StrikeCommandr 10 Posted April 13, 2006 Report Share Posted April 13, 2006 Hallo Zusammen! Ich nun ein wenig im Forum gesucht, aber leider noch keine Antwort auf meine Frage gefunden, drum hoffe ich das Ihr mir helfen könnt. Und zwar habe ich zwei Server, einmal W2K und einmal W2K3, mit RRAS über VPN miteinander verbunden. Der W2K3 ist der DC meiner Domäne. Nun möchte ich gerne den W2K ebenfalls als DC einrichten, der der schon vorhandenen Domäne beitritt. Dafür habe ich den Konfigurations-Assistenten von W2K gestartet und dort die nötigen Daten eingegeben, um eine Verbindung mit der Domäne herzustellen, und hier liegt der Hund begraben. Ich kann keine Verbindung mit der Domnäne herstellen, da ich als Fehlermeldung immer wieder mitgeteilt bekomme, dass die Domäne nicht existiert. Hat jemand eine Idee was da schief gelaufen sein kann? Da ich ja VPN verwende sollte doch alles nötige weitergeleitet werden, oder muss ich noch weitere Änderungen im RRAS-Dienst vornehmen? Grüße Sören Quote Link to comment
IThome 10 Posted April 13, 2006 Report Share Posted April 13, 2006 Welchen DNS-Server nutzt der W2K ? Quote Link to comment
StrikeCommandr 10 Posted April 13, 2006 Author Report Share Posted April 13, 2006 Der bekommt über die VPN Verbindung die IP-Adresse des DNS-Servers auf dem W2K3 übergeben. Damit das einwandfrei funktioniert musste ich eine statische Route angelegen. Getestet hab ich das indem ich den Namen des servers gepingt habe. Den konnte er auflösen. Grüße Sören Quote Link to comment
IThome 10 Posted April 13, 2006 Report Share Posted April 13, 2006 Wie wird die VPN-Verbindung hergestellt , ist das eine LAN-LAN Verbindung mit "Wählen bei Bedarf" Schnittstelle oder wählt der Server sich ein (als VPN-Client) ? Was ergibt das Ausführen von NSLOOKUP (ohne Servernamen) ? Quote Link to comment
StrikeCommandr 10 Posted April 13, 2006 Author Report Share Posted April 13, 2006 Wie wird die VPN-Verbindung hergestellt , ist das eine LAN-LAN Verbindung mit "Wählen bei Bedarf" Schnittstelle oder wählt der Server sich ein (als VPN-Client) Ich bin mir bei deiner Unterscheidung zwischen diesen beiden Varianten nicht sicher was genau du damit meinst. Ich habe die VPN-Verbinung als persistente-Verbindung eingerichtet, so dass der W2K-Server sich als VPN-Client zu dem W2K3-Server verbindet. Wenn ich nur nslookup eingebe wird 127.0.0.1 ausgegeben. Das hat den Grund, das auf der Server noch ein DNS installiert ist, um ihn später wieder zu verwenden. In diesem sind allerdings keine Zonen eingerichtet. Nur eine Weiterleitung zu dem DNS des Internetproviders. Danke schonmal und Grüße Sören Quote Link to comment
IThome 10 Posted April 14, 2006 Report Share Posted April 14, 2006 Dann wundert mich das nicht, dass er ihn nicht findet. Trage zum Joinen den DNS-Server des W2K3 ein, die Zonen werden (falls sie Active Directory integriert sind) repliziert, dann kannst Du den lokalen wieder als DNS-Server eintragen. Mit LAN-LAN Verbindung meine ich, dass der W2K keine DFÜ-Verbindung in der Netzwerkumgebung stehen hat, sondern dass diese "Wählen bei Bedarf" Schnittstelle im RRAS auftaucht. Quote Link to comment
StrikeCommandr 10 Posted April 14, 2006 Author Report Share Posted April 14, 2006 Ja, das ist bei mir dann eine "Wählen bei Bedarf"-Schnittstelle :) Ich hab nun also auf dem W2K-DNS die Zonen repliziert und bei Anfragen die nicht beantwortet werden können den W2K3 als Weiterleitung eingetragen. Leider habe ich trotzdem noch das selbe Problem: Der Assistent will die Domäne nicht finden, obwohl ich mit nslookup den W2K3 Server und jeden client des W2K3-Servers auflösen kann... Kann das irgendwas mit der Firewall sein? So kann ich in beide Richtungen z.B. über telnet auf verschiedene Dienste des jeweiligen Servers zugreifen. Wobei ich dafür auf dem W2K im ISA erstmal alle Protokolle zulassen musste, um vom W2K-Server auf den W2K3-Server zugreifen zu können. Wie sucht der denn die Active Directory Domäne? Nicht über Broadcast, oder? :suspect: Grüße Sören Quote Link to comment
