. Es sollten keine weiteren DNS-Server aufgelistet sein. Die einzige Ausnahme dieser Regel besteht, wenn es zusätzliche Domänencontroller gibt. Zusätzliche Domänencontroller in der Domäne müssen auf den ersten in der Domäne installierten Domänencontroller (der DNS ausführt) und dann auf sich selbst als sekundäre Domänencontroller verweisen.

 

Frage: Was registriert ein Domänencontroller in DNS?

 

Antwort: Der Netlogon-Dienst registriert alle SRV-Einträge für diesen Domänencontroller. Diese Datensätze werden als die Ordner _msdcs, _sites, _tcp und _udp in der Forward-Lookupzone angezeigt, die dem Namen Ihrer Domäne entspricht. Andere Computer suchen nach diesen Datensätzen, um Active Directory-bezogene Informationen zu finden.

 

Frage: Was ist die Zone "." in meiner Forward-Lookupzone?

 

Antwort: Diese Einstellung definiert den Windows 2000- oder Windows Server 2003-DNS-Server als einen Stammhinweis-Server und wird gewöhnlich gelöscht. Wenn Sie diese Einstellung nicht löschen, können Sie möglicherweise keine externe Namensauflösung bei den Stammhinweis-Servern im Internet durchführen.

 

gruß

salomon

[boardadmin 0]

Bitte immer die Quellen angeben:

 

Häufig gestellte Fragen zu Windows 2000 DNS und Windows Server 2003 DNS

http://support.microsoft.com/default.aspx?scid=kb;DE;291382

[salomon 10]

Ah ja ok. Wusste selber nicht mehr so genau wo ich das her hatte.