IThome 10 Posted April 14, 2006 Report Share Posted April 14, 2006 Aha, ein ISA, schau mal hier ... http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx Quote Link to comment
StrikeCommandr 10 Posted April 15, 2006 Author Report Share Posted April 15, 2006 Danke für den Link! Ich habe nun erstmal alle Ports freigegeben, so dass die beiden Server einander nicht mehr blockieren. Leider findet der Window-Assistent die Domäne trotzdem nicht und irgendwie habe ich das dumpfe Gefühl das mir da trotzdem was dem Weg versperrt... Mir ist aufgefallen das ich noch gar nichts zur IP-Konfiguration gesagt habe, drum dazu noch ein paar Daten. W2K3 - der W2K3 Server hat den IP Bereich 192.168.0.X, wobei er die 192.168.0.1 sein eigen nennt - verbunden mit dem Internet ist er über einen Router im Netzwerk mit der IP 192.168.0.4, die als Gateway eingetragen ist. - auf dem Rechner ist ebenfalls eine ISA installiert, die den Bereich 192.168.0.X in der LAT enthält W2K - der W2K Server liegt in dem 192.168.1.X Bereich wobei er selber auf die IP 192.168.1.1 hört - auch dieser Server ist über einen Router mit dem Internet verbunden, mit der IP: 192.168.1.4 - auf dem Rechner ist eine ISA installiert, die in der LAT den Bereich 192.168.1.X eingetragen hat Interessant dabei ist, dass der ISA-Server des W2K-Servers bei nicht weiter geänderter Konfiguration, also nur die Standard-Ports offen 80/3389 usw., keine Verbindung zum W2K3 Server erlaubt. Soll heißen, dass auch wenn beim W2K3 Server z.B. der Port 3389 geöffnet ist kann ich über telnet keine Verbindung zu diesem Port aufbauen. Ändere ich jedoch die ISA-Konfig am W2K-Server so ab, dass alle Port und Protokolle TCP/UDP zugelassen werden kann ich eine Verbindung herstellen. Ist das nicht merkwürdig, da ausgehende Anfragen ja eigentlich immer zugelassen sein sollten? Ich bin mit meinem Latein hier am Ende... Quote Link to comment
IThome 10 Posted April 15, 2006 Report Share Posted April 15, 2006 Da sollte Dir besser einer der ISA-Spezialisten hier im Board helfen. Ich setze den ISA nicht ein, daher bin ich bei ISA-Konfigurationsproblemen nicht der richtige Ansprechpartner ... :) edit: Wer hat den oberen Smiley da hingemacht ? :suspect: Quote Link to comment
Christoph35 10 Posted April 15, 2006 Report Share Posted April 15, 2006 Hi, http://www.isaserver.org ist für den ISA immer eine gute Quelle ;) Bei deinem Problem könnte Dich dieser Artikel weiterführen. Er beschreibt zwar nicht genau dein Szenario, aber evtl. kannst Du die Hinweise auf deine spezielle Situation anpassen. Christoph Quote Link to comment
StrikeCommandr 10 Posted April 22, 2006 Author Report Share Posted April 22, 2006 Danke für den Artikelhinweis. Leider wird der wichtige Teil dort nicht beschrieben... Ab trotzdem bin ich nun schonmal einen Schritt weiter. Ich musste die Arbeitsgruppe des W2K-Server komischerweise erst genauso nennen wie die Domäne. Dann hat er die Domäne gefunden! :D Nun meldet er nachdem ich alle Angaben gemacht habe und der Assistent die Mitgleidschaftsänderungen durchführen möchte, eine Fehlermeldung. Der Vorgang ist Fehlgeschlagen. Fehler: Dieser Computer konnte kein Mitglied der Domäne %domäne% werden. "Der Netzwerkpfad wurde nicht gefunden." Nun hab ich mal im Forum geschaut und dort wurde das Problem dadurch behoben, dass der korrekte DNS-Server im W2K-Server eingetragen wurde. http://www.mcseboard.de/showthread.php?t=12549&highlight=netzwerkpfad+mitglied+dom%E4ne Aber welcher ist der korrekte DNS-Server? Da ich ja die Daten auf dem W2K-Server von dem W2K3-Server repliziere, habe ich diesen eingetragen mit 127.0.0.1. Beide können auch mit nslookup auf dem W2K-Server aufgelöst werden. Leider kann ich auch keine nähere Pdafangabe oder Fehlerbeschreibung finden... Ich bin für weitere Hilfe dankbar! Grüße Sören Quote Link to comment
StrikeCommandr 10 Posted April 22, 2006 Author Report Share Posted April 22, 2006 Ich hab dann doch noch ein log-File gefunden das mal durchforstet. Der ich gehe nun mal davon aus, das die Zeile Error 0x... (!0 => error) bedeutet, dass falls nicht 0x0 da steht es zu einem Fehler kommt. Somit wäre dann die erste Stelle wo ein Fehler auftritt diese: dcpromoui t:0x868 00584 Enter PromoteThreadProc dcpromoui t:0x868 00585 Enter State::GetRunContext NT5_STANDALONE_SERVER dcpromoui t:0x868 00586 Exit State::GetRunContext NT5_STANDALONE_SERVER dcpromoui t:0x868 00587 top of retry loop dcpromoui t:0x868 00588 Enter disableConsoleLocking dcpromoui t:0x868 00589 Enter RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon dcpromoui t:0x868 00590 Exit RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon dcpromoui t:0x868 00591 Enter RegistryKey::SetValue-DWORD DisableLockWorkstation dcpromoui t:0x868 00592 Exit RegistryKey::SetValue-DWORD DisableLockWorkstation dcpromoui t:0x868 00593 Exit disableConsoleLocking dcpromoui t:0x868 00594 Enter State::SetOperationResultsMessage dcpromoui t:0x868 00595 Exit State::SetOperationResultsMessage dcpromoui t:0x868 00596 Enter CheckSmallBusinessServerLimitations dcpromoui t:0x868 00597 Enter State::GetOperation REPLICA dcpromoui t:0x868 00598 Exit State::GetOperation REPLICA dcpromoui t:0x868 00599 Exit CheckSmallBusinessServerLimitations dcpromoui t:0x868 00600 Enter State::GetOperation REPLICA dcpromoui t:0x868 00601 Exit State::GetOperation REPLICA dcpromoui t:0x868 00602 Enter State::GetReplicaDomainDNSName domain.de dcpromoui t:0x868 00603 Exit State::GetReplicaDomainDNSName domain.de dcpromoui t:0x868 00604 Enter Computer::IsJoinedToDomain domain.de dcpromoui t:0x868 00605 This machine is NOT joined to domain.de dcpromoui t:0x868 00606 Exit Computer::IsJoinedToDomain domain.de dcpromoui t:0x868 00607 Enter GetJoinAndReplicaDcName dcpromoui t:0x868 00608 W2KSERVER$ dcpromoui t:0x868 00609 Enter MyDsGetDcNameWithAccount dcpromoui t:0x868 00610 Calling DsGetDcNameWithAccount dcpromoui t:0x868 00611 ComputerName : (null) dcpromoui t:0x868 00612 AccountName : W2KSERVER$ dcpromoui t:0x868 00613 AllowableAccountFlags : 0x3000 dcpromoui t:0x868 00614 DomainName : domain.de dcpromoui t:0x868 00615 DomainGuid : (null) dcpromoui t:0x868 00616 SiteGuid : (null) dcpromoui t:0x868 00617 Flags : 0x11 dcpromoui t:0x868 00618 Error 0x525 (!0 => error) dcpromoui t:0x868 00619 Exit MyDsGetDcNameWithAccount dcpromoui t:0x868 00620 Falling back to non-account DsGetDcName Es geht dann noch ein wenig weiter, aber da es hier die erste Stelle ist wo ein Fehler auftritt, sind die weiteren Fehler bestimmt nur Folgefehler, hoffe ich. Sag jemanden diese Stelle etwas? Darf da überhaupt null stehen? Grüße Sören Quote Link to comment
giffy 10 Posted April 22, 2006 Report Share Posted April 22, 2006 Sag mal an welchen DNS Server du auf der Netzwerkkarte des DNS eingetragen hast. gebe dort die IP-Adr. des DNS aus W2k3 an Selbst jeder Dns-Server ist auch ein Client mit seiner NIC. Denn dein W2k Dns ist, soweit ich es verstanden habe dem Dns im w2k3 hierchisch untergeordnet (oder soll es in Zukunft werden)? Mit der 127.0.0.1 als DNS-Eintrag in der NIC- Eigenschaften verweist du deinen zukünftigen DC mit DNS auf sich selbst. damit kann der Name der Domäne in der du den DC hinzufügen möchtest nicht aufgelöst werden. Quote Link to comment
StrikeCommandr 10 Posted April 22, 2006 Author Report Share Posted April 22, 2006 Also der DNS-Server ist ebenfalls auf dem W2K3-Server installiert. Für diesen habe ich auch den W2K3-Server selbst als DNS-Server eingetragen, also die 127.0.0.1. Auf dem W2K-Server habe ich auch einen DNS installiert. Und du hast recht, dieser ist dem DNS des W2K3 untergeordnet, da er ja nur die Daten des W2K3-Servers repliziert. Bei dem W2K-Server habe ich mal beide DNS-Server, d.h. einmal die 127.0.0.1 und einmal den W2K3-Server ausprobiert. Das hat erwartungsgemäß keinen Unterschied gemacht, da ja beide die selben Daten enthalten... Nun ist es so, dass der W2K3-Server im 192.16.0.X Netz liegt und der W2K-Server im 192.168.1.X. Wenn ich nun die Daten des DNS-Server auf dem W2K-Server repliziere, fehlt natürlich das 1er Netz. Sollte ich da noch eine Reverse-Lookup-Zone hinzufügen, oder nicht? Kann das denn der Fehler den ich erhalte am DNS liegen? Danke nochmal und Grüße Sören Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.